35、证书颁发机构服务器设置配置与管理

证书颁发机构服务器设置配置与管理

1. 证书存储

证书存储在证书存储区中，这些存储区位于所有服务器和客户端计算机注册表的受保护区域。每个用户、计算机和服务都可能有一系列证书存储区。以下是一些可从“证书”管理单元访问的证书存储区及其包含内容：
| 证书存储区 | 包含内容 |
| — | — |
| 个人 | 与用户或计算机可访问的私钥关联的用户和计算机证书 |
| 受信任的根证书颁发机构 | 隐式信任的根 CA 的证书，包括第三方存储区中的证书以及公司和 Microsoft 的根证书 |
| 企业信任 | 证书信任列表 (CTL) |
| 中间证书颁发机构 | 从属 CA 的证书 |
| 受信任的发布者 | 受软件限制策略信任的 CA 颁发的证书 |
| 不受信任的发布者 | 未隐式信任的 CA 颁发的证书 |
| 第三方根证书颁发机构 | 来自 Equifax 和 VeriSign 等商业 CA 的证书 |
| 受信任的人员 | 颁发给显式信任的人员或实体的证书 |
| 证书注册请求 | 待处理或被拒绝的证书请求 |

可以使用组策略将证书分发到上述大多数存储区，但不能分发到第三方根证书颁发机构存储区。

2. 备份证书和密钥

为确保证书和关联的私钥可用于恢复或转移到其他计算机，可以使用“证书导出向导”进行备份，步骤如下：
1. 在用户、服务或计算机账户的“证书”控制台中，右键单击要导出的证书，选择“所有任务”>“导出”。
2. 单击“下一步”跳过“证书导出向导”的欢迎页面。
3. 如果要导出的证书关联了私钥，“导