命中注定我爱你韩版20:如何迁移CA(证书颁发机构)服务器 - 服务器操作系统交流 - WinOS微软技术论坛 微...
来源:百度文库 编辑:中财网 时间:2024/05/01 22:09:42
如何迁移CA(证书颁发机构)服务器
服务器, 证书 本帖最后由 尘封メ心 于 2009-6-24 10:14 编辑前言
证书颁发机构 (CA) 是企业内部公钥基础结构 (PKI) 的核心组件。尽管CA 服务器可使用许多年甚至是几十年或更长,但是我们有可能遇到这样的场景需求:
1. CA服务器已经服役了相当长的时间,而在这段时间内作为 CA 服务器的硬件可能早已更新换代,所以有必要将CA服务器迁移到新的配置强劲的服务器上;
2. 基于公司的某些具体策略需求,需要将企业内部的CA服务器迁移到另外的服务器上
基于这样的需求,我在这里向大家介绍一下如何将证书颁发机构 (CA)迁移到其他服务器上。
注意:要将 CA 从运行 Windows 2000 Server 的服务器迁移到运行 Windows Server 2003 的服务器,必须首先将运行 Windows 2000 Server 的 CA 服务器操作系统升级到 Windows Server 2003。然后,才能按照本文所述的步骤进行迁移操作。
演示环境
环境很简单,我就不画什么拓扑图了,简单交代一下就行了。
Old_CA : CA1.winos.cn (Windows server 2003)
New_CA :CA2.winos.cn (Windows server 2003)
注:如何迁移到2008 CA,请参考ghjconan在31楼的精彩回复。
- 1
评分人数
-
- yansy: 精品文章。技术积分 + 2
- 0
- 0
- 顶
- 踩
2. Directory Services & Exchange Server MVP
3. 问题解决后,劳烦将帖子修改为“已解决” 1. 2003到2008的迁移过程基本上也是这样
2. CA和DC装在一起的话请仔细阅读Performing the Upgrade or Migration一文中“Migrate a CA from a domain controller”部分的内容
3. 新老CA可以不同名,但是你必须完成额外的操作步骤,操作步骤请参考之前提到的一文,操作时必须小心谨慎。推荐在虚拟机中测试过所有步骤后才在生产环境中进行操作
4. 证书模板的导出方法
1. 在备份CA数据库和配置信息后,再执行以下命令
Certutil –CATemplates > c:\cabackup\filename.txt
2. 在将备份数据复制到新CA之后,并完成相关还原工作之后,双击打开filename.txt,文件内容可能是这样的
删除冒号(包括冒号)之后的内容,在每一行之前添加 "certutil –setcatemplates +"
最后将文件存为批处理文件,双击执行即可
5. 最后强调一下如果有朋友需要将2003的证书服务迁移至2008的ADCS时,请在参考本文的同时,仔细阅读Performing the Upgrade or Migration一文。其它未尽事宜也请仔细阅读Performing the Upgrade or Migration一文。 回复 引用
报告 使用道具
- 发短消息
- MSN 聊天
- 加为好友
尘封メ心 (唐天浩)
- UID
- 12818
- 帖子
- 3220
- 主题
- 2
- 精华
- 31
- 积分
- 198
- 阅读权限
- 180
- 性别
- 男
- 在线时间
- 2978 小时
- 注册时间
- 2007-2-13
- 最后登录
- 2010-1-14
超级版主
- 技术积分
- 193
- 论坛资产
- 14124 wb
- 其他积分
- 5
1. 如果你在证书颁发机构管理单元的“证书模板”文件夹中配置过自定义的证书模板,那么必须在新的 CA 服务器上手动配置证书模板设置以保持模板集相同。打个比方,如果你曾经在老的CA服务器上自定义过一个证书模板用于某个特殊用途,若仍想让客户端在新的CA服务器上申请证书时仍能使用该模板的话,那么你需要再次在新的CA服务器上配置相同的证书模板。因为有关证书模板的设置是存储在 Active Directory 中。这些信息不会按照本文的操作而自动备份。
注意:“证书模板”文件夹仅存在于企业 CA 上。独立 CA 不使用证书模板。因此,此步不适用于独立 CA。如果你想将独立CA进行迁移操作,那么请跳过此步骤。
2. 以下操作在老CA服务器上进行。我们需要使用“证书颁发机构”管理单元备份 CA 数据库和私钥。请按照下列步骤操作:
a. 单击“开始”?“运行”,输入certsrv.msc,打开“证书颁发机构”的管理单元。在“证书颁发机构”的管理单元中右键单击 CA 名称,单击“所有任务”,然后单击“备份 CA”以启动证书颁发机构的备份向导。 如图1
b. 单击“下一步”,如图2.
