备份证书颁发机构 (CA)

上一次修改主题： 2006-04-18

如果必须恢复运行证书服务的服务器，则必须先备份充当证书颁发机构 (CA) 的计算机。尽管可以将计算机配置为同时充当 CA 和运行 Exchange 2003 的服务器，但最好在单独的服务器上运行证书服务以确保满足可靠性和性能标准。

建议通过创建正在运行证书服务的服务器的完整计算机备份集来备份 CA。如果不能创建服务器的完整计算机备份集，也可以通过创建正在运行证书服务的服务器的 Windows 备份集来备份 CA。（Windows 备份集的系统状态数据部分包括证书服务数据库。）有关如何执行完整计算机和系统状态备份的详细信息，请参阅“创建完整的计算机备份集”和“创建 Windows 备份集”。

还可以使用证书颁发机构备份向导来备份密钥、证书和证书数据库。可以在证书颁发机构 MMC 管理单元中访问此向导。如果使用证书颁发机构 MMC 管理单元备份 CA，请确保同时备份 Internet 信息服务 (IIS) 元数据库。在创建 Windows 备份集时，应备份 IIS 元数据库文件。（Windows 备份集的系统状态数据部分包括 IIS 元数据库。）也可以使用 IIS 管理单元来单独备份 IIS 元数据库。

有关详细信息，请参阅下列资源：

• "Windows Server 2003 标准版帮助中的 Backing up and restoring a certification authority（英文）。
• Windows Server 2003 PKI 操作指南.
• IIS 6.0 联机产品文档中的“Backing Up and Restoring the Metabase（英文）”。

若要在证书颁发机构 MMC 管理单元中使用备份或还原向导，您必须是 Backup Operator 或 Certification Authority Administrator，否则必须对 CA 有本地管理员权限。在备份公钥、私钥和 CA 证书时，备份或还原向导要求您提供密码。若要从备份还原数据，必须有此密码。

有关在使用 Exchange 2003 的同时使用 CA 和 Windows Server 2003 公钥基础结构 (PKI) 的详细信息，请参阅“Exchange Server 2003 邮件安全指南”中的“在测试环境中实现基于 Exchange 2003 的邮件安全系统”。