备份和还原证书颁发机构的密钥和数据库

本文说明如何将证书颁发机构 (CA) 移动到其他服务器。

证书颁发机构 (CA) 是某组织公钥基础结构 (PKI) 的中心组件。CA 经配置可使用许多年或几十年，在这段时间内作为 CA 宿主的硬件可能已升级。

注意：要将 CA 从运行 Windows 2000 Server 的服务器移动到运行 Windows Server 2003 的服务器，必须首先将运行 Windows 2000 Server 的 CA 服务器升级到 Windows Server 2003。然后，才能按照本文所述的步骤进行操作。

备份和还原证书颁发机构的密钥和数据库

警告：如果使用注册表编辑器或其他方法错误地修改了注册表，则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

1. 记下在证书颁发机构管理单元的“证书模板”文件夹中配置的证书模板。证书模板设置存储在 Active Directory 中。这些信息不会自动备份。必须在新的 CA 上手动配置证书模板设置以保持模板集相同。
   
   注意：“证书模板”文件夹仅存在于企业 CA 上。独立 CA 不使用证书模板。因此，此步不适用于独立 CA。
2. 使用证书颁发机构管理单元备份 CA 数据库和私钥。为此，请按照下列步骤操作：
   1. 在证书颁发机构管理单元中，右键单击 CA 名称，单击“所有任务”，然后单击“备份 CA”以启动证书颁发机构备份向导。
   2. 单击“下一步”，然后单击“私钥和 CA 证书”。
   3. 单击“颁发的证书日志和待定证书申请队列”。
   4. 使用一个空文件夹作为备份位置。确保新服务器可以访问备份文件夹。
   5. 单击“下一步”。如果指定的备份文件夹不存在，则证书颁发机构备份向导将创建它。
   6. 键入并确认 CA 私钥备份文件的密码。
   7. 单击两次“下一步”，然后验证备份设置。应当显示下列设置：
      • 私钥
      • CA 证书颁发的日志
      • 挂起的申请
   8. 单击“完成”。
3. 保存此 CA 的注册表设置。为此，请按照下列步骤操作：
   1. 单击“开始”，单击“运行”，在“打开”框中键入 regedit，然后单击“确定”。
   2. 找到下面的注册表子项，然后右键单击它：
      HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CertSvc/Configuration
   3. 单击“配置”，然后单击“注册表”菜单上的“导出注册表文件”。
   4. 将注册表文件保存在第 2d 步中定义的 CA 备份文件夹中。
4. 删除旧服务器上的证书服务。
5. 重新命名旧服务器，或者将其永久与网络断开连接。
6. 在新服务器上安装证书服务。为此，请按照下列步骤操作。
   
   注意：新服务器的计算机名称必须与旧服务器的计算机名称相同。
   1. 在控制面板中，双击“添加/删除程序”。
   2. 单击“添加/删除 Windows 组件”，单击 Windows 组件向导中的“证书服务”，然后单击“下一步”。
   3. 在“CA 类型”对话框中，单击适当的 CA 类型。
   4. 单击“高级选项”，然后单击“下一步”。
   5. 在“公钥/私钥对”对话框中，单击“使用现有密钥”，然后单击“导入”。
   6. 键入备份文件夹中 .P12 文件的路径，键入在第 2f 步中选择的密码，然后单击“确定”。
   7. 单击“下一步”，如果合适请键入 CA 说明，然后单击“下一步”。
   8. 接受“数据存储位置”的默认设置，单击“下一步”，然后单击“完成”结束证书服务的安装。
7. 停止证书服务的相关服务。
8. 找到第 3 步中保存的注册表文件，然后双击该文件以导入注册表设置。
9. 使用证书颁发机构管理单元还原 CA 数据库。为此，请按照下列步骤操作：
   1. 在证书颁发机构管理单元中，右键单击 CA 名称，单击“所有任务”，然后单击“还原 CA”。
      
      证书颁发机构还原向导启动。
   2. 单击“下一步”，然后单击“颁发的证书日志和待定证书申请队列”。
   3. 键入备份文件夹位置，然后单击“下一步”。
   4. 验证备份设置。应当显示下列设置：
      • 颁发的日志
      • 挂起的申请
   5. 单击“完成”，然后单击“是”以在还原 CA 数据库时重新启动证书服务。
10. 在证书颁发机构管理单元中，手动添加或删除证书模板以复制在第 1 步中记录的证书模板设置。