Window 2003证书服务器迁移到Windows 2008 R2
環(huán)境:
源服務(wù)器:Windows2003,域控制器,證書服務(wù)器
目標(biāo)服務(wù)器:Windows2008 R2,域控制器。
備注:將源服務(wù)器證書服務(wù)器遷移到目標(biāo)服務(wù)器上,要求更改目標(biāo)服務(wù)器名稱與源服務(wù)器名稱不相同。
一、準(zhǔn)備源服務(wù)器
1、 源服務(wù)器安裝補(bǔ)丁
源服務(wù)器安裝windows2003 SP2補(bǔ)丁。
2、備份 CA 模板列表
(1)以域管理員身份登錄到bj-ad-sms服務(wù)器.
(2)打開“證書頒發(fā)機(jī)構(gòu)”管理單元。
(3) 在控制臺樹中,展開“證書頒發(fā)機(jī)構(gòu)”,并單擊“證書模板”。
(4) 通過抓取屏幕截圖或?qū)⒘斜礞I入到文本文件中來記錄證書模板的列表。
3、使用 Certutil.exe 記錄 CA 模板列表
(1)使用本地管理憑據(jù)登錄到 bj-ad-sms計算機(jī)。
(2)打開命令提示符窗口。
(3)鍵入 certutil.exe –catemplates > catemplates.txt,并按 Enter。
(4)驗(yàn)證 catemplates.txt 文件是否包含模板列表,并將catemplates.txt文件,拷貝到C:\windows\sysvol\sysvol
4、記錄 CA 的簽名算法和 CSP
(1)使用本地管理憑據(jù)登錄到 bj-ad-sms。
(2)打開命令提示符窗口。
(3)鍵入 certutil.exe –getreg ca\csp\* > csp.txt,并按 Enter。
(3) 打開csp文件,截圖如下:
(4)記錄原始的CA將AIA和CRL數(shù)據(jù)發(fā)布到HTTP URLs以及客戶端在驗(yàn)證證書鏈和CRL數(shù)據(jù)時可以訪問HTTP URL,以便遷移后設(shè)置手動發(fā)布AIA和CRL數(shù)據(jù)帶原始的web服務(wù)器或是添加一條DNS記錄將指向原始的HTTP URL執(zhí)行新的CA服務(wù)器的HTTP URL(這里源服務(wù)器和目標(biāo)服務(wù)器的勾選項(xiàng)要一致)。例如:記錄下圖中l(wèi)dap和http中的勾選項(xiàng)。
二、遷移證書頒發(fā)機(jī)構(gòu)
1、備份源證書服務(wù)器 CA 數(shù)據(jù)庫和私鑰
(1) 以域管理員身份,登錄到源服務(wù)器。
(2) 打開“證書頒發(fā)機(jī)構(gòu)”管理單元。
(3) 右鍵單擊CA名稱,指向“所有任務(wù)”,然后單擊“備份 CA”。
(4) 在 CA 備份向?qū)У摹皻g迎”頁上,單擊“下一步”。
(5)在“要備份的項(xiàng)目”頁上,選中“私鑰和 CA 證書”以及“證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志”復(fù)選框,指定備份位置例如D:\CABACKUP,然后單擊“下一步”。
(3) 在“選擇密碼”頁上,鍵入用于保護(hù) CA 私鑰的密碼,并單擊“下一步”。
(7) 在“正在完成備份向?qū)А表撋?#xff0c;單擊“完成”。
(8)備份完成后,驗(yàn)證所指定的位置中的以下文件:
①包含 CA 證書和私鑰的 CA 名稱.p12
②包含文件 certbkxp.dat、edb#####.log 和 CA 名稱.edb 的 Database 文件夾
(9)打開命令提示符窗口,并鍵入 net stop certsvc 以停止“Active Directory 證書服務(wù)”服務(wù)。
(10)將所有備份文件復(fù)制到可從目標(biāo)服務(wù)器中訪問的位置(C:\windows\sysvol\sysvol)。
2、備份源證書服務(wù)器 CA 注冊表設(shè)置
(1)以域管理員登陸源服務(wù)器
(2)單擊“開始”,指向“運(yùn)行”,并鍵入 regedit 以打開注冊表編輯器。
(3)在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中,右鍵單擊“Configuration”,然后單擊“導(dǎo)出”。
(5) 指定C:\windows\sysvol\sysvol位置存儲和文件名為careg,然后單擊“保存”。
3、備份源證書服務(wù)器CAPolicy.inf
(1)打開我的電腦,找到c:\windows,沒有找到CAPolicy.inf文件,直接搜索C盤也無CAPolicy.inf文件。注意:已經(jīng)需要打開文件夾顯示隱藏文件屬性。
