CA证书的迁移

4,备份CA数据库和私钥:

4.1,用PowerShell:

Backup-CARoleService –path <BackupDirectory>

注:BackupDirectory指定创建备份文件的目录。指定的值可以是相对路径或绝对路径。如果指定的目录不存在，则创建该目录。备份文件在名为Database的子目录中创建。

4.2,用 certutil.exe

Net stop certsrv

Certutil -backupDB c:\cabackup\db

//注:导入所指定的文件夹必须是空文件夹

Certutil -backupkey c:\cabackup

//注:输入之后会要求输入一个密码以确保安全

5,备份CA注册表设置

5.1,用regedit.exe

单击“开始”、指向“运行”，然后键入 regedit 以打开注册表编辑器。

在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 右键单击“配置”，然后单击“导出”。

指定位置和文件名，然后单击“保存”。这将创建包含源 CA 中的 CA 配置数据的注册表文件。

5.2,使用Reg.exe备份CA注册表设置

1. 打开命令提示符窗口。
2. 键入reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration  <output file> .reg并按Enter。
3. 注 : output file 就一个绝对路径文件名
4. 将注册表文件复制到可从目标服务器访问的位置; 例如，共享文件夹或可移动媒体。

6,备份CAPolicy.inf

在C:\windows文件夹下 (一般情况下没有)

7,停止源CA服务器

8,在目标服务器上还原数据

8.1,在新CA服务器上安装CA证书颁机构--->AD CS配置时必须导入源CA的私钥.

8.2,还原数据库

1,用PowerShell

Stop-service certsvc

Restore-CARoleService -path c:\cabackup\ -databaseonly -force

start-service certsvc

2,用Certutil

Net stop certsrv

certutil.exe -f -restoredb  c:\cabackup

Net start certsrv

8.3,还原CA注册表设置

1,用reg.exe

在目标CA上导入源CA注册表备份

1. 以本地Administrators组成员的身份登录到目标服务器。
2. 打开命令提示符窗口。
3. 键入net stop certsvc并按Enter。
4. 键入reg import  <Registry Settings Backup.reg>，然后按Enter。 //注:Registry Settings Backup.reg为备份的注册表文件位置
5. 编辑CA注册表设置
   1. 单击“ 开始”，在“ 搜索程序和文件”框中键入regedit.exe，然后按Enter以打开注册表编辑器。
   2. 在控制台树中，找到密钥HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ CertSvc \ Configuration，然后单击“ 配置”。
   3. 在详细信息窗格中，双击DBSessionCount。
   4. 单击十六进制。在“ 数值数据”中，键入64，然后单击“ 确定”。
   5. 验证以下设置中指定的位置是否适用于目标服务器，并根据需要进行更改以指示CA数据库和日志文件的位置。
      • DBDirectory
      • DBLogDirectory
      • DBSystemDirectory
      • DBTempDirectory

6,修改 CAServerName

将源CAServerName修改为新CA的CAServerName

8.4,还原证书模板列表

1. 使用管理凭据登录到目标CA.
2. 打开命令提示符窗口。
3. 键入certutil -setcatemplates +  <templatelist>，然后按Enter。 // 注:templatelist 为源CA导出的模板列表文件 catemlates.txt里面的文件名称

certutil -setcatemplates + Administrator，User，DomainController

8.5, 授予AIA和CDP容器权限(在DC上完成)

如果目标服务器的名称与源服务器不同，则必须为目标服务器授予AD DS中源服务器的CDP和AIA容器的权限

1,以Enterprise Admins组成员的身份登录到安装了Active Directory站点和服务管理单元的计算机。打开Active Directory站点和服务（dssite.msc）

2,对这两个容器添加新CA计算机完全控制权限

--

(ps:如果在CDP扩展中使用文件// \ computer \ share语法将CRL发布到共享文件夹位置，则可能需要调整该共享文件夹的权限，以便目标CA能够写入该文件夹地点。如果您在目标服务器上托管CDP并使用包含别名的AIA或CDP路径（例如，pki.contoso.com）作为目标，则可能需要调整DNS记录以使其指向正确的目标IP地址。)