將2003證書服務器遷移到2008R2服務器上

時間  2020-01-29
標籤 證書 服務器 遷移 2008r2 简体版
原文   原文鏈接

[url=]2、遷移證書頒發機構[/url]
[url=]1[/url]、備份源證書服務器 CA 數據庫和私鑰
(1) 以域管理員身份,登陸到源服務器。
(2) 打開「證書頒發機構」管理單元。
(3) 右鍵單擊CA名稱,指向「全部任務」,而後單擊「備份 CA」。
1410070_13034534556yXm.jpg
(4) 在 CA 備份嚮導的「歡迎」頁上,單擊「下一步」。
(5)在「要備份的項目」頁上,選中「私鑰和 CA 證書」以及「證書數據庫和證書數據庫日誌」複選框,指定備份位置例如D:\CABACKUP,而後單擊「下一步」。
1410070_1303453456pvlw.jpg
(3) 在「選擇密碼」頁上,鍵入用於保護 CA 私鑰的密碼,並單擊「下一步」。
(7) 在「正在完成備份嚮導」頁上,單擊「完成」。
(8)備份完成後,驗證所指定的位置中的如下文件:
①包含 CA 證書和私鑰的 CA 名稱.p12
1410070_1303453456bLvo.jpg
②包含文件 certbkxp.dat、edb#####.log 和 CA 名稱.edb 的 Database 文件夾
1410070_1303453456qfA5.jpg(9)打開命令提示符窗口,並鍵入 net stop certsvc 以中止「Active Directory 證書服務」服務。
(10)將全部備份文件複製到可從目標服務器中訪問的位置(C:\windows\sysvol\sysvol)。
[url=]2[/url]、備份源證書服務器 CA 註冊表設置
(1)以域管理員登錄源服務器
(2)單擊「開始」,指向「運行」,並鍵入 regedit 以打開註冊表編輯器。
(3)在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中,右鍵單擊「Configuration」,而後單擊「導出」。
1410070_1303453457GnOz.jpg
(5) 指定C:\windows\sysvol\sysvol位置存儲和文件名爲careg,而後單擊「保存」。
[url=]3[/url]、備份源證書服務器CAPolicy.inf
(1)打開個人電腦,找到c:\windows,沒有找到CAPolicy.inf文件,直接搜索C盤也無CAPolicy.inf文件。注意:已經須要打開文件夾顯示隱藏文件屬性。
(2)說明用戶沒有自定義CAPolicy.inf,所以不須要備份這個文件。
[url=]4[/url]、從源服務器中刪除 CA 角色服務
(1)以域管理員身份登陸源服務器。
(2)打開控制面板,使用「添加/刪除 Windows 組件」,卸載證書服務器。
1410070_1303453457RQw7.jpg
(3)等卸載完成,後點擊完成。
[url=]5[/url]、將 CA 角色服務添加到目標服務器
(1)以域管理員身份登陸目標服務器
(2)打開管理工具---服務器管理器,添加角色
(3)添加AD證書服務,下一步
1410070_13034534579yJM.jpg
(4)選擇證書頒發機構和證書頒發機構web註冊,下一步
1410070_1303453458HJTS.jpg
(5)選擇企業,下一步。
1410070_1303453458M8R8.jpg
(6)根CA,下一步
1410070_1303453458WVd7.jpg
(7)在「設置私鑰」頁上,選擇「使用現有私鑰」和「選擇一個證書並使用其關聯私鑰」。
1410070_1303453459avTZ.jpg
(8)在「證書」列表中,單擊導入的 CA 證書,而後單擊「下一步」。
注意:須要提早將源服務器中的cabackup文件夾和careg.reg,和catemplates.txt文件拷貝到本地C盤根目錄。
(9)選擇cabackup文件夾.p12文件,並輸入備份時的密碼,肯定。
1410070_1303453459sGaO.jpg
(10)選擇chinalifereca,而後下一步
1410070_1303453459qPCj.jpg
(11)在「配置證書數據庫」頁上,下一步。
1410070_1303453460dBB4.jpg
(12)在「確認安裝選擇」頁上查看消息,而後單擊「安裝」。
1410070_1303453460XEbl.jpg
(13)安裝完成,選擇關閉。
1410070_13034534608u63.jpg
[url=]6[/url]、在目標服務器上還原 CA 數據庫
(1)以域管理登錄目標服務器
(2)打開管理工具---證書頒發機構
(3)右鍵單擊包含 CA 名稱的節點,指向「全部任務」,而後單擊「還原 CA」。若是出現提示,請單擊「肯定」中止 CA 服務。
(4)在「歡迎」頁上,單擊「下一步」。
(5)在「要還原的項目」頁上,選擇「證書數據庫和證書數據庫日誌」。
(6)單擊「瀏覽」,選擇C:\cabackup \目錄,按下一步。
1410070_1303453461H7vV.jpg
(6) 輸入密碼,下一步。
(7)點擊完成
(8)單擊「是」從新啓動 CA 服務。
[url=]7[/url]、在目標 CA 上導入源 CA 註冊表備份
(1)以域管理員身份登陸目標服務器
(2)以管理員身份運行「命令提示符」。
(3)鍵入 net stop certsvc 並按 Enter。
1410070_1303453461LoAY.jpg
(4)切換到存放careg.reg文件的目錄,鍵入 reg import careg.reg,並按 Enter。
注意:須要提早將源服務器中的careg.reg,文件拷貝到本地C盤根目錄。
1410070_1303453461ozxK.jpg
[url=]8[/url]、編輯 目標服務器CA 註冊表設置(注意:若是源服務器和目標服務器名稱相同,能夠直接跳到10步驟)
(1)單擊「開始」,在「搜索程序和文件」框中鍵入 regedit.exe,並按 Enter 以打開註冊表編輯器。
注意:更改註冊表前,先備份註冊表。
