如何迁移CA(证书颁发机构)服务器

1、前言证书颁发机构(CA)是企业内部公钥基础结构(PKI)的核心组件。尽管CA服务器可使用许多年甚至是几十年或更长，但是我们有可能遇到这样的场景需求：1. CA服务器已经服役了相当长的时间，而在这段时间内作为CA服务器的硬件可能早已更新换代，所以有必要将CA服务器迁移到新的配置强劲的服务器上；2. 基于公司的某些具体策略需求，需要将企业内部的CA服务器迁移到另外的服务器上基于这样的需求，我在这里向大家介绍一下如何将证书颁发机构(CA)迁移到其他服务器上。注意：要将CA 从运行 Windows 2000 Server的服务器迁移到运行Windows Server2003 的服务器，必须首先将运行W

2、indows 2000 Server的CA服务器操作系统升级到 Windows Server 2003。然后，才能按照本文所述的步骤进行迁移操作。演示环境环境很简单，我就不画什么拓扑图了，简单交代一下就行了。Old_CA : CA1.wi no s.c n (Win dows server 2003)New_CA :CA2.wi no s.c n (Win dows server 2003)操作步骤1. 如果你在证书颁发机构管理单元的证书模板”文件夹中配置过自定义的证书模板，那么必须在新的 CA服务器上手动配置证书模板设置以保持模板集相同。打个比方，如果你曾经在老的CA服务器上自定义过一个证书

3、模板用于某个特殊用途，若仍想让客户端在新的CA服务器上申请证书时仍能使用该模板的话，那么你需要再次在新的 CA服务器上配置相同的证书模板。因为有关证书模板的设置是存储在ActiveDirectory中。这些信息不会按照本文的操作而自动备份。注意：证书模板”文件夹仅存在于企业CA上。独立CA不使用证书模板。因此，此步不适用于独立 CA。如果你想将独立CA进行迁移操作，那么请跳过此步骤。2. 以下操作在老CA服务器上进行。我们需要使用证书颁发机构”管理单元备份 CA数据库和私钥。请按照下列步骤操作：运行”输入certsrv.msc ，打开证书颁发机构"的管理单元。在 证书颁发机构&quo

4、t;的管理单元中右键单击 CA 0a.单击开始”名称，单击所有任务”，然后单击备份CA”以启动证书颁发机构的备份向导。如图1b. 单击下一步”，如图2.c. 然后勾选 私钥和CA证书”和 证书数据库和证书数据库日志 ”。然后使用一个空文件夹作为备份位 置用来保存备份文件，请确保新服务器可以访问该备份文件夹。如果指定的备份文件夹不存在，则证书颁发机构备份向导将创建它。如图3注意：由于是第一次进行备份，所以图3中的 执行增量备份”为灰色不可选状态。題证书皴发机构文件醐查看辺帮助Q03 -* I (2 画 | 窗 ED © | § S 車证书颁发机构体地）名称提交一个新的申洁&#

5、174;续订CA证书启动服务 停止服务（X）蝕 CAg)_还原60)Windows中文站论坛证书傲发机构备份向导2d欢迎使用证书颁发机枸备份向导v上一步罰|(E潮越国取消 IW i ndow s中文站论坛http:/bb5.wino5.cttt iw中文詁论坛http:/tibs.winos.crid为了安全起见，请键入并确认CA私钥备份文件的密码。如图 4e.单击 下一步”，然后验证备份设置。应当显示下列设置：如图5 ?私钥 ? CA证书颁发的日志 ?挂起的申请f. 单击完成”成功完成对CA服务器的备份。g. 回到前面指定的CA备份目录C:CA_Bak ，可以看到该目录下有个Database

6、目录和一个p12文件,如图6文件的操作Q * |向雨 申匹书颁发机构C0-总 root吊消的ii_J蝕岌的ii_m起的e_J失败的E_证书複£证书烦发机构备檢向导选择玄玛貞Ml密和解密消息，需要公钥和私钥°您必须提供私钥的密码.斋要这个密码来访问私钥和CA证书文件.密码E）：为了錐护私钥安全 诸不要共至您的至珂.上一步） |下一步）|Window s4 http:/bb?您己成功完成证书潑发机构备份向导。1|证书破发机构备份向导您已选择下列设宣： 私钥和CA证书 硕发的日志和挂起申请正在完成证书颁发机构备份向导要关闭这个向导并开始备份'诸单击“芫成".上一

7、步| 完成2JWindows中文站论坛http: /bbs .winos .cn文件（D 编擅£It © 收藏工貝© 帮助哩1G后退亍按索文件夹B > x >9119地址ZiCiVCAJik名称-大小1委型：修故白期i文件夹2003-2-14or?t.3 甜Iitfornkation EchTLe2O0S-£_14IflindaYrs中文站论d£http: /bbs.winD3.另外，还需要备份老 CA的注册表设置：运行”键入regedit。a.在老CA服务器上单击开始"b.找到下面的注册表子项，然后右键单击它：HKEY_

