思路:
一、全新部署根CA服务器,这样所有的应用将重新获取证书,这样影响面较大,最后考虑这个办法。
二、部署同名的域成员服务器(不一定非要是DC角色),迁移旧的DC上的CA,在新的服务器上安装证书服务,然后还原备份的CA。操作(别人的部分实验操作):
1.如果你在证书颁发机构管理单元的“证书模板”文件夹中配置过自定义的证书模板,那么必须在新的CA
服务器上手动配置证书模板设置以保持模板集相同。打个比方,如果你曾经在老的CA 服务器上自定义过
一个证书模板用于某个特殊用途,若仍想让客户端在新的CA 服务器上申请证书时仍能使用该模板的话,
那么你需要再次在新的CA 服务器上配置相同的证书模板。因为有关证书模板的设置是存储在Active
Directory 中。这些信息不会按照本文的操作而自动备份。
注意:“证书模板”文件夹仅存在于企业CA 上。独立CA不使用证书模板。因此,此步不适用于独立CA 。
如果你想将独立CA 进行迁移操作,那么请跳过此步骤。
2. 以下操作在老CA服务器上进行的。
我们需要使用“证书颁发机构”管理单元备份CA 数据库和私钥。请
按照下列步骤操作:
“运行”,输入certsrv.msc ,打开“证书颁发机构”的管理单元。在“证书颁发机构”的管理单元中右键单击
CA a. 单击“开始” 名称, 单击“所有任务”,然后单击“备份CA”以启动证书颁发机构的备份向导。
如图:
![\"根CA服务器故障-CA迁移\"](\"http://simg.sinajs.cn/blog7style/images/common/sg_trans.gif\" "\\"根CA服务器故障-CA迁移\\"")
b、单击下一步
c、然后勾选“私钥和CA 证书”和“证书数据库和证书数据库日志”。然后使用一个空文件夹作为备份位
置用来保存备份文件,请确保新服务器可以访问该备份文件夹。如果指定的备份文件夹不存在,则证书颁
发机构备份向导将创建它。
如图:
注意:由于是第一次进行备份,所以图3 中的“执行增量备份”为灰色不可选状态。
d 为了安全起见,请键入并确认CA 私钥备份文件的密码。如图:
e. 单击“下一步”,然后验证备份设置。应当显示下列设置:如图:
私钥CA 证书颁发的日志挂起的申请
f. 单击“完成”成功完成对CA 服务器的备份。
g. 回到前面指定的CA 备份目录C:\\CA_Bak ,可以看到该目录下有个Database 目录和一个p12 文件,
如图:
3. 另外,还需要备份老CA 的注册表设置:
“运行”,键入regedit 。a. 在老CA 服务器上单击“开始”
b. 找到下面的注册表子项,然后右键单击它:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\CertSvc\\Configuration,选择
“导出”,如图7,将注册表文件保存在前面定义的CA 备份文件夹中C:\\CA_bak目录中。
“运行”,键入
4 、在老CA 服务器上单击“开始” sysocmgr /i:sysoc.inf ,在弹出的“ Windows 组件向导”
中取消“证书服务”的勾选以删除老CA 上的证书服务,如图:
5、 重新命名旧CA 服务器,或者将其永久与网络断开连接。很重要的一步,不要忘记!
注意:4和5这两步骤我都不需要操作了,因为之前我已经强制卸载DC角色了。域内根本没有这台计算机了。
6. 以下操作在新CA服务器上进行的。
注意:新CA服务器的计算机名称必须与旧服务器的计算机名称相同。因为这个最重要的是
服务器的私钥和证书是和计算机相挂钩的。
“运行”,键入
7、 在新CA 服务器上单击“开始” sysocmgr /i:sysoc.inf ,在弹出的“ Windows组件向导”
中勾选“证书服务”,点击下一步,
如图:,
8 、根据需要选择CA 的类型,这里我选择企业根CA
9、 单击“用自定义设置生成密钥对和CA 证书”,然后单击“下一步”,
如图:
10 、单击“导入”,如图:
,键入备份文件夹中 .P12 文件的路径,再键入之前输入的密码,然后单击“确
定”。如图:
11、 在“公钥/ 私钥对”对话框中,验证是否选中“使用现有密钥”。如上图 中红圈部分
12 、接受“证书数据库设置”的默认设置,单击“下一步”,然后单击“完成”结束证书服务的安装。
“
但是当我点击下一步是出现了如下图示:【在ActiveDirectory中发现同名的证书颁发机构。要覆盖现有的CA名吗?】(犹豫了一天时间才敢操作),选择【是】覆盖,因为覆盖不是更改不会改变根CA的名称
这个问题是因为我的CA是非正常卸载的,AD数据库中还有原来的CA信息。
运行”,键入net 13 停止证书服务。在新CA 服务器上单击“开始” stop certsvc
14 、找到在第3 步中保存的注册表文件,然后双击该文件以导入注册表设置,
如图:
15、 接下来我们需要使用“证书颁发机构”管理单元来还原CA “运行”,输入certsrv.msc ,打开“证书颁发
机构”的管理单元。在“证书颁发机构”的管理单元中右键单击CA 数据库。单击“开始” 名称, 单击“所有任
务”,然后单击“还原CA”以启动证书颁发机构的还原份向导。
如图:
16、 单击“下一步”,然后勾选“私钥和CA 证书”和“证书数据库和证书数据库日志”。并键入备份文件夹位
置,然后单击“下一步”。
如图:
17、 输入之前的密码。点击下一步,
如图:
18 、单击“完成”,然后单击“是”以在还原CA 数据库时重新启动证书服务。
如图:
19、 根据需要然后在证书颁发机构管理单元中,手动添加或删除证书模板以便使存储在AD 中的新老服务
器的证书模板设置相同。至此, CA 服务器的迁移正式完成,比较简单,但是希望对朋友们有帮助。
20、找一台应用服务器更新证书测试一下:OK!
本文链接: http://2ci_ca.immuno-online.com/view-734983.html
