实验、数字证书的应用（1）--认识数字证书
NTFS加密：
普通用户通过NTFS加密的文件，其他用户都不可以访问。

1.为什么？
2.危害
主要内容：
1.配置密钥恢复代理：使得系统管理员账户可以打开其他用户创建的加密文件；（在拓扑图中任一台主机上均可完成）（1）用新建的账户test登录系统后，在NTFS分区上对其创建的一个文件（夹）进行加密。

当加密操作完成后，系统会多出一个与账户有关的数字证书。

(certmgr.msc)
图1：加密文件后会产生一个用户数字证书,查看证书信息（2）将账户切换到管理员，当前，即使是管理员也无法打开用户test 加密过的文件。

图2：缺少正确的用户数字证书，所以无法打开加密文件
以上两步，是在没有配置密钥恢复代理之前的情况。

（3）打开命令提示符，输入如下命令。

其中cipher是用于加解密的命令行工具，/r是该命令的参数。

admin是产生的文件名。

操作完成后，在文件夹中找到新生成的两个文件。

图3：生成配置密钥恢复代理所需的两个文件，注意扩展名
图4：产生的配置密钥恢复代理所需的两个文件
（4）在运行里输入secpol.msc打开本地安全策略设置窗口，展开至
“加密文件系统”，并通过右键打开添加代理程序。

图5：添加数据恢复代理程序
（5）按照向导的提示，添加图4中的*.cer文件为故障恢复代理。

图6：指定证书文件
图7：配置完成后的显示界面
（6）处理完*.cer证书后，再对*.pfx文件进行操作。

双击图4中的pfx 文件，对证书进行导入操作。

图8：对证书进行导入
图9：证书位置选择自动存储
（3）再次切换到test账号，对文件或文件夹执行加密操作。

此时即使文件经过加密，但是administrator账号仍然能够打开。

图10：密钥恢复代理能够打开其他用户加密过的文件
查看加密文件的属性，在详细信息中能看到与加密有关的属性。

图11：能打开加密文件的用户列表。