余計なEFS証明書や回復証明書を削除したい
Genta Yamayoshi
FS(フォルダやファイルの暗号化)については全く同様なので、こちらで伺わ
せて下さい。
余計なEFS証明書や回復証明書を削除したかったので下記の操作をしたところ、
一部のファイルしか開けなくなりました。
1.コマンドプロンプトで「cipher /r: ファイル名」を実行し、秘密鍵、公開
鍵の含まれる*.pfxファイルと公開鍵の含まれる*.cerを生成させます。
2.Windowsのヘルプの手順にもありますが、.cerファイルを「ローカルセキュ
リティポリシー」の「公開キーのポリシー」の「暗号化ファイルシステム」に
インストールします。
3.さらにWindowsのヘルプの手順どおり、.cerファイルの公開鍵で既に暗号化
されたフォルダやファイルを強制更新します。
4.そして、EFS証明書も回復証明書も全て手動(右クリック-削除)で削除し
ます。(Windows証明書ストアやローカルセキュリティポリシーにあります)
5.1.で生成した.pfxを「Windows証明書ストア」の「個人」にストアします。
と、これで全てのファイルが開けるはずなのですが、開けません。
過去に2度回復証明書を生成させ、公開鍵で既に暗号化の全ファイルを強制更
新しています。
そのときの.pfxファイルを2つともWindows証明書ストアにストアして初めて全
部のファイルを開くことができました。
1.~5.の手順で何故全てのファイルが開けないのでしょうか?
cer.の公開鍵で全ての暗号化されたファイルやフォルダを強制更新しているの
で、それに一対一で対応した.pfx中にある秘密鍵がWindows証明書ストアにス
トアされれば、それで全てのファイルは問題なく開くはずだと思うのです
が・・。
実際にはこの手順ではだめなようです。
一度ファイルを復号化し、その後EFS証明書、回復証明ををすべて削除し、再
起動後、フォルダのプロパティの詳細設定より暗号化を行い、すぐに通知領域
に表示されるバックアップウィザードに従い.pfxをバックアップします。
上記の手順だと要らない証明書はきれいになり、Windows証明書ストアの「個
人」に.pfxファイルがひとつだけの状態で全部のファイルが問題なく開くよう
です。
1.~5.の手順はどこかに間違いがあるのだと思います。ここ2~3日、EFS関係
をネットでいろいろ読んで見ましたが間違いに気づくまでには至りませんでし
た。
宜しくご回答をお願い致します。
Genta Yamayoshi
回復エージェントからもWindows証明書ストアからも証明書をすべて削除し、一番最後
に作った、「回復証明書」の.pfx(秘密鍵情報を含む)をWindows証明書ストアにインポート
して全てのファイルが開けなかったということですが、それは、回復エージェントから証明
書を削除しており、回復エージェントを設定していなかったということが原因のようです。
回復証明書で現在のファイルの復号化に成功すると、ファイルに付加された回復証明書
は直ちに現在のシステムの回復証明書に置き換わるのだそうです。
今回は回復エージェントを全く指定していない状態だったので置き換わる回復証明書が存
在せず、今回ファイルを開くのに使用した証明書情報が削除されるという結果になります。
そこで、一回開いたファイルを閉じてしまうと、もう二度とファイルは開けなくなります。
このことを経験して、全てのファイルが開けなかった、一部のファイルは開けたのに、
と感じたようです。