Перенос центра сертификации с windows 2008 на windows 2012

Обновлено: 07.07.2024

В этой статье описывается перемещение органа сертификации (CA) на другой сервер.

Применяется к: Windows Server 2003
Исходный номер КБ: 298138

Эта статья применяется к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр Windows 2000 года является отправной точкой для планирования стратегии миграции с 2000 г. Windows 2000 г. Дополнительные сведения см. в политике жизненного цикла поддержки Майкрософт.

Сводка

Органы сертификации (CAs) являются центральным компонентом инфраструктуры общедоступных ключей (PKI) организации. CAs настроены на то, чтобы существовать в течение многих лет или десятилетий, в течение которых оборудование, на котором размещен ЦС, вероятно, обновляется.

Чтобы переместить ЦС с сервера с Windows 2000 Server на сервер с Windows Server 2003, сначала необходимо обновить сервер CA, который работает Windows 2000 Server, до Windows Server 2003. Затем вы можете следовать шагам, описанным в этой статье.

Убедитесь, что %Systemroot% целевого сервера соответствует %Systemroot% сервера, с которого будет взято резервное копирование состояния системы.

При установке компонентов сервера ЦС необходимо изменить путь к файлам ЦС, чтобы они совпадали с расположением резервного копирования. Например, если вы резервное копирование из папки D: Winnt System32 Certlog, необходимо восстановить резервное копирование в \ \ \ папку D: \ Winnt \ System32 \ Certlog. Невозможно восстановить резервное копирование в папку C: \ Winnt \ System32 \ Certlog. После восстановления резервного копирования можно переместить файлы баз данных ca в расположение по умолчанию.

Ожидаемых данных в этом каталоге не существует.

Формат базы данных изменяется из 32-битной версии в 64-битную версию, что вызывает несовместимость, и восстановление блокируется. Это похоже на переход от Windows 2000 до Windows Server 2003 CA. Однако путь обновления от 32-битной версии Windows Server 2003 до 64-битной версии не существует. Поэтому нельзя переместить существующую 32-битную базу данных в 64-битную базу данных на компьютере Windows Server 2003. Тем не менее, вы можете обновить Windows Server 2003 CA (работает на Windows Server 2003 x86) до Windows Server 2008 R2 CA (работает на Windows Server 2008 R2 x64). Это обновление поддерживается.

X64-версия Windows Server 2003 R2 CD2 обновляет только 64-битные версии Windows Server 2003, основанные на архитектуре EM64T или архитектуре AMD64.

Back up and restore the certification authority keys and database in Windows Server 2003

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.

Обратите внимание на шаблоны сертификатов, настроенные в папке Шаблоны сертификатов в оснастке Сертификационного органа. Параметры шаблонов сертификатов хранятся в Active Directory. Они не будут автоматически отсевом. Необходимо вручную настроить параметры шаблонов сертификатов в новом ЦС для поддержания одного и того же набора шаблонов.

Папка Шаблоны сертификатов существует только в корпоративном ЦС. Автономные ЦС не используют шаблоны сертификатов. Поэтому этот шаг не применяется к отдельному ЦС.

Используйте оснастку сертификационного органа для обратного использования базы данных CA и закрытого ключа. Для этого выполните следующие действия:

Сохранение параметров реестра для этого ЦС. Для этого выполните следующие действия:

Удалите службы сертификатов со старого сервера.

Этот шаг удаляет объекты из Active Directory. Не выполните этот шаг в порядке. Если удаление источника ЦС выполняется после установки целевого ЦС (шаг 6 в этом разделе), целевой ЦС станет непригодным для работы.

Переименовать старый сервер или отключить его от сети.

Установите службы сертификатов на новый сервер. Для этого выполните указанные ниже действия.

Новый сервер должен иметь то же имя компьютера, что и старый сервер.

Остановите службу служб сертификатов.

Найдите файл реестра, сохраненный на шаге 3, а затем дважды щелкните его, чтобы импортировать параметры реестра. Если путь, показанный в экспорте реестра из старого ЦС, отличается от нового, необходимо соответствующим образом настроить экспорт реестра. По умолчанию новый путь — C: \ Windows в Windows Server 2003.

Для восстановления базы данных ЦС используйте оснастку Сертификационного органа. Для этого выполните следующие действия:

В оснастке сертификационного органа щелкните правой кнопкой мыши имя CA, щелкните Все задачи, а затем нажмите кнопку Восстановление CA.

Начинается мастер восстановления органа сертификации.

Щелкните журнал базы данных сертификатов и базы данных сертификатов.

Введите расположение папки резервного копирования и нажмите кнопку Далее.

Проверка параметров резервного копирования. Параметры "Выданный журнал" и "Ожидающихся запросов" должны отображаться.

Вы можете получить следующую ошибку во время процесса восстановления ЦС, если папка резервного копирования ca не находится в правильном формате структуры папки:

Правильная структура папок:

Где C. Ca_Backup — это папка, выбранная во время этапа Резервного копирования \ в шаге 2.

