証明書サービスの秘密キーのバックアップと復元

証明書サービスの 秘密キーをバックアップするために、Certadm.dllのバックアップおよび復元機能を使用することはできません。 これらの関数は証明書サービス データベース (および関連ファイル) のバックアップと復元を目的としており、このデータベースには秘密キー (自己発行証明書の場合でも) が含まれていないため、これらの関数では秘密キーをバックアップできません。

Certificate Services 秘密キーをバックアップするには、証明機関 MMC スナップイン、または certutil コマンド (-backup または -backupkey を指定) を使用します。 証明機関 MMC スナップインまたは certutil を使用して秘密キーをバックアップすると、秘密キーが PKCS #12 ファイルに書き込まれます。 この PKCS #12 ファイルはパスワードで保護されていますが、非常に機密性が高いと見なされ、安全に保存する必要があります。PKCS #12 ファイルのパスワードも、承認されていないユーザーから保護する必要があります。

同様に、証明書サービスのバックアップおよび復元機能では秘密キーを復元できません。 PKCS #12 ファイルに含まれる Certificate Services バックアップ キーは、証明機関 MMC スナップイン、または certutil コマンド (-restore または -restorekey 動詞を指定) によって復元できます。復元操作を実行するユーザーは、PKCS #12 ファイルのパスワードを知っている必要があることに注意してください。

証明書サービスの秘密キーをバックアップする必要があるケースは 2 つだけです。 最初のケースは、証明書サービスのインストール後です。 2 番目のケースは、Certificate Services 証明書の更新操作後です。