如何备份 CA 密钥和证书

更新日期： 2004年04月06日

目标

使用本模块可以实现：

•	备份证书颁发机构 (CA) 密钥和证书。

本模块适用于下列产品和技术：

•	Microsoft® Windows® Server™ 2003
•	Microsoft 证书服务
•	Microsoft Active Directory® 目录服务

本模块描述了备份 CA 密钥和证书所需要的步骤。可以将本模块中的指导用于现有公钥基础结构。

为了充分理解本模块内容，请首先阅读“Microsoft 安全无线局域网解决方案构建指南”中的模块实施公钥基础结构。这可以使您更好地理解如何构建公钥基础结构 PKI。

本模块描述了 PKI (公钥基础结构) 的管理过程，PKI 是作为安全无线 LAN (WLAN) 解决方案的一部分实现的。

本任务的目的是独立于证书数据库来备份 CA 证书和密钥。如果 CA 服务器发生故障，无法在充足的时间内恢复以签署证书吊销列表，在这种情况下，可能需要 CA 私钥和证书才能签署证书吊销列表 (CRL) 或证书。

CA 密钥和证书只占用几 KB 的存储空间，因此可以将它们保存在磁盘上。此任务适用于组织中的根 CA、所有中间 CA 和颁发 CA。

警告：如果您正在使用硬件安全模块 (HSM)，本过程将不能按照说明进行。请按照 HSM 供应商的指导进行备份，或者按照指导保护好密钥资料和访问密钥。

•

将证书和密钥导出到磁盘上

运行以下命令：

cscript //job:BackupCAKeys c:\MMSScripts\ca_operations.wsf

至少制作两份独立的备份，并分别存放在不同的磁盘上（磁盘并不总是 100％可靠的）。请适当地对磁盘作出明确的标记，并注明日期，因为下次需要使用这些备份的时候，也许已经是很长时间以后了。

前面的脚本使用 certutil.exe 向 PKCS#12 (P12) 文件中导出 CA 密钥和证书。

A:\CAKeyBackup\CAComputerName\yymmdd_hhmm\CA Common Name.p12

在系统提示时输入密码。

要点：除密钥备份自身所在的位置外，请在其他同样安全的位置中记录并存储此密码。密码记录应该明确表明它与哪个备份（磁盘标记、日期和 CA 名称）相关。因为也许数月或数年之后才需要使用这些密钥，不可能所有人都会记得当时所用的密码。请务必销毁此密码的所有其他记录。不要使用当前正在使用的密码。

妥善保存该磁盘。请将这些密钥备份以最安全的方式保存，就像对待 CA 数据库备份一样。应至少存储两份证书和密钥的备份，并且应该存储在两个单独的安全位置（如保险柜）上。