(2)說明用戶沒有自定義CAPolicy.inf,因此不需要備份這個文件。
4、從源服務(wù)器中刪除 CA 角色服務(wù)
(1)以域管理員身份登錄源服務(wù)器。
(2)打開控制面板,使用“添加/刪除 Windows 組件”,卸載證書服務(wù)器。
(3)等卸載完成,后點(diǎn)擊完成。
5、將 CA 角色服務(wù)添加到目標(biāo)服務(wù)器
(1)以域管理員身份登錄目標(biāo)服務(wù)器
(2)打開管理工具---服務(wù)器管理器,添加角色
(3)添加AD證書服務(wù),下一步
(4)選擇證書頒發(fā)機(jī)構(gòu)和證書頒發(fā)機(jī)構(gòu)web注冊,下一步
(5)選擇企業(yè),下一步。
(6)根CA,下一步
(7)在“設(shè)置私鑰”頁上,選擇“使用現(xiàn)有私鑰”和“選擇一個證書并使用其關(guān)聯(lián)私鑰”。
(8)在“證書”列表中,單擊導(dǎo)入的 CA 證書,然后單擊“下一步”。
注意:需要提前將源服務(wù)器中的cabackup文件夾和careg.reg,和catemplates.txt文件拷貝到本地C盤根目錄。
(9)選擇cabackup文件夾.p12文件,并輸入備份時的密碼,確定。
(10)選擇chinalifereca,然后下一步
(11)在“配置證書數(shù)據(jù)庫”頁上,下一步。
(12)在“確認(rèn)安裝選擇”頁上查看消息,然后單擊“安裝”。
(13)安裝完成,選擇關(guān)閉。
6、在目標(biāo)服務(wù)器上還原 CA 數(shù)據(jù)庫
(1)以域管理登陸目標(biāo)服務(wù)器
(2)打開管理工具---證書頒發(fā)機(jī)構(gòu)
(3)右鍵單擊包含 CA 名稱的節(jié)點(diǎn),指向“所有任務(wù)”,然后單擊“還原 CA”。如果出現(xiàn)提示,請單擊“確定”停止 CA 服務(wù)。
(4)在“歡迎”頁上,單擊“下一步”。
(5)在“要還原的項(xiàng)目”頁上,選擇“證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志”。
(6)單擊“瀏覽”,選擇C:\cabackup \目錄,按下一步。
(6) 輸入密碼,下一步。
(7)點(diǎn)擊完成
(8)單擊“是”重新啟動 CA 服務(wù)。
7、在目標(biāo) CA 上導(dǎo)入源 CA 注冊表備份
(1)以域管理員身份登錄目標(biāo)服務(wù)器
(2)以管理員身份運(yùn)行“命令提示符”。
(3)鍵入 net stop certsvc 并按 Enter。
(4)切換到存放careg.reg文件的目錄,鍵入 reg import careg.reg,并按 Enter。
注意:需要提前將源服務(wù)器中的careg.reg,文件拷貝到本地C盤根目錄。
8、編輯 目標(biāo)服務(wù)器CA 注冊表設(shè)置(注意:如果源服務(wù)器和目標(biāo)服務(wù)器名稱相同,可以直接跳到10步驟)
(1)單擊“開始”,在“搜索程序和文件”框中鍵入 regedit.exe,并按 Enter 以打開注冊表編輯器。
注意:更改注冊表前,先備份注冊表。
(2)在控制臺樹中,找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration 項(xiàng)
(3)在詳細(xì)信息窗格中,雙擊“DBSessionCount”。
(4)單擊“十六進(jìn)制”。在“數(shù)值數(shù)據(jù)”中,鍵入 64,然后單擊“確定”。
(5)驗(yàn)證以下設(shè)置中指定的位置對于目標(biāo)服務(wù)器是否正確,并根據(jù)需要更改它們以指示 CA 數(shù)據(jù)庫和日志文件的位置。
① DBDirectory
②DBLogDirectory
③DBSystemDirectory
④DBTempDirectory
注意:以上鍵值中目錄位置要和安裝CA時的路徑一致,否則會出錯誤。
(6)在注冊表編輯器的控制臺樹中,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration,并單擊 CA名稱。
(7)通過將源服務(wù)器名稱替換為目標(biāo)服務(wù)器名稱,修改以***冊表設(shè)置的值。
① CACertFileName
②ConfigurationDirectory (注意:這個值,在configuration鍵值下面,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration)
② CAServerName