8、LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvcConfiguration，选择导出”如图7,将注册表文件保存在前面定义的CA备份文件夹中C:CA_bak 目录中。运行”键入（4在老CA服务器上单击 开始"sysocmgr/i:sysoc.inf ，在弹出的“ Windows组件向导”中取消 证书服务”的勾选以删除老CA上的证书服务，如图85重新命名旧CA服务器，或者将其永久与网络断开连接。很重要的一步，不要忘记!6以下操作在新CA服务器上进行。将新CA服务器的计算机名 CA 重命令为CA注意：新CA服务器的计算机名称必须与旧服务

9、器的计算机名称相同。所以大家应该明白为什么我说前面的第5个步骤重命名老 CA服务器的这一步很重要了吧。一个是避免计算机名冲突，而另一个最重要的是CA服务器的私钥和证书是和计算机相挂钩的。运行”键入过 在新CA服务器上单击 开始"sysocmgr/i:sysoc.inf ，在弹出的“ Windows组件向导中勾选 证书服务”点击下一步，如图 9，8根据需要选择CA的类型，这里我选择企业根CA9单击 用自定义设置生成密钥对和CA证书”然后单击 下一步”如图1010单击 导入”如图11 ,键入备份文件夹中.P12 文件的路径，再键入之前输入的密码，然后单击确定”如图1211在 公钥/私钥对

10、”对话框中，验证是否选中使用现有密钥”如图12中红圈部分12接受证书数据库设置”的默认设置，单击 下一步”然后单击完成”结束证书服务的安装。运行”键入net <13停止证书服务。在新 CA服务器上单击 开始"stop certsvc14找到在第3步中保存的注册表文件，然后双击该文件以导入注册表设置，如图13VidlIovs爼件向导公钥/私钥对选择一个抑密服务提供程序(CSP),哈希算法和密钥对的设置.csp C):散列算法00：HI：懈I世啊出出酬恍册51礎皿血-组曲工阪心邹皿&亦如01MD2MD4MD5SHk-1r允许此csp与桌面交立©)厂使用现有密钥购)

11、:密钥长度遡：6ade c5el-bO6b-43d7-b042-01501dlf5cbf8/48639- £1 Qb-4cOO-95】cr e20283efD540 Microsoft Intrnt Information Srvr NS IIS DCOM S«rverzJ誉看征书0)|r便用与此密钥相关的证书)<上一步©)|下一步©)|Yindvs组件导2d打并ppi文件选择要导入的FKCS *12文件，并在下面输入窖码 来访问该文件。詛对的设置。浏览文件名(£):散列算法01):MD2MD4MD5SHAT取消I密钥长度魁):Mga 祖

12、国姬班沁也型原卿查看证书辺|8ee48639-fl0b-4c00-951c-e20283ef0540 Ficrosoft Internet In£or<natiom Server MS IIS DCOM Serverr使用与此密钥相关的证书上一步) |下一步©) > |DocuB&iLtE nfid Settstr4.tarJBfCA丈愕 躺輻 直看迪 收藏迦 工具 瑙飾征Iwd Sett ixigsAdmi zii £trator®CBik.百- < ”卡 禮斎 文件典X *9 | 0*1修改日期T雇性丨:?远軒包文件熹2(J

13、08-14H'OOrtg42 KE注粉表顼2DO0-?-1413:43A匸马 I- O © t - pl 23 KB Per son. al 工 nfoirm -.200S-2-1413:36A锻址)|to C:、Uocumsnts15接下来我们需要使用证书颁发机构”管理单元来还原CA运行”输入certsrv.msc ，打开证书颁发机构”的管理单元。在证书颁发机构"的管理单元中右键单击CA数据库。单击开始”名称，单击所有任务”，然后单击 还原CA以启动证书颁发机构的还原份向导。如图1416单击 下一步”，然后勾选 私钥和CA证书”和 证书数据库和证书数据库日志 ”。并键入备份文件夹位 置，然后单击 下一步”。如图1517输入之前的密码。点击下一步，如图18单击 完成”，然后单击 是”以在还原16CA数据库时重新启动证书服务。如图1719根据需要然后在证书颁发机构管理单元中，手动添加或删除证书模板以便使存储在AD中的新老服务器的证书模板设置相同。至此，CA服务器的迁移正式完成，比较简单，但是希望对朋友们有帮助。JCJCC提交一个新的申请续订CA证书名称IE耳出如注 启动服务） 停止服务文件电）操作®