Window 2003证书服务器迁移到Windows 2008 R2(1)
环境:
源服务器:Windows2003,域控制器,证书服务器
目标服务器:Windows2008 R2,域控制器。
备注:将源服务器证书服务器迁移到目标服务器上,要求更改目标服务器名称与源服务器名称不相同。
一、准备源服务器
1、 源服务器安装补丁
源服务器安装windows2003 SP2补丁。
2、备份 CA 模板列表
(1)以域管理员身份登录到bj-ad-sms服务器.
(2)打开“证书颁发机构”管理单元。
(3) 在控制台树中,展开“证书颁发机构”,并单击“证书模板”。
(4) 通过抓取屏幕截图或将列表键入到文本文件中来记录证书模板的列表。
3、使用 记录 CA 模板列表
(1)使用本地管理凭据登录到 bj-ad-sms计算机。
(2)打开命令提示符窗口。
(3)键入 -catemplates > ,并按 Enter
(4)验证 文件是否包含模板列表,并将文件,拷贝到C:\windows\sysvol\sysvol
4、记录 CA 的签名算法和 CSP
(1)使用本地管理凭据登录到 bj-ad-sms。
(2)打开命令提示符窗口。
(3)(3)键入 getreg ca\csp\* > ,并按 Enter。
(3) 打开csp文件,截图如下:
(4)记录原始的CA将AIA和CRL数据发布到HTTP URLs以及客户端在验证证书链和CRL数据时可以访问HTTP URL,以便迁移后设置手动发布AIA和CRL数据带原始的web服务器或是添加一条DNS记录将指向原始的HTTP URL执行新的CA服务器的HTTP URL(这里源服务器和目标服务器的勾选项要一致)。例如:记录下图中ldap和http中的勾选项。
二、迁移证书颁发机构
1、备份源证书服务器 CA 数据库和私钥
(1) 以域管理员身份,登录到源服务器。
(2) 打开“证书颁发机构”管理单元。
(3) 右键单击CA名称,指向“所有任务”,然后单击“备份 CA”。
(4) 在 CA 备份向导的“欢迎”页上,单击“下一步”。
(5)在“要备份的项目”页上,选中“私钥和 CA 证书”以及“证书数据库和证书数据库日志”复
选框,指定备份位置例如D:\CABACKUP,然后单击“下一步”。
(3) 在“选择密码”页上,键入用于保护 CA 私钥的密码,并单击“下一步”。
(7) 在“正在完成备份向导”页上,单击“完成”。
windows2008 r2激活码(8)备份完成后,验证所指定的位置中的以下文件:
①包含 CA 证书和私钥的 CA 名称.p12
②包含文件 certbkxp.dat、edb>.log 和 CA 名称.edb 的 Database 文件夹
(9)打开命令提示符窗口,并键入 net stop certsvc 以停止“Active Directory 证书服务”服务。
(10)将所有备份文件复制到可从目标服务器中访问的位置(C:\windows\sysvol\sysvol)。
2、备份源证书服务器 CA 注册表设置
(1)以域管理员登陆源服务器
(2)单击“开始”,指向“运行”,并键入 regedit 以打开注册表编辑器。
(3)在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中,右键单击“Configuration”,然后单击“导出”。
(5) 指定C:\windows\sysvol\sysvol位置存储和文件名为careg,然后单击“保存”。
3、备份源证书服务器CAPolicy.inf
(1)打开我的电脑,到c:\windows,没有到CAPolicy.inf文件,直接搜索C盘也无CAPolicy.inf文件。注意:已经需要打开文件夹显示隐藏文件属性。
(2)说明用户没有自定义CAPolicy.inf,因此不需要备份这个文件。
4、从源服务器中删除 CA 角服务
(1)以域管理员身份登录源服务器。
(2)打开控制面板,使用“添加/删除 Windows 组件”,卸载证书服务器。
(3)等卸载完成,后点击完成。
5、将 CA 角服务添加到目标服务器
(1)以域管理员身份登录目标服务器
(2)打开管理工具---服务器管理器,添加角
(3)添加AD证书服务,下一步
(4)选择证书颁发机构和证书颁发机构web注册,下一步
(5)选择企业,下一步。
(6)根CA,下一步
(7)在“设置私钥”页上,选择“使用现有私钥”和“选择一个证书并使用其关联私钥”。
(8)在“证书”列表中,单击导入的 CA 证书,然后单击“下一步”。
