4,備份CA數據庫和私鑰:
4.1,用PowerShell:
Backup-CARoleService –path <BackupDirectory>
注:BackupDirectory指定創建備份文件的目錄。指定的值可以是相對路徑或絕對路徑。如果指定的目錄不存在,則創建該目錄。備份文件在名爲Database的子目錄中創建。
4.2,用 certutil.exe
Net stop certsrv
Certutil -backupDB c:\cabackup\db
//注:導入所指定的文件夾必須是空文件夾
Certutil -backupkey c:\cabackup
//注:輸入之後會要求輸入一個密碼以確保安全
5,備份CA註冊表設置
5.1,用regedit.exe
單擊“開始”、指向“運行”,然後鍵入 regedit 以打開註冊表編輯器。
在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 右鍵單擊“配置”,然後單擊“導出”。
指定位置和文件名,然後單擊“保存”。這將創建包含源 CA 中的 CA 配置數據的註冊表文件。
5.2,使用Reg.exe備份CA註冊表設置
- 打開命令提示符窗口。
- 鍵入reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration <output file> .reg並按Enter。
- 注 : output file 就一個絕對路徑文件名
- 將註冊表文件複製到可從目標服務器訪問的位置; 例如,共享文件夾或可移動媒體。
6,備份CAPolicy.inf
在C:\windows文件夾下 (一般情況下沒有)
7,停止源CA服務器
8,在目標服務器上還原數據
8.1,在新CA服務器上安裝CA證書頒機構--->AD CS配置時必須導入源CA的私鑰.
8.2,還原數據庫
1,用PowerShell
Stop-service certsvc
Restore-CARoleService -path c:\cabackup\ -databaseonly -force
start-service certsvc
2,用Certutil
Net stop certsrv
certutil.exe -f -restoredb c:\cabackup
Net start certsrv
8.3,還原CA註冊表設置
1,用reg.exe
在目標CA上導入源CA註冊表備份
- 以本地Administrators組成員的身份登錄到目標服務器。
- 打開命令提示符窗口。
- 鍵入net stop certsvc並按Enter。
- 鍵入reg import <Registry Settings Backup.reg>,然後按Enter。 //注:Registry Settings Backup.reg爲備份的註冊表文件位置
- 編輯CA註冊表設置
- 單擊“ 開始”,在“ 搜索程序和文件”框中鍵入regedit.exe,然後按Enter以打開註冊表編輯器。
- 在控制檯樹中,找到密鑰HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ CertSvc \ Configuration,然後單擊“ 配置”。
- 在詳細信息窗格中,雙擊DBSessionCount。
- 單擊十六進制。在“ 數值數據”中,鍵入64,然後單擊“ 確定”。
- 驗證以下設置中指定的位置是否適用於目標服務器,並根據需要進行更改以指示CA數據庫和日誌文件的位置。
- DBDirectory
- DBLogDirectory
- DBSystemDirectory
- DBTempDirectory
6,修改 CAServerName
將源CAServerName修改爲新CA的CAServerName
8.4,還原證書模板列表
- 使用管理憑據登錄到目標CA.
- 打開命令提示符窗口。
- 鍵入certutil -setcatemplates + <templatelist>,然後按Enter。 // 注:templatelist 爲源CA導出的模板列表文件 catemlates.txt裏面的文件名稱
certutil -setcatemplates + Administrator,User,DomainController
8.5, 授予AIA和CDP容器權限(在DC上完成)
如果目標服務器的名稱與源服務器不同,則必須爲目標服務器授予AD DS中源服務器的CDP和AIA容器的權限
1,以Enterprise Admins組成員的身份登錄到安裝了Active Directory站點和服務管理單元的計算機。打開Active Directory站點和服務(dssite.msc)
2,對這兩個容器添加新CA計算機完全控制權限
--
(ps:如果在CDP擴展中使用文件// \ computer \ share語法將CRL發佈到共享文件夾位置,則可能需要調整該共享文件夾的權限,以便目標CA能夠寫入該文件夾地點。如果您在目標服務器上託管CDP並使用包含別名的AIA或CDP路徑(例如,pki.contoso.com)作爲目標,則可能需要調整DNS記錄以使其指向正確的目標IP地址。)