Fazendo backup e restaurando a chave privada dos Serviços de Certificados
Você não pode usar as funções de backup e restauração do Certadm.dll para fazer backup das chaves privadas dos Serviços de Certificados. Não é possível fazer backup de chaves privadas por essas funções porque essas funções se destinam a fazer backup e restaurar o banco de dados dos Serviços de Certificados (e arquivos relacionados) e esse banco de dados não contém chaves privadas (mesmo para certificados autoemitidos).
Para fazer backup de uma chave privada dos Serviços de Certificados, use o snap-in MMC da Autoridade de Certificação ou o comando certutil (com -backup ou -backupkey especificado). Fazer backup da chave privada com o snap-in da Autoridade de Certificação MMC ou o certutil resulta na gravação da chave privada no arquivo PKCS nº 12. Embora esse arquivo PKCS nº 12 seja protegido por senha, ele deve ser considerado extremamente confidencial e deve ser armazenado com segurança; a senha para o arquivo PKCS nº 12 também deve ser protegida de pessoas não autorizadas.
Da mesma forma, as chaves privadas não podem ser restauradas pelas funções de backup e restauração dos Serviços de Certificados. Uma chave de backup dos Serviços de Certificados contida em um arquivo PKCS nº 12 pode ser restaurada pelo snap-in MMC da Autoridade de Certificação ou pelo comando certutil (especificando os verbos -restore ou -restorekey); observe que a pessoa que está executando a operação de restauração precisará saber a senha do arquivo PKCS nº 12.
Há apenas dois casos em que uma chave privada dos Serviços de Certificados deve ser copiada em backup. O primeiro caso é após a instalação dos Serviços de Certificados. O segundo caso ocorre após qualquer operação de renovação do certificado dos Serviços de Certificados.