環境:
源服務器:Windows2003,域控制器,證書服務器
目標服務器:Windows2008 R2,域控制器。
備註:將源服務器證書服務器遷移到目標服務器上,要求更改目標服務器名稱與源服務器名稱不相同。
一、準備源服務器
1、 源服務器安裝補丁
源服務器安裝windows2003 SP2補丁。
2、備份 CA 模板列表
(1)以域管理員身份登錄到bj-ad-sms服務器.
(2)打開“證書頒發機構”管理單元。
(3) 在控制檯樹中,展開“證書頒發機構”,並單擊“證書模板”。
(4) 通過抓取屏幕截圖或將列表鍵入到文本文件中來記錄證書模板的列表。
3、使用 Certutil.exe 記錄 CA 模板列表
(1)使用本地管理憑據登錄到 bj-ad-sms計算機。
(2)打開命令提示符窗口。
(3)鍵入 certutil.exe –catemplates > catemplates.txt,並按 Enter。
(4)驗證 catemplates.txt 文件是否包含模板列表,並將catemplates.txt文件,拷貝到C:\windows\sysvol\sysvol
4、記錄 CA 的簽名算法和 CSP
(1)使用本地管理憑據登錄到 bj-ad-sms。
(2)打開命令提示符窗口。
(3)鍵入 certutil.exe –getreg ca\csp\* > csp.txt,並按 Enter。
(3) 打開csp文件,截圖如下:
(4)記錄原始的CA將AIA和CRL數據發佈到HTTP URLs以及客戶端在驗證證書鏈和CRL數據時可以訪問HTTP URL,以便遷移後設置手動發佈AIA和CRL數據帶原始的web服務器或是添加一條DNS記錄將指向原始的HTTP URL執行新的CA服務器的HTTP URL(這裏源服務器和目標服務器的勾選項要一致)。例如:記錄下圖中ldap和http中的勾選項。
二、遷移證書頒發機構
1、備份源證書服務器 CA 數據庫和私鑰
(1) 以域管理員身份,登錄到源服務器。
(2) 打開“證書頒發機構”管理單元。
(3) 右鍵單擊CA名稱,指向“所有任務”,然後單擊“備份 CA”。
(4) 在 CA 備份嚮導的“歡迎”頁上,單擊“下一步”。
(5)在“要備份的項目”頁上,選中“私鑰和 CA 證書”以及“證書數據庫和證書數據庫日誌”複選框,指定備份位置例如D:\CABACKUP,然後單擊“下一步”。
(3) 在“選擇密碼”頁上,鍵入用於保護 CA 私鑰的密碼,並單擊“下一步”。
(7) 在“正在完成備份嚮導”頁上,單擊“完成”。
(8)備份完成後,驗證所指定的位置中的以下文件:
①包含 CA 證書和私鑰的 CA 名稱.p12
②包含文件 certbkxp.dat、edb#####.log 和 CA 名稱.edb 的 Database 文件夾
(9)打開命令提示符窗口,並鍵入 net stop certsvc 以停止“Active Directory 證書服務”服務。
(10)將所有備份文件複製到可從目標服務器中訪問的位置(C:\windows\sysvol\sysvol)。
2、備份源證書服務器 CA 註冊表設置
(1)以域管理員登陸源服務器
(2)單擊“開始”,指向“運行”,並鍵入 regedit 以打開註冊表編輯器。
(3)在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中,右鍵單擊“Configuration”,然後單擊“導出”。
(5) 指定C:\windows\sysvol\sysvol位置存儲和文件名爲careg,然後單擊“保存”。
3、備份源證書服務器CAPolicy.inf
(1)打開我的電腦,找到c:\windows,沒有找到CAPolicy.inf文件,直接搜索C盤也無CAPolicy.inf文件。注意:已經需要打開文件夾顯示隱藏文件屬性。
(2)說明用戶沒有自定義CAPolicy.inf,因此不需要備份這個文件。
4、從源服務器中刪除 CA 角色服務
(1)以域管理員身份登錄源服務器。
(2)打開控制面板,使用“添加/刪除 Windows 組件”,卸載證書服務器。
(3)等卸載完成,後點擊完成。
5、將 CA 角色服務添加到目標服務器
(1)以域管理員身份登錄目標服務器
(2)打開管理工具---服務器管理器,添加角色
(3)添加AD證書服務,下一步
(4)選擇證書頒發機構和證書頒發機構web註冊,下一步
(5)選擇企業,下一步。
(6)根CA,下一步
(7)在“設置私鑰”頁上,選擇“使用現有私鑰”和“選擇一個證書並使用其關聯私鑰”。
(8)在“證書”列表中,單擊導入的 CA 證書,然後單擊“下一步”。
注意:需要提前將源服務器中的cabackup文件夾和careg.reg,和catemplates.txt文件拷貝到本地C盤根目錄。
(9)選擇cabackup文件夾.p12文件,並輸入備份時的密碼,確定。
(10)選擇chinalifereca,然後下一步
(11)在“配置證書數據庫”頁上,下一步。
(12)在“確認安裝選擇”頁上查看消息,然後單擊“安裝”。
(13)安裝完成,選擇關閉。
6、在目標服務器上還原 CA 數據庫
(1)以域管理登陸目標服務器
(2)打開管理工具---證書頒發機構
(3)右鍵單擊包含 CA 名稱的節點,指向“所有任務”,然後單擊“還原 CA”。如果出現提示,請單擊“確定”停止 CA 服務。
(4)在“歡迎”頁上,單擊“下一步”。
(5)在“要還原的項目”頁上,選擇“證書數據庫和證書數據庫日誌”。
(6)單擊“瀏覽”,選擇C:\cabackup \目錄,按下一步。
(6) 輸入密碼,下一步。
(7)點擊完成
(8)單擊“是”重新啓動 CA 服務。
