Sichern und Wiederherstellen des privaten Schlüssels der Zertifikatdienste

Sie können die Sicherungs- und Wiederherstellungsfunktionen des Certadm.dll nicht verwenden, um die privaten Schlüssel der Zertifikatdienste zu sichern. Private Schlüssel können von diesen Funktionen nicht gesichert werden, da diese Funktionen zum Sichern und Wiederherstellen der Zertifikatdienste-Datenbank (und der zugehörigen Dateien) vorgesehen sind und diese Datenbank keine privaten Schlüssel enthält (auch nicht für selbst ausgestellte Zertifikate).

Verwenden Sie zum Sichern eines privaten Zertifikatdiensteschlüssels das MMC-Snap-In der Zertifizierungsstelle oder den Befehl certutil (mit angabe von -backup oder -backupkey). Das Sichern des privaten Schlüssels mit dem MMC-Snap-In der Zertifizierungsstelle oder certutil führt dazu, dass der private Schlüssel in die PKCS #12-Datei geschrieben wird. Obwohl diese PKCS #12-Datei kennwortgeschützt ist, sollte sie als äußerst vertraulich angesehen werden und muss sicher gespeichert werden. das Kennwort für die PKCS #12-Datei sollte auch vor unbefugten Personen geschützt werden.

Ebenso können private Schlüssel nicht von den Sicherungs- und Wiederherstellungsfunktionen der Zertifikatdienste wiederhergestellt werden. Ein in einer PKCS #12-Datei enthaltener Zertifikatdienste-Sicherungsschlüssel kann vom MMC-Snap-In der Zertifizierungsstelle oder mit dem Befehl certutil (unter Angabe der Verben -restore oder -restorekey) wiederhergestellt werden. Beachten Sie, dass die Person, die den Wiederherstellungsvorgang ausführt, das Kennwort für die PKCS #12-Datei kennen muss.

Es gibt nur zwei Fälle, in denen ein privater Schlüssel für Zertifikatdienste gesichert werden muss. Der erste Fall ist nach der Installation von Zertifikatdiensten. Der zweite Fall ist nach einem Erneuerungsvorgang des Zertifikats Services-Zertifikats.