安裝憑證授權單位 (CA) 時,也需要建立 CA 資料庫,以記錄:
-
每個由 CA 發行的憑證。
-
每個由 CA 保存的私密金鑰。
-
每個由 CA 撤銷的憑證。
-
每個由 CA 接收的憑證要求,不論要求為已核准、拒絕或設定為擱置。
此資料庫應位於伺服器之磁碟機中的 NTFS 檔案系統磁碟分割上,以便盡可能地為資料庫檔案提供最佳的安全性。您可以在設定 CA 期間,指定資料庫的位置。根據預設,資料庫位於 systemroot\system32\certlog 中。
您也可以在設定 Active Directory 憑證服務 (AD CS) 期間,指定 CA 資料庫記錄檔的位置。CA 資料庫記錄檔會保存每個涉及 CA 資料庫之交易的記錄。CA 資料庫記錄檔可用於從備份還原 CA 時。如果 CA 是從一個月前的備份還原,則 CA 資料庫可利用記錄檔所記錄的較新活動加以更新,以便將資料庫還原為其最新狀態。當您備份 CA 時,會截斷現有憑證資料庫記錄檔的大小,因為已不再需要它們來將憑證資料庫還原為最新狀態。
資料庫檔案的名稱是以 CA 名稱為依據,副檔名為 .edb。
[憑證授權單位] 嵌入式管理單元允許您檢視和管理 CA 資料庫。
如需 CA 備份和還原的相關資訊,請參閱保護 CA 免於資料遺失。