Säkerhetskopiera och återställa den privata certifikattjänstens privata nyckel

Du kan inte använda funktionerna Certadm.dllsäkerhetskopiering och återställning för att säkerhetskopiera certifikattjänsterna privata nycklar. Privata nycklar kan inte säkerhetskopieras av dessa funktioner eftersom dessa funktioner är avsedda att säkerhetskopiera och återställa Certificate Services-databasen (och relaterade filer), och den här databasen innehåller inga privata nycklar (inte ens för självutfärdade certifikat).

Om du vill säkerhetskopiera en privat nyckel för certifikattjänster använder du MMC-snapin-modulen för certifikatutfärdare eller kommandot certutil (med -backup eller -backupkey angivet). Säkerhetskopiering av den privata nyckeln med MMC-snapin-modulen för certifikatutfärdarnas, eller certutil, resulterar i att den privata nyckeln skrivs till en PKCS #12-fil. Även om PKCS #12-filen är lösenordsskyddad bör den betraktas som extremt känslig och måste lagras på ett säkert sätt. lösenordet till PKCS #12-filen bör också skyddas från obehöriga personer.

På samma sätt kan privata nycklar inte återställas av funktionerna för säkerhetskopiering och återställning av Certifikattjänster. En säkerhetskopia av en nyckel för Certifikattjänster som finns i en PKCS #12-fil kan återställas av Certifikattjänst MMC-snapin, eller med kommandot certutil (ange verbet -restore eller -restorekey); observera att personen som utför återställningen måste känna till lösenordet för PKCS #12-filen.

Det finns bara två fall där en privat certifikattjänstnyckel måste säkerhetskopieras. Det första fallet är efter installationen av Certificate Services. Det andra fallet är efter en förnyelse av certifikatet för Certifikattjänster.