証明機関 (CA) をインストールするとき、以下を記録する CA データベースを作成する必要があります。
-
CA が発行したすべての証明書。
-
CA がアーカイブしたすべての秘密キー。
-
CA が失効にしたすべての証明書。
-
CA が受け取ったすべての証明書要求 (要求が承認、拒否、または保留されたかに関係なく、すべての要求を記録するデータベース)。
このデータベースは、データベース ファイルのセキュリティを可能な限り最高の状態にするために、サーバーのディスク ドライブの NTFS ファイル システム パーティションに配置する必要があります。CA のセットアップ時にデータベースの場所を指定します。既定では、データベースは systemroot\system32\certlog に配置されます。
また、Active Directory 証明書サービス (AD CS) のセットアップ時に、CA データベースのログの場所を指定します。CA データベースのログには、CA データベースに関係するすべてのトランザクションのレコードが保存されます。バックアップから CA を復元するときは、CA データベースのログを使用します。1 か月前のバックアップから CA を復元する場合は、復元した後、ログに記録された最近の活動を適用して CA データベースを更新することで、データベースを最新の状態に復元できます。CA をバックアップするときに、既存の証明書データベースのログはサイズが切り詰められます。これは、これらのログが証明書データベースを最新の状態に復元するために必要ないためです。
データベース ファイルの名前は、CA の名前に基づいて付けられ、.edb 拡張子が付加されます。
証明機関スナップインにより、CA データベースを表示および管理できます。
CA のバックアップおよび復元の詳細については、「CA に関するデータ損失を防ぐ」を参照してください。