命中注定我爱你韩版20:如何迁移CA（证书颁发机构）服务器 - 服务器操作系统交流 - WinOS微软技术论坛微...

来源：百度文库编辑：中财网时间：2024/05/01 22:09:42

如何迁移CA（证书颁发机构）服务器

服务器, 证书 本帖最后由尘封メ心于 2009-6-24 10:14 编辑

前言
证书颁发机构 (CA) 是企业内部公钥基础结构 (PKI) 的核心组件。尽管CA 服务器可使用许多年甚至是几十年或更长，但是我们有可能遇到这样的场景需求：
1. CA服务器已经服役了相当长的时间，而在这段时间内作为 CA 服务器的硬件可能早已更新换代，所以有必要将CA服务器迁移到新的配置强劲的服务器上；
2. 基于公司的某些具体策略需求，需要将企业内部的CA服务器迁移到另外的服务器上
基于这样的需求，我在这里向大家介绍一下如何将证书颁发机构 (CA)迁移到其他服务器上。
注意：要将 CA 从运行 Windows 2000 Server 的服务器迁移到运行 Windows Server 2003 的服务器，必须首先将运行 Windows 2000 Server 的 CA 服务器操作系统升级到 Windows Server 2003。然后，才能按照本文所述的步骤进行迁移操作。

演示环境
环境很简单，我就不画什么拓扑图了，简单交代一下就行了。
Old_CA : CA1.winos.cn (Windows server 2003)
New_CA :CA2.winos.cn (Windows server 2003)

注：如何迁移到2008 CA，请参考ghjconan在31楼的精彩回复。

1 评分人数

yansy: 精品文章。技术积分 + 2

收藏分享 0

1. Exchange FAQ

2. Directory Services & Exchange Server MVP

3. 问题解决后，劳烦将帖子修改为“已解决” 1. 2003到2008的迁移过程基本上也是这样
2. CA和DC装在一起的话请仔细阅读Performing the Upgrade or Migration一文中“Migrate a CA from a domain controller”部分的内容
3. 新老CA可以不同名，但是你必须完成额外的操作步骤，操作步骤请参考之前提到的一文，操作时必须小心谨慎。推荐在虚拟机中测试过所有步骤后才在生产环境中进行操作
4. 证书模板的导出方法

1. 在备份CA数据库和配置信息后，再执行以下命令
Certutil –CATemplates > c:\cabackup\filename.txt
2. 在将备份数据复制到新CA之后，并完成相关还原工作之后，双击打开filename.txt，文件内容可能是这样的

删除冒号（包括冒号）之后的内容，在每一行之前添加 "certutil –setcatemplates +"
最后将文件存为批处理文件，双击执行即可

5. 最后强调一下如果有朋友需要将2003的证书服务迁移至2008的ADCS时，请在参考本文的同时，仔细阅读Performing the Upgrade or Migration一文。其它未尽事宜也请仔细阅读Performing the Upgrade or Migration一文。 回复引用

报告使用道具

发短消息
MSN 聊天
加为好友

尘封メ心 (唐天浩)

UID: 12818
帖子: 3220
主题: 2
精华: 31
积分: 198
阅读权限: 180
性别: 男
在线时间: 2978 小时
注册时间: 2007-2-13
最后登录: 2010-1-14

超级版主

技术积分: 193
论坛资产: 14124 wb
其他积分: 5

2楼

尘封メ心 发表于 2008-2-14 14:36 | 只看该作者 操作步骤
1. 如果你在证书颁发机构管理单元的“证书模板”文件夹中配置过自定义的证书模板，那么必须在新的 CA 服务器上手动配置证书模板设置以保持模板集相同。打个比方，如果你曾经在老的CA服务器上自定义过一个证书模板用于某个特殊用途，若仍想让客户端在新的CA服务器上申请证书时仍能使用该模板的话，那么你需要再次在新的CA服务器上配置相同的证书模板。因为有关证书模板的设置是存储在 Active Directory 中。这些信息不会按照本文的操作而自动备份。
注意：“证书模板”文件夹仅存在于企业 CA 上。独立 CA 不使用证书模板。因此，此步不适用于独立 CA。如果你想将独立CA进行迁移操作，那么请跳过此步骤。

