必须立即备份EFS加密证书与私钥,否则系统重装或配置损坏将导致数据永久丢失;可通过证书管理器、文件属性界面或certutil命令行三种方法导出含私钥的PFX文件。
如果您已在Windows 11中使用EFS加密了文件或文件夹,但尚未备份对应的加密证书与私钥,则当前系统中的密钥一旦丢失(如用户配置损坏、重装系统),加密数据将永久不可访问。以下是导出EFS密钥文件的多种可靠方法:
一、通过证书管理器导出PFX格式密钥文件
该方法直接调用Windows内置证书管理工具,导出包含私钥的完整加密证书,是EFS密钥备份的标准操作路径,适用于所有启用EFS的NTFS卷。
1、按下Win + R组合键打开“运行”对话框,输入certmgr.msc并按回车,启动证书管理器。
2、在左侧窗格中依次展开个人 → 证书节点。
3、在右侧证书列表中,查找“颁发给”字段为当前用户名、“增强型密钥用法”包含加密文件系统的证书。
4、右键点击该证书,选择所有任务 → 导出,启动证书导出向导。
5、在向导中选择是,导出私钥,然后点击“下一步”。
6、选择导出格式为个人信息交换 – PKCS #12 (.PFX),勾选包括所有证书到证书路径和启用强私钥保护,点击“下一步”。
7、设置并确认一个强密码(必须牢记,无此密码无法导入恢复)。
8、指定安全保存位置(如U盘根目录或外部硬盘),命名文件(例如EFS_Backup_2026.pfx),点击“下一步”完成导出。
二、通过文件属性界面快速触发密钥导出向导
当首次对文件或文件夹启用EFS加密时,系统会自动检测并提示备份证书;若此前跳过该提示,可通过已加密对象反向唤起导出流程,无需手动定位证书管理器。
1、右键点击任意一个已成功加密的文件或文件夹(名称显示为绿色),选择“属性”。
2、在“属性”窗口中点击“高级”按钮,进入“高级属性”对话框。
3、点击右下角的详细信息按钮。
4、在弹出的“文件加密详细信息”窗口中,选中当前用户的加密证书条目。
5、点击备份密钥按钮,系统将自动启动“证书导出向导”。
6、后续步骤与方法一第5–8步完全一致:选择导出私钥、设定PFX格式、设置密码、指定保存路径并完成导出。
三、使用命令行工具certutil批量导出密钥(高级用户适用)
该方法适用于需脚本化操作或批量处理多个用户证书的场景,依赖Windows原生命令certutil.exe,不依赖图形界面,可在无GUI环境(如Server Core)中执行。
1、以管理员身份运行命令提示符或PowerShell。
2、执行以下命令列出当前用户所有EFS相关证书的指纹:
certutil -store My "Encryption File System"
3、从输出中识别目标证书的Cert Hash (sha1)值(40位十六进制字符串)。
4、运行导出命令,将哈希值替换为实际值,并指定输出路径与密码:
certutil -exportPFX -p "YourStrongPassword" My "CERT_HASH_VALUE" "C:\Backup\EFS_Key.pfx"
5、检查输出路径是否存在EFS_Key.pfx文件,并确认文件大小非零。
