如何配置根 CA 数据库备份

更新日期： 2004年04月06日

目标

使用本模块可以实现：

•	配置根证书颁发机构 (CA) 数据库备份。

本模块适用于下列产品和技术：

•	Microsoft® Windows® Server™ 2003
•	Microsoft 证书服务
•	Microsoft Active Directory® 目录服务

本模块描述了配置根 CA 数据库备份所需要的步骤。可以将本模块中的指导用于现有公钥基础结构 (PKI)。

为了充分理解本模块内容，请首先阅读“Microsoft 安全无线局域网解决方案构建指南”中的模块实施公钥基础结构。这将使您更好地理解 PKI 的构建。

本模块描述了 PKI 的管理过程，PKI 是作为安全无线 LAN 解决方案的一部分实现的。

本任务的目的是为备份准备 CA 私钥和证书、证书数据库和证书服务配置信息。证书服务配置信息包括 CA 所需的任何操作系统配置信息和其他状态信息。

根 CA 通常只发布少量证书，因此数据始终不会很大。数据很少发生更改，很可能几年一次。对于任何其他脱机 CA，例如，脱机中间机构（如果您选择了使用中间 CA），这个过程都是一样的。

根 CA 是脱机的，因此需要使用某种本地备份设备（如可以存储备份文件的磁带驱动器或可写 CD）。

警告：如果您使用了硬件安全模块 (HSM)，此过程将备份加密的密钥资料（取决于 HSM 的工作方式），但如果没有相同的 HSM 和 HSM 访问密钥，所备份的密钥在已还原计算机上将无法使用。请遵照 HSM 供应商的指示进行备份，并采用其他方式来保证密钥资料和访问密钥的安全。

•

配置根 CA 备份

创建一个用于存储备份文件的目录（默认情况下为 C:\CABackup），并运行下列命令以确保该目录的安全：

cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup Operators":C

注意：为打印方便，本命令以 2 行显示；输入时请将其合并为一行

如果选择了其他文件夹来存储备份文件，则必须在 pkiparams.vbs 中更新相关设置。请按照要求更改以下行中显示的路径。

CONST SYSSTATE_BACKUP_PATH = "C:\CABackup"   'path used by NTBackup

•

备份根 CA

运行下列命令将 CA 数据备份到临时文件中：

cscript //job:BackupCADatabase C:\MSSScripts\ca_operations.wsf

这可以在上面选择的路径（默认为 C:\CABackup）中生成一个名为 CABackup.bkf 的备份文件。将此文件复制到可移动媒体上，并妥善保存该备份媒体。

警告：此备份数据高度敏感，因为它包含 CA 自身的私钥资料。必须谨慎、安全地传输和存储此数据，就像对待 CA 一样。请将备份数据存储在 CA 之外的其他物理站点上。这样，如果 CA 所在站点的所有计算机设备都被破坏或者不可访问了，您还可以恢复 CA。