Установка служб сертификации создает так называемый центр сертификации (Certificate Authority - CA) в системе Windows Server 2003. Служба CA применяется для управления и выдачи сертификатов пользователям, серверам и рабочим станциям, когда файлы, папки, почтовые сообщения или сетевые соединения нуждаются в защите или шифровании. Во многих случаях служба CA находится на выделенном защищенном CA-сервере, однако на многих предприятиях в качестве CA-сервера используется сервер Exchange. Это может быть связано с ограниченным количеством серверов, когда многие службы приходится инсталлировать на один сервер, либо потому, что организация желает использовать SSL для защищенного доступа к почте через OWA и в этой связи устанавливает службы сертификации на сервер Exchange. В любом случае, службы CA нуждаются в резервном копировании - независимо от того, находятся ли они на выделенном сервере или на сервере Exchange. Если CA-сервер отключится и понадобится его восстановление, это можно будет сделать, в результате чего пользователи продолжат работу с ним. 

Когда CA выдает сертификат компьютеру или пользователю, информация об этом записывается в базу данных сертификатов на локальном диске CA. Если эта база данных повреждена или уничтожена, все сертификаты, выданные с этого сервера, становятся недействительными или недоступными. Во избежание этой проблемы сертификаты и база данных службы сертификации должна часто резервироваться. Даже если сертификаты выдаются новым компьютерам и пользователям редко, все равно резервное копирование должно выполняться на регулярной основе.
Службы сертификации могут резервироваться тремя способами: созданием резервной копии состояния системы CA-сервера, использованием оснастки CA консоли ММС либо с помощью утилиты командной строки Certutil.exe. Резервирование первым способом более предпочтительно, потому что этот метод легко автоматизировать. Однако применение графической консоли или утилиты командной строки имеет свои преимущества: появляется возможность вернуть службу сертификации в предыдущее состояние без полного восстановления состояния системы или останова сервера.
Чтобы создать резервную копию службы CA с использованием графической консоли, выполните перечисленные ниже шаги.
1. Зарегистрируйтесь на CA-сервере под учетной записью с правами локального администратора.
2. Откройте Windows Explorer (Проводник) и создайте папку CaBackup на диске C:
3. Выберите в меню Start пункт ProgramsOAdministrative ToolsOCertificate Authority (Программы^Средства администрирования ОЦентр сертификации).
4. Разверните узел сервера Certificate Authority и выберите требуемый центр CA.
5. Выберите в меню Actions (Действия) пункт All TasksOBack Up CA (Все зада-чи^Резервное копирование CA).
6. Щелкните на кнопке Next на странице приветствия мастера Certification Authority Backup Wizard (Мастер резервного копирования центра сертификации).
7. На странице Items to Back Up мастера отметьте флажки Private Key and CA Certificate (Секретный ключ и сертификат CA) и Certificate Database and Certificate Database Log (База данных сертификатов и журнал базы данных сертификатов), как показано на рис. 31.5.
Службы сертификатов
8. Укажите место, куда сохранять файл резервной копии центра сертификации. Воспользуйтесь для этого папкой, созданной в начале процесса. Щелкните на кнопке Next для продолжения.
9. Когда сертификаты CA и секретные ключи шифрования помещаются в резервную копию, этот файл должен быть защищен паролем. Введите пароль, подтвердите его и щелкните на кнопке Next для продолжения.
10. Щелкните на кнопке Finish для запуска резервного копирования центра сертификации.