迁移证书服务器操作步骤.docx

此文档收集于网络，如有侵权，请联系网站删除操作步骤1. 如果你在证书颁发机构管理单元的“证书模板”文件夹中配置过自定义的证书模板，那么必须在新的 CA 服务器上手动配置证书模板设置以保持模板集相同。打个比方，如果你曾经在老的CA服务器上自定义过一个证书模板用于某个特殊用途，若仍想让客户端在新的CA服务器上申请证书时仍能使用该模板的话，那么你需要再次在新的CA服务器上配置相同的证书模板。因为有关证书模板的设置是存储在 Active Directory 中。这些信息不会按照本文的操作而自动备份。注意：“证书模板”文件夹仅存在于企业 CA 上。独立 CA 不使用证书模板。因此，此步不适用于独立 CA。如果你想将独立CA进行迁移操作，那么请跳过此步骤。2. 以下操作在老CA服务器上进行。我们需要使用“证书颁发机构”管理单元备份 CA 数据库和私钥。请按照下列步骤操作： a.单击“开始”“运行”,输入certsrv.msc，打开“证书颁发机构”的管理单元。在“证书颁发机构”的管理单元中右键单击 CA 名称，单击“所有任务”，然后单击“备份 CA”以启动证书颁发机构的备份向导。 如图1 b.单击“下一步”，如图2. c.然后勾选“私钥和 CA 证书”和“证书数据库和证书数据库日志”。然后使用一个空文件夹作为备份位置用来保存备份文件，请确保新服务器可以访问该备份文件夹。如果指定的备份文件夹不存在，则证书颁发机构备份向导将创建它。如图3注意：由于是第一次进行备份，所以图3中的“执行增量备份”为灰色不可选状态。1.JPG (36.23 KB) 下载次数:52008-2-14 14:362.JPG (38.74 KB) 下载次数:32008-2-14 14:363.JPG (37.49 KB) 下载次数:42008-2-14 14:36d为了安全起见，请键入并确认 CA 私钥备份文件的密码。如图4 e.单击“下一步”，然后验证备份设置。应当显示下列设置：如图5 私钥 CA 证书颁发的日志 挂起的申请f. 单击“完成”成功完成对CA服务器的备份。g. 回到前面指定的CA备份目录C:CA_Bak，可以看到该目录下有个Database目录和一个p12文件，如图64.JPG (45.05 KB) 下载次数:22008-2-14 14:375.JPG (41.37 KB) 下载次数:22008-2-14 14:376.JPG (25.83 KB) 下载次数:22008-2-14 14:373.另外，还需要备份老 CA 的注册表设置：a.在老CA服务器上单击“开始”“运行”，键入 regedit。 b.找到下面的注册表子项，然后右键单击它： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvcConfiguration ，选择“导出”，如图7，将注册表文件保存在前面定义的CA 备份文件夹中C:CA_bak目录中。4 在老CA服务器上单击“开始”“运行”，键入 sysocmgr /i:sysoc.inf，在弹出的“Windows组件向导”中取消“证书服务”的勾选以删除老CA上的证书服务，如图85重新命名旧CA服务器，或者将其永久与网络断开连接。很重要的一步，不要忘记！7.JPG (68.16 KB) 下载次数:22008-2-14 14:388.JPG (42.23 KB) 下载次数:22008-2-14 14:386以下操作在新CA服务器上进行。将新CA服务器的计算机名CA2.重命令为CA1.。注意：新CA服务器的计算机名称必须与旧服务器的计算机名称相同。所以大家应该明白为什么我说前面的第5个步骤重命名老CA服务器的这一步很重要了吧。一个是避免计算机名冲突，而另一个最重要的是CA服务器的私钥和证书是和计算机相挂钩的。7在新CA服务器上单击“开始”“运行”，键入 sysocmgr /i:sysoc.inf，在弹出的“Windows组件向导”中勾选 “证书服务”，点击下一步，如图9，8根据需要选择CA的类型，这里我选择企业根CA9单击“用自定义设置生成密钥对和 CA 证书”，然后单击“下一步”，如图109.JPG (42.6 KB) 下载次数:22008-2-14 14:3910.JPG (31.39 KB) 下载次数:22008-2-14 14:3910单击“导入”，如图11，键入备份文件夹中 .P12 文件的路径，再键入之前输入的密码，然后单击“确定”。如图1211在“公钥/私钥对”对话框中，验证是否选中“使用现有密钥”。如图12中红圈部分12接受“证书数据库设置”的默认设置，单击“下一步”，然后单击“完成”结束证书服务的安装。13停止证书服务。在新CA服务器上单击“开始”“运行”，键入net stop certsvc14找到在第 3 步中保存的注册表文件，然后双击该文件以导入注册表设置，如图13 本帖最后由 尘封心 于 2008-2-14 14:44 编辑 11.JPG (44.93 KB) 下载次数:22008-2-14 14:4412.JPG (43.61 KB) 下载次数:22008-2-14 14:4413.JPG (46.22 KB) 下载次数:22008-2-14 14:4415接下来我们需要使用“证书颁发机构”管理单元来还原CA 数据库。单击“开始”“运行”,输入certsrv.msc，打开“证书颁发机构”的管理单元。在“证书颁发机构”的管理单元中右键单击 CA 名称，单击“所有任务”，然后单击“还原 CA”以启动证书颁发机构的还原份向导。如图1416单击“下一步”，然后勾选“私钥和 CA 证书”和“证书数据库和证书数据库日志”。 并键入备份文件夹位置，然后单击“下一步”。 如图1517输入之前的密码。点击下一步，如图1618单击“完成”，然后单击“是”以在还原 CA 数据库时重新启动证书服务。如图1719根据需要然后在证书颁发机构管理单元中，手动添加或删除证书模板以便使存储在AD中的新老服务器的证书模板设置相同。至此，CA服务器的迁移正式完成，比较简单，但是希望对朋友们有帮助。14.JPG (34.31 KB) 下载次数:22008-2-14 14:4115.JPG (31.58 KB) 下载次数:42008-2-14 14:4116.JPG (24.89 KB) 下载次数:22008-2-14 14:4117.JPG (45.68 KB) 下载次数:22008-2-14 14:411. 2003到2008的迁移过程基本上也是这样2. CA和DC装在一起的话请仔细阅读Performing the Upgrade or Migration一文中“Migrate a CA from a domain controller”部分的内容3. 新老CA可以不同名，但是你必须完成额外的操作步骤，操作步骤请参考之前提到的一文，操作时必须小心谨慎。推荐在虚拟机中测试过所有步骤后才在生产环境中进行操作4. 证书模板的导出方法1. 在备份CA数据库和配置信息后，再执行以下命令Certutil CATemplates c:cabackupfilename.txt2. 在将备份数据复制到新CA之后，并完成相关还原工作之后，双击打开filename.txt，文件内容可能是这样的删除冒号（包括冒号）之后的内容，在每一行之前添加 certutil setcatemplates +最后