2. 以下操作在老CA服务器上进行。我们需要使用“证书颁发机构”管理单元备份 CA 数据库和私钥。请按照下列步骤操作：
a.  单击“开始”?“运行”,输入certsrv.msc，打开“证书颁发机构”的管理单元。在“证书颁发机构”的管理单元中右键单击 CA 名称，单击“所有任务”，然后单击“备份 CA”以启动证书颁发机构的备份向导。如图1
b.  单击“下一步”，如图2.
c.  然后勾选“私钥和 CA 证书”和“证书数据库和证书数据库日志”。然后使用一个空文件夹作为备份位置用来保存备份文件，请确保新服务器可以访问该备份文件夹。如果指定的备份文件夹不存在，则证书颁发机构备份向导将创建它。如图3
注意：由于是第一次进行备份，所以图3中的“执行增量备份”为灰色不可选状态。

1.JPG (36.23 KB)

下载次数:3

2008-2-14 14:36

2.JPG (38.74 KB)

下载次数:3

2008-2-14 14:36

3.JPG (37.49 KB)

下载次数:4

2008-2-14 14:36

1. Exchange FAQ

2. Directory Services & Exchange Server MVP

3. 问题解决后，劳烦将帖子修改为“已解决” 回复引用

报告使用道具 TOP

发短消息
MSN 聊天
加为好友

尘封メ心 (唐天浩)

UID: 12818
帖子: 3220
主题: 2
精华: 31
积分: 198
阅读权限: 180
性别: 男
在线时间: 2978 小时
注册时间: 2007-2-13
最后登录: 2010-1-14

超级版主

技术积分: 193
论坛资产: 14124 wb
其他积分: 5

3楼

尘封メ心 发表于 2008-2-14 14:37 | 只看该作者 d  为了安全起见，请键入并确认 CA 私钥备份文件的密码。如图4
e.  单击“下一步”，然后验证备份设置。应当显示下列设置：如图5
• 私钥
• CA 证书颁发的日志
• 挂起的申请
f. 单击“完成”成功完成对CA服务器的备份。
g. 回到前面指定的CA备份目录C:\CA_Bak，可以看到该目录下有个Database目录和一个p12文件，如图6

4.JPG (45.05 KB)

下载次数:2

2008-2-14 14:37

5.JPG (41.37 KB)

下载次数:2

2008-2-14 14:37

6.JPG (25.83 KB)

下载次数:2

2008-2-14 14:37

1. Exchange FAQ

2. Directory Services & Exchange Server MVP

3. 问题解决后，劳烦将帖子修改为“已解决” 回复引用

报告使用道具 TOP

发短消息
MSN 聊天
加为好友

尘封メ心 (唐天浩)

UID: 12818
帖子: 3220
主题: 2
精华: 31
积分: 198
阅读权限: 180
性别: 男
在线时间: 2978 小时
注册时间: 2007-2-13
最后登录: 2010-1-14

超级版主

技术积分: 193
论坛资产: 14124 wb
其他积分: 5

4楼

尘封メ心 发表于 2008-2-14 14:38 | 只看该作者 3.  另外，还需要备份老 CA 的注册表设置：
a.  在老CA服务器上单击“开始”?“运行”，键入 regedit。
b.  找到下面的注册表子项，然后右键单击它：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration ，选择“导出”，如图7，将注册表文件保存在前面定义的CA 备份文件夹中C:\CA_bak目录中。

4 在老CA服务器上单击“开始”?“运行”，键入 sysocmgr /i:sysoc.inf，在弹出的“Windows组件向导”中取消“证书服务”的勾选以删除老CA上的证书服务，如图8

5  重新命名旧CA服务器，或者将其永久与网络断开连接。很重要的一步，不要忘记！

7.JPG (68.16 KB)

下载次数:2

2008-2-14 14:38

8.JPG (42.23 KB)

下载次数:2

2008-2-14 14:38

1. Exchange FAQ

2. Directory Services & Exchange Server MVP

3. 问题解决后，劳烦将帖子修改为“已解决” 回复引用

报告使用道具 TOP

发短消息
MSN 聊天
加为好友

尘封メ心 (唐天浩)

UID: 12818
帖子: 3220
主题: 2
精华: 31
积分: 198
阅读权限: 180
性别: 男
在线时间: 2978 小时
注册时间: 2007-2-13
最后登录: 2010-1-14

