35、证书颁发机构服务器设置配置全解析

证书颁发机构服务器设置配置全解析

1. 证书存储相关

证书存储在证书存储区中，这些存储区位于所有服务器和客户端计算机注册表的受保护区域。每个用户、计算机和服务都可能存在一系列证书存储区。以下是一些常见的证书存储区及其包含内容：
| 证书存储区 | 包含内容 |
| — | — |
| 个人 | 与用户或计算机可访问的私钥关联的用户和计算机证书 |
| 受信任的根证书颁发机构 | 隐式信任的根 CA 的证书，包括第三方存储区中的证书以及公司和微软的根证书 |
| 企业信任 | 证书信任列表 (CTL) |
| 中间证书颁发机构 | 从属 CA 的证书 |
| 受信任的发布者 | 软件限制策略信任的 CA 颁发的证书 |
| 不受信任的发布者 | 未隐式信任的 CA 颁发的证书 |
| 第三方根证书颁发机构 | 如 Equifax 和 VeriSign 等商业 CA 颁发的证书 |
| 受信任的人员 | 颁发给显式信任的人员或实体的证书 |
| 证书注册请求 | 待处理或被拒绝的证书请求 |

可以使用组策略将证书分发到上述大多数存储区，但不能分发到第三方根证书颁发机构存储区。若想了解证书存储区及其用途的更多详细信息，可参考相关帮助文档。

2. 证书和密钥的备份

为确保证书和关联的私钥可用于恢复或转移到其他计算机，可使用证书导出向导进行备份，具体步骤如下：
1. 在用户、服务或计算机账户的证书控制台中，右键单击要导出的证书，选择“所有任务” -> “导出”。
2. 单击“下一步”跳过证书导出向导的欢迎页面。
3. 如果