CA-备份

证书迁移的准备工作

1,备份CA模板列表:
//注释原版 certutil.exe -catemplates >D:\catemplates.txt
certutil.exe -catemplates >D:\cabackup\catemplates.txt

2,记录CA的签名算法和CSP:
Certutil.exe -getreg ca\csp* >D:\cabackup\csp.txt

3,发布有效期延长CRL

        开始迁移 

1,备份CA数据库和私钥
net stop certsrv
certutil.exe -backupDB C:\cabackup\
certutil.exe -backupkey C:\cabackup\ //"c:\cabackup"备份目录

2,备份CA注册表设置
官方推荐:使用 Regedit.exe 备份 CA 注册表设置
单击“开始”、指向“运行”,然后键入 regedit 以打开注册表编辑器。

在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中,右键单击“配置”,然后单击“导出”。

指定位置和文件名,然后单击“保存”。 这将创建包含源 CA 中的 CA 配置数据的注册表文件。

HKLM>System>CurrentControlset>Services>Certsrv 中备份Configration文件夹
命名:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc c:\cabackup\regback.reg   //这备份一个文件到C盘下这个文件夹里

3,备份 CAPolicy.inf //一般在C盘windows下 ,一般情况下没有.

迁移完成之后 需要修改的几个点
1, 注册表,修改CAServerName--->新CA的FQDN(12SERVER.eason.com)
2,在新CA扩展里增加一条LADP"LDAP:///CN=<CATuncateName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Servies,<ConfigurationContainer><CDPObjectClass>"
把其中的CN=<ServerShortName> 改成CN="旧CA的NetBIOS"如:CN=08DC

3,在DC中打开ADSI--连接到"配置"--展开CN=Services-->CN=Public Key Services-->CN=AIA和CN=CDP这两个里面把新CA的权限添加进去
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章