(8)通過將 %1 替換為目標(biāo)服務(wù)器的完全限定的域名(例如 “BJ-DC.test.local”),并將 %2 替換為目標(biāo)服務(wù)器的 NetBIOS 名稱(這里為“BJ-DC”),修改以***冊表設(shè)置的值
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration下面)。
② CACertPublicationURLs
②CRLPublicationURLs
9、驗(yàn)證目標(biāo) CA 上的證書擴(kuò)展
(1)打開“證書頒發(fā)機(jī)構(gòu)”管理單元。
(2)在控制臺樹中,單擊 CA 的名稱。
(3)在“操作”菜單上,單擊“屬性”,然后單擊“擴(kuò)展”選項(xiàng)卡。請確認(rèn)“選擇擴(kuò)展”設(shè)置為“CRL 分發(fā)點(diǎn)(CDP)”。
(4)添加如下一條(如下圖:): “ ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>”
注意:如果目標(biāo)CA服務(wù)器和源CA服務(wù)器名稱不同,必須有這條。否則吊銷服務(wù)器不正常。
(5)點(diǎn)擊新添加的“ ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>”
更改為下列選項(xiàng)。(注意這里選項(xiàng)要與“一、準(zhǔn)備源服務(wù)器4”中最后記錄CRL和ATA設(shè)置一致)
(6)測試時可以將證書CRL發(fā)布間隔改為5年,增量改為4年
注意:CRL發(fā)布間隔時間長短會對客戶端訪問證書的性能和證書安全有影響。
10、還原證書模板列表
(1)以域管理員登陸目標(biāo)服務(wù)器。
(2)打開證書頒發(fā)機(jī)構(gòu)---證書模板
(3)對比源服務(wù)器的備份 CA 模板列表
如果缺少某個模板,可以使用一下命令,單獨(dú)添加
①以管理員身份打開命令提示符窗口。
③ 切換到C盤
④ 例如:添加系統(tǒng)管理員模板(具體模塊命令,可以參考(3)中文對照的英文):
鍵入 “certutil -setcatemplates +” Administrator””,并按 Enter。
11、對 AIA 和 CDP 容器授予權(quán)限
(1)以域管理員登陸到目標(biāo)服務(wù)器
(2)單擊“開始”,指向“運(yùn)行”,鍵入 dssite.msc,打開AD站點(diǎn)和服務(wù),然后單擊“確定”。
(3)在控制臺樹中,單擊頂部的節(jié)點(diǎn)。
(4)在“視圖”菜單上,單擊“顯示服務(wù)節(jié)點(diǎn)”。
(5)在控制臺樹中,展開“服務(wù)(Services)”,展開“公鑰服務(wù)(Public Key Services)”,然后單擊“AIA”。
(6)在詳細(xì)信息窗格中,右鍵單擊源 CA名稱,然后單擊“屬性”。
(7)單擊“安全性”選項(xiàng)卡,然后單擊“添加”。
(8)單擊“對象類型”,單擊“計算機(jī)”,然后單擊“確定”。
(9)鍵入目標(biāo)服務(wù)器的名稱,并單擊“確定”。
(10)在“允許”列中,單擊“完全控制”,并單擊“應(yīng)用”。
(11)如果源服務(wù)器名對象顯示在“組或用戶名”中,請單擊源服務(wù)器的名稱,然后單擊“刪除”,再單擊“確定”。
(12)在控制臺樹中,展開“CDP”,然后單擊源服務(wù)器的名稱。
(13)在詳細(xì)信息窗格中,右鍵單擊列表頂部的“cRLDistributionPoint”項(xiàng),然后單擊“屬性”。
(14)單擊“安全性”選項(xiàng)卡,然后單擊“添加”。
(15)單擊“對象類型”,單擊“計算機(jī)”,然后單擊“確定”。
(16)鍵入目標(biāo)服務(wù)器的名稱,并單擊“確定”。
(17)在“允許”列中,單擊“完全控制”,并單擊“應(yīng)用”。
(18)如果源服務(wù)器名稱對象顯示在“組或用戶名”中,請單擊源服務(wù)器的名稱,然后單擊“刪除”,再單擊“確定”。
12、啟動證書服務(wù)
1)以域管理員登陸目標(biāo)服務(wù)器
2)打開管理工具---證書頒發(fā)機(jī)構(gòu),右鍵選擇CA證書名稱,所有任務(wù),然后啟動服務(wù)。
(4) 驗(yàn)證遷移
轉(zhuǎn)載于:https://blog.51cto.com/tuwey/1664089
總結(jié)
以上是生活随笔為你收集整理的Window 2003证书服务器迁移到Windows 2008 R2的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