В оснастке Управления сертификации вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать параметры шаблонов сертификатов, которые были отмечены на шаге 1.

Восстановление и восстановление ключей и базы данных сертификации в Windows 2000 Server

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.

Обратите внимание на шаблоны сертификатов, настроенные в папке Шаблоны сертификатов в оснастке Сертификационного органа. Параметры шаблонов сертификатов хранятся в Active Directory. Они не будут автоматически отсевом. Необходимо вручную настроить параметры шаблонов сертификатов в новом ЦС для поддержания одного и того же набора шаблонов.

Папка Шаблоны сертификатов существует только в корпоративном ЦС. Автономные ЦС не используют шаблоны сертификатов. Поэтому этот шаг не применяется к отдельному ЦС.

Используйте оснастку сертификационного органа для обратного использования базы данных CA и закрытого ключа. Для этого выполните следующие действия:

Сохранение параметров реестра для этого ЦС. Для этого выполните следующие действия:

Удалите службы сертификатов со старого сервера.

Этот шаг удаляет объекты из Active Directory. Не выполните этот шаг в порядке. Если удаление источника ЦС выполняется после установки целевого ЦС (шаг 6 в этом разделе), целевой ЦС станет непригодным для работы.

Переименовать старый сервер или отключить его от сети.

Установите службы сертификатов на новый сервер. Для этого выполните указанные ниже действия.

Новый сервер должен иметь то же имя компьютера, что и старый сервер.

Остановите службу служб сертификатов.

Найдите файл реестра, сохраненный на шаге 3, а затем дважды щелкните его, чтобы импортировать параметры реестра.

Для восстановления базы данных ЦС используйте оснастку Сертификационного органа. Для этого выполните следующие действия:

В оснастке сертификационного органа щелкните правой кнопкой мыши имя CA, щелкните Все задачи, а затем нажмите кнопку Восстановление CA.

Начинается мастер восстановления органа сертификации.

Введите расположение папки резервного копирования и нажмите кнопку Далее.

Проверка параметров резервного копирования. Должны отображаться следующие параметры:

В оснастке Управления сертификации вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать параметры шаблонов сертификатов, которые были отмечены на шаге 1.

Дополнительная информация

Дополнительные сведения о сценариях обновления и миграции для Windows Server 2003 и Windows Server 2008 см. в документе "Руководство по обновлению и миграции служб сертификатов Active Directory". Чтобы увидеть этот документ, см. в статье Active Directory Certificate Services Upgrade and Migration Guide.

Миграция центра сертификации Microsoft на новый сервер

Сервер Windows Server 2008 R2 c установленной ролью Active Directory Certificate Service и наличием аппаратных проблем)

Новый сервер Windows Server 2012 R2.

Перенос сервиса сертификации Active Directory на Windows Server 2012 R2.

Для начала подготовим резервную копию текущего центра сертификации. Для этого в оснастке Certificate Authority через

все задачи выбираем Архивация ЦС

cert_backup

Указываем архивирование всех элементов ЦС и путь для резервной копии

cert_backup2

Для защиты закрытого ключа и файла сертификата центра сертификации указываем пароль

cert_backup3

Архивация центра сертификации выполнена

cert_backup34

Кроме базы данных центра сертификации Microsoft необходимо выгрузить и настройки, которые хранятся в реестре.

Для этого нужно выгрузить ветку

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

reg export

Итог должен выглядеть так:

export

После проведения подобных манипуляция можно остановить службу сервера сертификатов и в последствии удалить центр сертификации со старого сервера. Данный процесс описывать большого смысла не имеет. Идем дальше.

Продолжим, установим cлужбу сертификатов Active Directory c необходимыми компонентами. Та этом вопросе останавливаться долго не будем, полагаю тут все просто:

Установка роли2

Установка роли3

Выбор необходимых ролей

Установка роли4

Непосредственно процесс установки

install new

new setup

setup1

На следующем шаге указываем какие роли мы будем настраивать

setup2

setup3

В следующем окне выбираем “Корневой ЦС” в качестве типа ЦС и нажмите “Далее” для продолжения.

setup4

На следующем этапе мы указываем что это не новая установка, а миграция. Т.е. у нас уже есть зарезервированный закрытый ключ. Выбираем этот пункт и продолжаем.

setup5

На этом этапе указываем путь к выгруженному сертификату со старого центра сертификации и пароль указанный при экспорте к нему.

setup6

После импорта то мы увидим наш сертификат

setup7

На следующем этапе определяем путь к базе данных сертификата. Тут я оставил все как есть, по умолчанию. Далее.

setup8

Итоговая проверка всех указанных выше параметров для настройки

setup9

Процесс настройки завершен.

