CA證書的遷移

4,備份CA數據庫和私鑰:

4.1,用PowerShell:

Backup-CARoleService –path <BackupDirectory>

注:BackupDirectory指定創建備份文件的目錄。指定的值可以是相對路徑或絕對路徑。如果指定的目錄不存在，則創建該目錄。備份文件在名爲Database的子目錄中創建。

4.2,用 certutil.exe

Net stop certsrv

Certutil -backupDB c:\cabackup\db

//注:導入所指定的文件夾必須是空文件夾

Certutil -backupkey c:\cabackup

//注:輸入之後會要求輸入一個密碼以確保安全

5,備份CA註冊表設置

5.1,用regedit.exe

單擊“開始”、指向“運行”，然後鍵入 regedit 以打開註冊表編輯器。

在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 右鍵單擊“配置”，然後單擊“導出”。

指定位置和文件名，然後單擊“保存”。這將創建包含源 CA 中的 CA 配置數據的註冊表文件。

5.2,使用Reg.exe備份CA註冊表設置

1. 打開命令提示符窗口。
2. 鍵入reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration  <output file> .reg並按Enter。
3. 注 : output file 就一個絕對路徑文件名
4. 將註冊表文件複製到可從目標服務器訪問的位置; 例如，共享文件夾或可移動媒體。

6,備份CAPolicy.inf

在C:\windows文件夾下 (一般情況下沒有)

7,停止源CA服務器

8,在目標服務器上還原數據

8.1,在新CA服務器上安裝CA證書頒機構--->AD CS配置時必須導入源CA的私鑰.

8.2,還原數據庫

1,用PowerShell

Stop-service certsvc

Restore-CARoleService -path c:\cabackup\ -databaseonly -force

start-service certsvc

2,用Certutil

Net stop certsrv

certutil.exe -f -restoredb  c:\cabackup

Net start certsrv

8.3,還原CA註冊表設置

1,用reg.exe

在目標CA上導入源CA註冊表備份

1. 以本地Administrators組成員的身份登錄到目標服務器。
2. 打開命令提示符窗口。
3. 鍵入net stop certsvc並按Enter。
4. 鍵入reg import  <Registry Settings Backup.reg>，然後按Enter。 //注:Registry Settings Backup.reg爲備份的註冊表文件位置
5. 編輯CA註冊表設置
   1. 單擊“ 開始”，在“ 搜索程序和文件”框中鍵入regedit.exe，然後按Enter以打開註冊表編輯器。
   2. 在控制檯樹中，找到密鑰HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ CertSvc \ Configuration，然後單擊“ 配置”。
   3. 在詳細信息窗格中，雙擊DBSessionCount。
   4. 單擊十六進制。在“ 數值數據”中，鍵入64，然後單擊“ 確定”。
   5. 驗證以下設置中指定的位置是否適用於目標服務器，並根據需要進行更改以指示CA數據庫和日誌文件的位置。
      • DBDirectory
      • DBLogDirectory
      • DBSystemDirectory
      • DBTempDirectory

6,修改 CAServerName

將源CAServerName修改爲新CA的CAServerName

8.4,還原證書模板列表

1. 使用管理憑據登錄到目標CA.
2. 打開命令提示符窗口。
3. 鍵入certutil -setcatemplates +  <templatelist>，然後按Enter。 // 注:templatelist 爲源CA導出的模板列表文件 catemlates.txt裏面的文件名稱

certutil -setcatemplates + Administrator，User，DomainController

8.5, 授予AIA和CDP容器權限(在DC上完成)

如果目標服務器的名稱與源服務器不同，則必須爲目標服務器授予AD DS中源服務器的CDP和AIA容器的權限

1,以Enterprise Admins組成員的身份登錄到安裝了Active Directory站點和服務管理單元的計算機。打開Active Directory站點和服務（dssite.msc）

2,對這兩個容器添加新CA計算機完全控制權限

--

(ps:如果在CDP擴展中使用文件// \ computer \ share語法將CRL發佈到共享文件夾位置，則可能需要調整該共享文件夾的權限，以便目標CA能夠寫入該文件夾地點。如果您在目標服務器上託管CDP並使用包含別名的AIA或CDP路徑（例如，pki.contoso.com）作爲目標，則可能需要調整DNS記錄以使其指向正確的目標IP地址。)