CA證書的遷移

證書遷移準備工做:

1,備份CA模板列表:

Certutil -catemplates >c:\cabackup\catemplates.txt

2,記錄CA的簽名算法和CSP:

   Certutil -getreg ca\csp\* >c:\cabackup\csp.txt    

3,吊銷的證書發佈有效期延長

4,備份CA數據庫和私鑰:

4.1,用PowerShell:

Backup-CARoleService –path <BackupDirectory>

注:BackupDirectory指定建立備份文件的目錄。指定的值能夠是相對路徑或絕對路徑。若是指定的目錄不存在，則建立該目錄。備份文件在名爲Database的子目錄中建立。

4.2,用Certutil.exe

Net stop certsrv

Certutil -backupDB c:\cabackup\db  //注:導入所指定的文件夾必須是空文件夾

Certutil -backupkey c:\cabackup         //注:輸入以後會要求輸入一個密碼以確保安全

5,備份CA註冊表設置

5.1,用regedit.exe

單擊「開始」、指向「運行」，而後鍵入 regedit 以打開註冊表編輯器。在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 右鍵單擊「配置」，而後單擊「導出」。指定位置和文件名，而後單擊「保存」。這將建立包含源 CA 的 CA配置數據的註冊表文件。

5.2,使用Reg.exe備份CA註冊表設置

             打開命令提示符窗口

鍵入reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration  <output file> .reg並按Enter。注 : output file 就一個絕對路徑文件名將註冊表文件複製到可從目標服務器訪問的位置; 例如，共享文件夾或可移動媒體。

6,備份CAPolicy.inf

在C:\windows文件夾下 (通常狀況下沒有)

7,中止源CA服務器

8,在目標服務器上還原數據

8.1,在新CA服務器上安裝CA證書頒機構--->AD CS配置時必須導入源CA的私鑰.

8.2,還原數據庫

8.2.1,用PowerShell

Stop-service certsvc

Restore-CARoleService -path c:\cabackup\ -databaseonly -force

Start-service certsvc

8.2.2,用Certutil

Net stop certsrv

Certutil.exe -f -restoredb  c:\cabackup

Net start certsrv

8.3,還原CA註冊表設置

8.3.1,用reg.exe

在目標CA上導入源CA註冊表備份

1.               以本地Administrators組成員的身份登陸到目標服務器。

打開命令提示符窗口。

鍵入net stop certsvc並按Enter。

鍵入reg import  <Registry Settings Backup.reg>，而後按Enter。 //注:Registry Settings Backup.reg爲備份的註冊表文件位置

編輯CA註冊表設置

DBDirectory

DBLogDirectory

DBSystemDirectory

DBTempDirectory

單擊「 開始」，在「 搜索程序和文件」框中鍵入regedit.exe，而後按Enter以打開註冊表編輯器。

在控制檯樹中，找到密鑰HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ CertSvc \ Configuration，而後單擊「 配置」。

在詳細信息窗格中，雙擊DBSessionCount。

單擊十六進制。在「 數值數據」中，鍵入64，而後單擊「 肯定」。

驗證如下設置中指定的位置是否適用於目標服務器，並根據須要進行更改以指示CA數據庫和日誌文件的位置。

8.3.2,修改 CAServerName

將源CAServerName修改成新CA的CAServerName

8.4,還原證書模板列表

使用管理憑據登陸到目標CA.

打開命令提示符窗口。

鍵入certutil -setcatemplates +  <templatelist>，而後按Enter。 // 注:templatelist 爲源CA導出的模板列表文件 catemlates.txt裏面的文件名稱

certutil -setcatemplates + Administrator，User，DomainController

8.5, 授予AIA和CDP容器權限(在DC上完成)

若是目標服務器的名稱與源服務器不一樣，則必須爲目標服務器授予AD DS中源服務器的CDP和AIA容器的權限

8.5.1,以Enterprise Admins組成員的身份登陸到安裝

ActiveDirectory站點和服務管理單元的計算機。打開Active Directory站點和服務（dssite.msc）

8.5.2,對這兩個容器添加新CA計算機徹底控制權限

(ps:若是在CDP擴展中使用文件// \ computer \ share語法將CRL發佈到共享文件夾位置，則可能須要調整該共享文件夾的權限，以便目標CA可以寫入該文件夾地點。若是您在目標服務器上託管CDP並使用包含別名的AIA或CDP路徑（例如，pki.contoso.com）做爲目標，則可能須要調整DNS記錄以使其指向正確的目標IP地址。)