c. 然后勾选“私钥和 CA 证书”和“证书数据库和证书数据库日志”。然后使用一个空文件夹作为备份位置用来保存备份文件,请确保新服务器可以访问该备份文件夹。如果指定的备份文件夹不存在,则证书颁发机构备份向导将创建它。如图3
注意:由于是第一次进行备份,所以图3中的“执行增量备份”为灰色不可选状态。
-
1.JPG (36.23 KB)
下载次数:3
2008-2-14 14:36
-
2.JPG (38.74 KB)
下载次数:3
2008-2-14 14:36
-
3.JPG (37.49 KB)
下载次数:4
2008-2-14 14:36
2. Directory Services & Exchange Server MVP
3. 问题解决后,劳烦将帖子修改为“已解决” 回复 引用
报告 使用道具 TOP
- 发短消息
- MSN 聊天
- 加为好友
尘封メ心 (唐天浩)
- UID
- 12818
- 帖子
- 3220
- 主题
- 2
- 精华
- 31
- 积分
- 198
- 阅读权限
- 180
- 性别
- 男
- 在线时间
- 2978 小时
- 注册时间
- 2007-2-13
- 最后登录
- 2010-1-14
超级版主
- 技术积分
- 193
- 论坛资产
- 14124 wb
- 其他积分
- 5
e. 单击“下一步”,然后验证备份设置。应当显示下列设置:如图5
• 私钥
• CA 证书颁发的日志
• 挂起的申请
f. 单击“完成”成功完成对CA服务器的备份。
g. 回到前面指定的CA备份目录C:\CA_Bak,可以看到该目录下有个Database目录和一个p12文件,如图6
-
4.JPG (45.05 KB)
下载次数:2
2008-2-14 14:37
-
5.JPG (41.37 KB)
下载次数:2
2008-2-14 14:37
-
6.JPG (25.83 KB)
下载次数:2
2008-2-14 14:37
2. Directory Services & Exchange Server MVP
3. 问题解决后,劳烦将帖子修改为“已解决” 回复 引用
报告 使用道具 TOP
- 发短消息
- MSN 聊天
- 加为好友
尘封メ心 (唐天浩)
- UID
- 12818
- 帖子
- 3220
- 主题
- 2
- 精华
- 31
- 积分
- 198
- 阅读权限
- 180
- 性别
- 男
- 在线时间
- 2978 小时
- 注册时间
- 2007-2-13
- 最后登录
- 2010-1-14
超级版主
- 技术积分
- 193
- 论坛资产
- 14124 wb
- 其他积分
- 5
a. 在老CA服务器上单击“开始”?“运行”,键入 regedit。
b. 找到下面的注册表子项,然后右键单击它:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration ,选择“导出”,如图7,将注册表文件保存在前面定义的CA 备份文件夹中C:\CA_bak目录中。
4 在老CA服务器上单击“开始”?“运行”,键入 sysocmgr /i:sysoc.inf,在弹出的“Windows组件向导”中取消“证书服务”的勾选以删除老CA上的证书服务,如图8
5 重新命名旧CA服务器,或者将其永久与网络断开连接。很重要的一步,不要忘记!