7、在目標 CA 上導入源 CA 註冊表備份
(1)以域管理員身份登錄目標服務器
(2)以管理員身份運行“命令提示符”。
(3)鍵入 net stop certsvc 並按 Enter。
(4)切換到存放careg.reg文件的目錄,鍵入 reg import careg.reg,並按 Enter。
注意:需要提前將源服務器中的careg.reg,文件拷貝到本地C盤根目錄。
8、編輯 目標服務器CA 註冊表設置(注意:如果源服務器和目標服務器名稱相同,可以直接跳到10步驟)
(1)單擊“開始”,在“搜索程序和文件”框中鍵入 regedit.exe,並按 Enter 以打開註冊表編輯器。
注意:更改註冊表前,先備份註冊表。
(2)在控制檯樹中,找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration 項
(3)在詳細信息窗格中,雙擊“DBSessionCount”。
(4)單擊“十六進制”。在“數值數據”中,鍵入 64,然後單擊“確定”。
(5)驗證以下設置中指定的位置對於目標服務器是否正確,並根據需要更改它們以指示 CA 數據庫和日誌文件的位置。
① DBDirectory
②DBLogDirectory
③DBSystemDirectory
④DBTempDirectory
注意:以上鍵值中目錄位置要和安裝CA時的路徑一致,否則會出錯誤。
(6)在註冊表編輯器的控制檯樹中,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration,並單擊 CA名稱。
(7)通過將源服務器名稱替換爲目標服務器名稱,修改以***冊表設置的值。
① CACertFileName
②ConfigurationDirectory (注意:這個值,在configuration鍵值下面,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration)
② CAServerName
(8)通過將 %1 替換爲目標服務器的完全限定的域名(例如 “BJ-DC.test.local”),並將 %2 替換爲目標服務器的 NetBIOS 名稱(這裏爲“BJ-DC”),修改以***冊表設置的值
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration下面)。
② CACertPublicationURLs
②CRLPublicationURLs
9、驗證目標 CA 上的證書擴展
(1)打開“證書頒發機構”管理單元。
(2)在控制檯樹中,單擊 CA 的名稱。
(3)在“操作”菜單上,單擊“屬性”,然後單擊“擴展”選項卡。請確認“選擇擴展”設置爲“CRL 分發點(CDP)”。
(4)添加如下一條(如下圖:): “ ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>”
注意:如果目標CA服務器和源CA服務器名稱不同,必須有這條。否則吊銷服務器不正常。
(5)點擊新添加的“ ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>”
更改爲下列選項。(注意這裏選項要與“一、準備源服務器4”中最後記錄CRL和ATA設置一致)
(6)測試時可以將證書CRL發佈間隔改爲5年,增量改爲4年
注意:CRL發佈間隔時間長短會對客戶端訪問證書的性能和證書安全有影響。
10、還原證書模板列表
(1)以域管理員登陸目標服務器。
(2)打開證書頒發機構---證書模板
(3)對比源服務器的備份 CA 模板列表
如果缺少某個模板,可以使用一下命令,單獨添加
①以管理員身份打開命令提示符窗口。
③ 切換到C盤
④ 例如:添加系統管理員模板(具體模塊命令,可以參考(3)中文對照的英文):
鍵入 “certutil -setcatemplates +” Administrator””,並按 Enter。
11、對 AIA 和 CDP 容器授予權限
(1)以域管理員登陸到目標服務器
(2)單擊“開始”,指向“運行”,鍵入 dssite.msc,打開AD站點和服務,然後單擊“確定”。
(3)在控制檯樹中,單擊頂部的節點。
(4)在“視圖”菜單上,單擊“顯示服務節點”。
(5)在控制檯樹中,展開“服務(Services)”,展開“公鑰服務(Public Key Services)”,然後單擊“AIA”。
(6)在詳細信息窗格中,右鍵單擊源 CA名稱,然後單擊“屬性”。
(7)單擊“安全性”選項卡,然後單擊“添加”。
(8)單擊“對象類型”,單擊“計算機”,然後單擊“確定”。
(9)鍵入目標服務器的名稱,並單擊“確定”。
(10)在“允許”列中,單擊“完全控制”,並單擊“應用”。
(11)如果源服務器名對象顯示在“組或用戶名”中,請單擊源服務器的名稱,然後單擊“刪除”,再單擊“確定”。
(12)在控制檯樹中,展開“CDP”,然後單擊源服務器的名稱。
(13)在詳細信息窗格中,右鍵單擊列表頂部的“cRLDistributionPoint”項,然後單擊“屬性”。
(14)單擊“安全性”選項卡,然後單擊“添加”。
(15)單擊“對象類型”,單擊“計算機”,然後單擊“確定”。
(16)鍵入目標服務器的名稱,並單擊“確定”。
(17)在“允許”列中,單擊“完全控制”,並單擊“應用”。
(18)如果源服務器名稱對象顯示在“組或用戶名”中,請單擊源服務器的名稱,然後單擊“刪除”,再單擊“確定”。
12、啓動證書服務
1)以域管理員登陸目標服務器
2)打開管理工具---證書頒發機構,右鍵選擇CA證書名稱,所有任務,然後啓動服務。
(4) 驗證遷移