(2)在控制檯樹中,找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration 項
1410070_13034534622WfG.jpg
(3)在詳細信息窗格中,雙擊「DBSessionCount」。
1410070_1303453462RMf9.jpg
(4)單擊「十六進制」。在「數值數據」中,鍵入 64,而後單擊「肯定」。
1410070_1303453462ROqf.jpg
(5)驗證如下設置中指定的位置對於目標服務器是否正確,並根據須要更改它們以指示 CA 數據庫和日誌文件的位置。
① DBDirectory
1410070_1303453463s9sY.jpg
②DBLogDirectory
③DBSystemDirectory
④DBTempDirectory
注意:以上鍵值中目錄位置要和安裝CA時的路徑一致,不然會出錯誤。
(6)在註冊表編輯器的控制檯樹中,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration,並單擊 CA名稱。
1410070_1303453463OEjm.jpg
(7)經過將源服務器名稱替換爲目標服務器名稱,修改如下注冊表設置的值。
① CACertFileName
1410070_1303453463cVD7.jpg
②ConfigurationDirectory (注意:這個值,在configuration鍵值下面,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration)
② CAServerName
(8)經過將 %1 替換爲目標服務器的徹底限定的域名(例如 「[url=]BJ-DC.test.local[/url]」),並將 %2 替換爲目標服務器的 NetBIOS 名稱(這裏爲「BJ-DC」),修改如下注冊表設置的值
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration下面)。
② CACertPublicationURLs
1410070_1303453464P1XE.jpg
②CRLPublicationURLs
[url=]9[/url]、驗證目標 CA 上的證書擴展
(1)打開「證書頒發機構」管理單元。
(2)在控制檯樹中,單擊 CA 的名稱。
(3)在「操做」菜單上,單擊「屬性」,而後單擊「擴展」選項卡。請確認「選擇擴展」設置爲「CRL 分發點(CDP)」。
1410070_1303453464PoR9.jpg
(4)添加以下一條(以下圖:): 「 ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>」
注意:若是目標CA服務器和源CA服務器名稱不一樣,必須有這條。不然吊銷服務器不正常。
1410070_1303453464RzX7.jpg
(5)點擊新添加的「 ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>」
更改成下列選項。(注意這裏選項要與「1、準備源服務器4」中最後記錄CRL和ATA設置一致)
1410070_1303453465TNoY.jpg
(6)測試時能夠將證書CRL發佈間隔改成5年,增量改成4年
1410070_1303453465UPT1.jpg
注意:CRL發佈間隔時間長短會對客戶端訪問證書的性能和證書安全有影響。
[url=]10[/url]、還原證書模板列表
(1)以域管理員登錄目標服務器。
(2)打開證書頒發機構---證書模板
1410070_1303453465Qv0U.jpg
(3)對比源服務器的備份 CA 模板列表
1410070_1303453466JKtw.jpg
若是缺乏某個模板,可使用一下命令,單獨添加
①以管理員身份打開命令提示符窗口。
③ 切換到C盤
④ 例如:添加系統管理員模板(具體模塊命令,能夠參考(3)中文對照的英文):
鍵入 「certutil -setcatemplates +」 Administrator」」,並按 Enter。
[url=]11[/url]、對 AIA 和 CDP 容器授予權限
(1)以域管理員登錄到目標服務器
(2)單擊「開始」,指向「運行」,鍵入 dssite.msc,打開AD站點和服務,而後單擊「肯定」。
(3)在控制檯樹中,單擊頂部的節點。
(4)在「視圖」菜單上,單擊「顯示服務節點」。
(5)在控制檯樹中,展開「服務(Services)」,展開「公鑰服務(Public Key Services)」,而後單擊「AIA」。
1410070_1303453466tETv.jpg
(6)在詳細信息窗格中,右鍵單擊源 CA名稱,而後單擊「屬性」。
(7)單擊「安全性」選項卡,而後單擊「添加」。
(8)單擊「對象類型」,單擊「計算機」,而後單擊「肯定」。
1410070_1303453466LUoL.jpg
(9)鍵入目標服務器的名稱,並單擊「肯定」。
1410070_1303453467QEjX.jpg
(10)在「容許」列中,單擊「徹底控制」,並單擊「應用」。
1410070_1303453467aROH.jpg
(11)若是源服務器名對象顯示在「組或用戶名」中,請單擊源服務器的名稱,而後單擊「刪除」,再單擊「肯定」。
(12)在控制檯樹中,展開「CDP」,而後單擊源服務器的名稱。
(13)在詳細信息窗格中,右鍵單擊列表頂部的「cRLDistributionPoint」項,而後單擊「屬性」。
(14)單擊「安全性」選項卡,而後單擊「添加」。
(15)單擊「對象類型」,單擊「計算機」,而後單擊「肯定」。
(16)鍵入目標服務器的名稱,並單擊「肯定」。
(17)在「容許」列中,單擊「徹底控制」,並單擊「應用」。
(18)若是源服務器名稱對象顯示在「組或用戶名」中,請單擊源服務器的名稱,而後單擊「刪除」,再單擊「肯定」。
[url=]12[/url]、啓動證書服務
1)以域管理員登錄目標服務器
2)打開管理工具---證書頒發機構,右鍵選擇CA證書名稱,全部任務,而後啓動服務。
(4) 驗證遷移
web

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程