超级版主

技术积分: 193
论坛资产: 14124 wb
其他积分: 5

5楼

尘封メ心 发表于 2008-2-14 14:39 | 只看该作者 6  以下操作在新CA服务器上进行。将新CA服务器的计算机名CA2.winos.cn重命令为CA1.winos.cn。
注意：新CA服务器的计算机名称必须与旧服务器的计算机名称相同。所以大家应该明白为什么我说前面的第5个步骤重命名老CA服务器的这一步很重要了吧。一个是避免计算机名冲突，而另一个最重要的是CA服务器的私钥和证书是和计算机相挂钩的。

7  在新CA服务器上单击“开始”?“运行”，键入 sysocmgr /i:sysoc.inf，在弹出的“Windows组件向导”中勾选 “证书服务”，点击下一步，如图9，

8  根据需要选择CA的类型，这里我选择企业根CA

9  单击“用自定义设置生成密钥对和 CA 证书”，然后单击“下一步”，如图10

9.JPG (42.6 KB)

下载次数:2

2008-2-14 14:39

10.JPG (31.39 KB)

下载次数:2

2008-2-14 14:39

1. Exchange FAQ

2. Directory Services & Exchange Server MVP

3. 问题解决后，劳烦将帖子修改为“已解决” 回复引用

报告使用道具 TOP

发短消息
MSN 聊天
加为好友

尘封メ心 (唐天浩)

UID: 12818
帖子: 3220
主题: 2
精华: 31
积分: 198
阅读权限: 180
性别: 男
在线时间: 2978 小时
注册时间: 2007-2-13
最后登录: 2010-1-14

超级版主

技术积分: 193
论坛资产: 14124 wb
其他积分: 5

6楼

尘封メ心 发表于 2008-2-14 14:40 | 只看该作者 10  单击“导入”，如图11，键入备份文件夹中 .P12 文件的路径，再键入之前输入的密码，然后单击“确定”。如图12

11  在“公钥/私钥对”对话框中，验证是否选中“使用现有密钥”。如图12中红圈部分

12  接受“证书数据库设置”的默认设置，单击“下一步”，然后单击“完成”结束证书服务的安装。

13  停止证书服务。在新CA服务器上单击“开始”?“运行”，键入net stop certsvc

14  找到在第 3 步中保存的注册表文件，然后双击该文件以导入注册表设置，如图13

[ 本帖最后由尘封メ心于 2008-2-14 14:44 编辑 ]

11.JPG (44.93 KB)

下载次数:2

2008-2-14 14:44

12.JPG (43.61 KB)

下载次数:2

2008-2-14 14:44

13.JPG (46.22 KB)

下载次数:2

2008-2-14 14:44

1. Exchange FAQ

2. Directory Services & Exchange Server MVP

3. 问题解决后，劳烦将帖子修改为“已解决” 回复引用

报告使用道具 TOP

发短消息
MSN 聊天
加为好友

尘封メ心 (唐天浩)

UID: 12818
帖子: 3220
主题: 2
精华: 31
积分: 198
阅读权限: 180
性别: 男
在线时间: 2978 小时
注册时间: 2007-2-13
最后登录: 2010-1-14

超级版主

技术积分: 193
论坛资产: 14124 wb
其他积分: 5

7楼

尘封メ心 发表于 2008-2-14 14:41 | 只看该作者 15  接下来我们需要使用“证书颁发机构”管理单元来还原CA 数据库。单击“开始”?“运行”,输入certsrv.msc，打开“证书颁发机构”的管理单元。在“证书颁发机构”的管理单元中右键单击 CA 名称，单击“所有任务”，然后单击“还原 CA”以启动证书颁发机构的还原份向导。如图14

16  单击“下一步”，然后勾选“私钥和 CA 证书”和“证书数据库和证书数据库日志”。并键入备份文件夹位置，然后单击“下一步”。如图15

17  输入之前的密码。点击下一步，如图16

18  单击“完成”，然后单击“是”以在还原 CA 数据库时重新启动证书服务。如图17

19  根据需要然后在证书颁发机构管理单元中，手动添加或删除证书模板以便使存储在AD中的新老服务器的证书模板设置相同。至此，CA服务器的迁移正式完成，比较简单，但是希望对朋友们有帮助。

14.JPG (34.31 KB)

下载次数:2

2008-2-14 14:41