注意:需要提前将源服务器中的cabackup文件夹和,和文件拷贝到
本地C盘根目录。
(9)选择cabackup文件夹.p12文件,并输入备份时的密码,确定。
(10)选择chinalifereca,然后下一步
(11)在“配置证书数据库”页上,下一步。
(12)在“确认安装选择”页上查看消息,然后单击“安装”。
(13)安装完成,选择关闭。
6、在目标服务器上还原 CA 数据库
(1)以域管理登陆目标服务器
(2)打开管理工具---证书颁发机构
(3)右键单击包含 CA 名称的节点,指向“所有任务”,然后单击“还原 CA”。如果出现提示,请单击“确定”停止 CA 服务。
(4)在“欢迎”页上,单击“下一步”。
(5)在“要还原的项目”页上,选择“证书数据库和证书数据库日志”。
(6)单击“浏览”,选择C:\cabackup \目录,按下一步。
(6) 输入密码,下一步。
(7)点击完成
(8)单击“是”重新启动 CA 服务。
7、在目标 CA 上导入源 CA 注册表备份
(1)以域管理员身份登录目标服务器
(2)以管理员身份运行“命令提示符”。
(3)键入 net stop certsvc 并按 Enter。
(4)切换到存放文件的目录,键入 reg ,并按 Enter。
注意:需要提前将源服务器中的,文件拷贝到本地C盘根目录。
8、编辑 目标服务器CA 注册表设置(注意:如果源服务器和目标服务器名称相同,可以直接跳到10步骤)
(1)单击“开始”,在“搜索程序和文件”框中键入 ,并按 Enter 以打开注册表编辑器。
注意:更改注册表前,先备份注册表。
(2)在控制台树中,到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration 项
(3)在详细信息窗格中,双击“DBSessionCount”。
(4)单击“十六进制”。在“数值数据”中,键入 64,然后单击“确定”。
(5)验证以下设置中指定的位置对于目标服务器是否正确,并根据需要更改它们以指示 CA 数据库和日志文件的位置。
① DBDirectory
②DBLogDirectory
③DBSystemDirectory
④DBTempDirectory
注意:以上键值中目录位置要和安装CA时的路径一致,否则会出错误。
(6)在注册表编辑器的控制台树中,到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration,并单击 CA名称。
(7)通过将源服务器名称替换为目标服务器名称,修改以下注册表设置的值。
① CACertFileName
②ConfigurationDirectory (注意:这个值,在configuration键值下面,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration)
② CAServerName
(8)通过将 %1 替换为目标服务器的完全限定的域名(例如 “st.local”),并将 %2 替换为目标服务器的 NetBIOS 名称(这里为“BJ-DC”),修改以下注册表设置的值
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration下面)。
② CACertPublicationURLs
②CRLPublicationURLs
9、验证目标 CA 上的证书扩展
(1)打开“证书颁发机构”管理单元。
(2)在控制台树中,单击 CA 的名称。
(3)在“操作”菜单上,单击“属性”,然后单击“扩展”选项卡。请确认“选择扩展”设置为“CRL 分发点(CDP)”。
(4)添加如下一条(如下图:): “ ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>”
注意:如果目标CA服务器和源CA服务器名称不同,必须有这条。否则吊销服务器不正常。
(5)点击新添加的“ ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>”
更改为下列选项。(注意这里选项要与“一、准备源服务器4”中最后记录CRL和ATA设置一致)
(6)测试时可以将证书CRL发布间隔改为5年,增量改为4年

注意:CRL发布间隔时间长短会对客户端访问证书的性能和证书安全有影响。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。

发表评论