setup10

sert restore

Выбираем элементы, и указываем путь к папке в которую произведен экспорт

reg export 2

На следующем этапе вводим пароль, который мы использовали для того, чтобы защитить закрытый ключ в процессе резервирования.

reg export 3

Восстановление завершено. Осталось только восстановить параметры, которые хранятся в реестре. Для этого как раз мы и экспортировали ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Для импорта открываем фай и добавляем его в реестр. Появится предупреждающее окно. Нажмите “Да” для восстановления ключа реестра.

regedit

Осталось проверить работу нового центра сертификации. Как видим, все выданные сертификаты перенесены.

finish

Новый Web сервер работает выдачи сертификатов работает.

finish2

Итог: Сервис сертификации Active Directory успешно перенесен на новый сервер, при этом как мы видели, произошла и миграции в рамках операционной системы 2008R2 -> 2012R2.

Active Directory траблешутинг. Мигрируем ЦС (часть 3).

В предыдущем посте, передали роли FSMO. Мигрируем Центр Сертификации на рабочий контроллер.

Поднимаем ЦС на втором, рабочем, контроллере.



Или можно вот так, если в последствии будет необходимо запрашивать сертификаты через Web.



Тут что-то пошло не так (добавочная архивация тут не нужна):



Кроме базы данных центра сертификации Microsoft, необходимо выгрузить и настройки, которые хранятся в реестре.

Для этого выгружаем ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc


В паке, куда все сохраняем, это должно выглядеть вот так.

Настроим только что установленный ЦС на втором контроллере:






Копируем папку со старого сервера ЦС , указываем путь к нему уже на новом сервере.





Если устанавливали Web компоненту, то будет вот так:



После настройки параметров ЦС, преступим к его восстановлению. На созданном сервере сертификатов выбираем «Восстановление ЦС»


Выбираем элементы, и указываем путь к папке, в которую произведен экспорт.


Осталось только восстановить параметры, которые хранятся в реестре.

Как раз для этого мы ранее и экспортировали ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Для импорта открываем файл и добавляем его в реестр. Появится предупреждающее окно. Нажмите “Да” для восстановления ключа реестра.





Проблема с данной ошибкой при удалении, обсуждается здесь:


Поменял значение в реестре, перезагрузил сервер, не помогло.


Прочитал несколько форумов, не нашел ничего внятного на эту тему…

Оказалось, ларчик просто открывался (это уже было выявлено эмпирическим путем)…

Сначала отдельно удаляем вот этот компонент в единственном числе: Служба регистрации в центре сертификации через Интернет


Потом снова пробуем удалить сам ЦС.


После этого, ЦС благополучно удаляется.


Наконец ЦС удален.


Всем хорошей работы.

Share this:

Понравилось это:

1 комментарий


Уведомление от Active Directory траблешутинг. Понижаем DC1 до обычного сервера (часть 4). « Blog of Khlebalin Dmitriy | 23.04.2019

Sorry, the comment form is closed at this time.

О сайте

В этом блоге, я пишу заметки о своей, как повседневной жизни, так и жизни и работе в сфере IT технологий. Собираю интересные ссылки, выражаю свои мысли и прочее… В основном посты посвящены, Управленческим моментам и решениям, различным продуктам Microsoft и VMWare, которые я эксплуатирую многие годы, Nix, MacOS, сетке, и другим интересным вопросам и задачам, с которыми приходится ежедневно сталкиваться и иметь дело. Здесь приведены не только мои посты, но и посты, которые были найдены мною на безграничных просторах интернета. Все написанное здесь, было проделано мною или моими коллегами при моем непосредственном участии на виртуальных машинах или в продакшин среде, о чем свидетельствуют комментарии в текстах. Всем удачи в работе.


Для установки Служб сертификации:


В окне для указания имени ЦС введите значения всех полей и нажмите Далее.

Введенные здесь данные носят информативный характер. Рекомендуется их внести. Аббревиатуры несут следующий смысл: "O" — Organization, "OU" — Organization Unit, "L" — City (Location), "S" — State or province, "C" — Country/region, "E" — E-mail.


Введите период действия сертификата для создаваемого ЦС.

По истечении срока действия сертификата ЦС необходимо будет перевыпустить сертификаты всем действующим пользователям.

Для добавления шаблонов сертификатов:

Выберите следующие настройки:

Значение параметра Минимальный размер ключа должно быть не менее 1024.



Для выписки сертификатов пользователю Administrator и обычным пользователям с помощью mmc-консоли:


Закройте окно Консоль1. Для сохранения консоли нажмите Да.

Рекомендуется сохранить данную консоль для удобства использования в дальнейшем. Причем если работать в системе с правами учетной записи User, то в консоли Сертификаты - текущий пользователь будут отображаться сертификаты пользователя User. Любой пользователь домена на локальном компьютере из консоли Сертификаты - текущий пользователь может запросить сертификат.

На этом настройка Центра Сертификации и выдача сертификатов пользователям завершены.

Читайте также: