環境:
源服務器:Windows2003,域控制器,證書服務器
目標服務器:Windows2008 R2,域控制器。
備註:將源服務器證書服務器遷移到目標服務器上,要求更改目標服務器名稱與源服務器名稱不相同。
一、準備源服務器
源服務器安裝windows2003 SP2補丁。
2、備份 CA 模板列表
(1)以域管理員身份登錄到bj-ad-sms服務器.
(2)打開“證書頒發機構”管理單元。
(3) 在控制檯樹中,展開“證書頒發機構”,並單擊“證書模板”。
(4) 通過抓取屏幕截圖或將列表鍵入到文本文件中來記錄證書模板的列表。
3、使用 Certutil.exe 記錄 CA 模板列表
(1)使用本地管理憑據登錄到 bj-ad-sms計算機。
(2)打開命令提示符窗口。
(3)鍵入 certutil.exe –catemplates > catemplates.txt,並按 Enter。
(4)驗證 catemplates.txt 文件是否包含模板列表,並將catemplates.txt文件,拷貝到C:\windows\sysvol\sysvol
4、記錄 CA 的簽名算法和 CSP
(1)使用本地管理憑據登錄到 bj-ad-sms。
(2)打開命令提示符窗口。
(3)鍵入 certutil.exe –getreg ca\csp\* > csp.txt,並按 Enter。
(3) 打開csp文件,截圖如下:
(4)記錄原始的CA將AIA和CRL數據發佈到HTTP URLs以及客戶端在驗證證書鏈和CRL數據時可以訪問HTTP URL,以便遷移後設置手動發佈AIA和CRL數據帶原始的web服務器或是添加一條DNS記錄將指向原始的HTTP URL執行新的CA服務器的HTTP URL(這裏源服務器和目標服務器的勾選項要一致)。例如:記錄下圖中ldap和http中的勾選項。
