安装证书颁发机构 (CA) 时,还需要创建 CA 数据库以记录下列内容:
-
由 CA 颁发的每个证书。
-
由 CA 存档的每个私钥。
-
由 CA 吊销的每个证书。
-
由 CA 接收的每个证书申请,而与是否批准、拒绝请求或将请求设置为挂起无关。
此数据库应位于服务器磁盘驱动器的 NTFS 文件系统分区上,以便为数据库文件提供可能的最佳安全性。在安装 CA 期间指定数据库的位置。默认情况下,数据库位于 systemroot\system32\certlog。
在 Active Directory 证书服务 (AD CS) 安装期间还指定 CA 数据库日志的位置。CA 数据库日志保留涉及到 CA 数据库的每个事务的记录。从备份还原 CA 时使用 CA 数据库日志。如果从一个月以前的备份还原 CA,则可以使用日志中记录的最新活动更新 CA 数据库,以将数据库还原到其最新状态。备份 CA 时,就会按大小截断现有证书数据库,因为将证书数据库还原到其最新状态不再需要它们。
数据库文件的名称基于 CA 的名称,带有 .edb 扩展名。
证书颁发机构管理单元允许您查看和管理 CA 数据库。
有关 CA 备份和还原的详细信息,请参阅保护 CA 避免数据丢失。