Миграция центра сертификации (2003, 2008R2)
Всем привет!
Продолжаем “избавляться” от Windows Server 2003. Сегодня расмотрим процедуру миграции центра сертификации (CA).
Note: имена исходного и целевого сервера различны. Наименование CA ,конечно, не меняется.
Шаг 1. Резервное копирование БД CA и его конфигурации
Заходим на Windows Server 2003 , откройте Certification Authority > Back up CA..
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_1_thumb.jpg
Ознакомьтесь со стартовым экраном визарда и нажмите Next
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_2_thumb.jpg
Ставим чекбоксы на Private key and CA certificate + Certificate database and certificate database log ,
определяем локацию для резервной копии CA и жмем Next
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_3_thumb.jpg
Определяем пароль для закрытого ключа и жмем Next
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_4_thumb.jpg
Проверяем результат и жмем Finish
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_5_thumb.jpg
Пуск – Выполнить (win+r) – Regedit
Переходим в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\
Правый клик на Configuration и жмем Export
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_6_thumb.jpg
Определяем локацию для сохранения reg-файла и жмем Save
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_7_thumb.jpg
На этом шаг 1 завершен. Перейдем к процессу удаления служб сертификации windows server 2003
Шаг 2. Удаление служб сертификации на исходном сервере
Переходим в Add or Remove Programs –> Add/Remove Windows Components и снимаем галку на Certificate Services
Жмем Next
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_8_thumb.jpg
Процесс удаления выполняется.
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_9_thumb.jpg
Иногда необходимо предоставить диск с Windows Server 2003/SP2 для успешной конфигурации (в моём случае было именно так)
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_10_thumb.jpg
Все прошло гладко. Жмем Finish
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_12_thumb.jpg
Шаг 3. Установка служб сертификации на целевом сервере
Server Manager –> Add or Remove Roles , выбираем Active Directory Certificate Services
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_13_thumb.jpg
Читаем доп.информацию, жмем Next
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_14_thumb.jpg
Для стандартной конфигурации выбираем базовый Certification Authority + Certification Authority Web Enrollment
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_15_thumb.jpg
Переносим Root CA Ent = делаем на целевом сервере Enterprise CA
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_16_thumb.jpg
Тут определяем что CA будет Root’овым
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_17_thumb.jpg
У нас есть Private Key (шаг 1),- поэтому выбираем Use Existing Private Key
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_18_thumb.jpg
На следующем этапе выбираем PFX-файл и импортируем его
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_19_thumb.jpg
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_20_thumb.jpg
Ознакомляемся и жмем Next
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_21_thumb.jpg
Компоненты IIS оставляем по умолчанию
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_22_thumb.jpg
Проверяем сводную информацию и жмем Install
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_23_thumb.jpg
Проверяем, что установка завершилась успешно и переходим к следующему этапу
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_24_thumb.jpg
Шаг 4. Восстановление CA на целевом сервере
Пуск – выполнить (win+r) – certsrv.msc
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_25_thumb.jpg
Правый клик на имени CA –> All Tasks –> Restore CA
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_26_thumb.jpg
Останавливаем службы ЦС
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_27_thumb.jpg
Жмем Next
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_28_thumb.jpg
Вставляем путь до резервной копии, галочки на Private key.. и Certificate database
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_29_thumb.jpg
Вводим пароль, определенный на шаге 1
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_30_thumb.jpg
Проверяем и жмем Finish
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_31_thumb.jpg
В появившемся окне жмем No. Службы запустим чуть позже
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_32_thumb.jpg
Переходим к reg-файлу и запускаем его
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_33_thumb.jpg
Опционально:
Перевыпустите Certificate Templates (если имеются custom)
certsrv.mmc –> certificate templates- правый клик –> new –> certificate template to issue
выбираем нужный шаблон и жмем OK
http://rlevchenko.files.wordpress.com/2015/03/ca_transfer_2003_to_2008_34_thumb.jpg
Проверка:
https://technet.microsoft.com/en-us/library/ee126164(v=ws.10).aspx
Процесс миграции CA в целом схож и может быть применим для миграции в других средах.
Смежные статьи:
- Подготовка Active Directory 2003 к 2008 R2
- Перенос FSMO на примере 2003 и 2008 R2
- Понижаем КД, удаляем DNS, повышаем функ.уровень (2003 <> 2008R2)
Дополнительные ссылки:
https://technet.microsoft.com/en-us/library/ee126170(v=ws.10).aspx