Резервное копирование и восстановление закрытого ключа служб сертификатов

Вы не можете использовать функции резервного копирования и восстановления Certadm.dll для резервного копирования закрытых ключей служб сертификатов. Эти функции не могут создавать резервные копии закрытых ключей, так как эти функции предназначены для резервного копирования и восстановления базы данных служб сертификатов (и связанных файлов), а эта база данных не содержит закрытых ключей (даже для самоиданных сертификатов).

Чтобы создать резервную копию закрытого ключа служб сертификации, используйте оснастку MMC центра сертификации или команду certutil (с указанным параметром -backup или -backupkey). При резервном копировании закрытого ключа с помощью оснастки MMC центра сертификации или certutil закрытый ключ записывается в файл PKCS #12. Несмотря на то, что этот файл PKCS #12 защищен паролем, он должен считаться чрезвычайно конфиденциальным и должен храниться безопасно; Пароль к файлу PKCS #12 также должен быть защищен от посторонних лиц.

Аналогичным образом закрытые ключи не могут быть восстановлены функциями резервного копирования и восстановления служб сертификатов. Ключ резервной копии служб сертификатов, содержащийся в файле PKCS #12, можно восстановить с помощью оснастки MMC центра сертификации или команды certutil (указав команды -restore или -restorekey); Обратите внимание, что пользователю, выполняющему операцию восстановления, необходимо знать пароль для файла PKCS #12.

Существует только в двух случаях, когда необходимо создать резервную копию закрытого ключа служб сертификатов. Первый случай — после установки служб сертификатов. Второй случай — после любой операции продления сертификата служб сертификатов.