-
7.JPG (68.16 KB)
下载次数:2
2008-2-14 14:38
-
8.JPG (42.23 KB)
下载次数:2
2008-2-14 14:38
2. Directory Services & Exchange Server MVP
3. 问题解决后,劳烦将帖子修改为“已解决” 回复 引用
报告 使用道具 TOP
- 发短消息
- MSN 聊天
- 加为好友
尘封メ心 (唐天浩)
- UID
- 12818
- 帖子
- 3220
- 主题
- 2
- 精华
- 31
- 积分
- 198
- 阅读权限
- 180
- 性别
- 男
- 在线时间
- 2978 小时
- 注册时间
- 2007-2-13
- 最后登录
- 2010-1-14
超级版主
- 技术积分
- 193
- 论坛资产
- 14124 wb
- 其他积分
- 5
注意:新CA服务器的计算机名称必须与旧服务器的计算机名称相同。所以大家应该明白为什么我说前面的第5个步骤重命名老CA服务器的这一步很重要了吧。一个是避免计算机名冲突,而另一个最重要的是CA服务器的私钥和证书是和计算机相挂钩的。
7 在新CA服务器上单击“开始”?“运行”,键入 sysocmgr /i:sysoc.inf,在弹出的“Windows组件向导”中勾选 “证书服务”,点击下一步,如图9,
8 根据需要选择CA的类型,这里我选择企业根CA
9 单击“用自定义设置生成密钥对和 CA 证书”,然后单击“下一步”,如图10
-
9.JPG (42.6 KB)
下载次数:2
2008-2-14 14:39
-
10.JPG (31.39 KB)
下载次数:2
2008-2-14 14:39
2. Directory Services & Exchange Server MVP
3. 问题解决后,劳烦将帖子修改为“已解决” 回复 引用
报告 使用道具 TOP
- 发短消息
- MSN 聊天
- 加为好友
尘封メ心 (唐天浩)
- UID
- 12818
- 帖子
- 3220
- 主题
- 2
- 精华
- 31
- 积分
- 198
- 阅读权限
- 180
- 性别
- 男
- 在线时间
- 2978 小时
- 注册时间
- 2007-2-13
- 最后登录
- 2010-1-14
超级版主
- 技术积分
- 193
- 论坛资产
- 14124 wb
- 其他积分
- 5
11 在“公钥/私钥对”对话框中,验证是否选中“使用现有密钥”。如图12中红圈部分
12 接受“证书数据库设置”的默认设置,单击“下一步”,然后单击“完成”结束证书服务的安装。
13 停止证书服务。在新CA服务器上单击“开始”?“运行”,键入net stop certsvc
14 找到在第 3 步中保存的注册表文件,然后双击该文件以导入注册表设置,如图13
[ 本帖最后由 尘封メ心 于 2008-2-14 14:44 编辑 ]
-
11.JPG (44.93 KB)
下载次数:2
2008-2-14 14:44
-
12.JPG (43.61 KB)
下载次数:2
2008-2-14 14:44
-
13.JPG (46.22 KB)
下载次数:2
2008-2-14 14:44
2. Directory Services & Exchange Server MVP
3. 问题解决后,劳烦将帖子修改为“已解决” 回复 引用
报告 使用道具 TOP
- 发短消息
- MSN 聊天
- 加为好友
尘封メ心 (唐天浩)
- UID
- 12818
- 帖子
- 3220
- 主题
- 2
- 精华
- 31
- 积分
- 198
- 阅读权限
- 180
- 性别
- 男
- 在线时间
- 2978 小时
- 注册时间
- 2007-2-13
- 最后登录
- 2010-1-14
超级版主
- 技术积分
- 193
- 论坛资产
- 14124 wb
- 其他积分
- 5
16 单击“下一步”,然后勾选“私钥和 CA 证书”和“证书数据库和证书数据库日志”。 并键入备份文件夹位置,然后单击“下一步”。 如图15
17 输入之前的密码。点击下一步,如图16
18 单击“完成”,然后单击“是”以在还原 CA 数据库时重新启动证书服务。如图17
19 根据需要然后在证书颁发机构管理单元中,手动添加或删除证书模板以便使存储在AD中的新老服务器的证书模板设置相同。至此,CA服务器的迁移正式完成,比较简单,但是希望对朋友们有帮助。
-
14.JPG (34.31 KB)
下载次数:2
2008-2-14 14:41
-
15.JPG (31.58 KB)
下载次数:4
2008-2-14 14:41
-
16.JPG (24.89 KB)
下载次数:2
2008-2-14 14:41
-
17.JPG (45.68 KB)
下载次数:2
2008-2-14 14:41