备份和还原证书服务私钥
不能使用Certadm.dll的备份和还原功能来备份证书服务 私钥。 私钥不能由这些函数备份,因为这些函数旨在备份和还原证书服务数据库 (和相关文件) ,并且此数据库不包含任何私钥 (,即使对于自颁发的证书) 也是如此。
若要备份证书服务私钥,请使用证书颁发机构 MMC 管理单元或 certutil 命令 (指定) -backup 或 -backupkey。 使用证书颁发机构 MMC 管理单元或 certutil 备份私钥会导致私钥写入 PKCS #12 文件。 尽管此 PKCS #12 文件受密码保护,但应将其视为极其敏感且必须安全地存储;还应保护 PKCS #12 文件的密码,防止未经授权的人员使用。
同样,证书服务备份和还原功能无法还原私钥。 PKCS #12 文件中包含的证书服务备份密钥可以通过证书颁发机构 MMC 管理单元或 certutil 命令 (指定 -restore 或 -restorekey 谓词) 还原;请注意,执行还原操作的人员需要知道 PKCS #12 文件的密码。
只有两种情况需要备份证书服务私钥。 第一种情况是在安装证书服务之后。 第二种情况是在证书服务证书的任何续订操作之后。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