證書角色的安裝及配置在之前的博客中有寫,這裏就不再多做贅述,直接開始進行還原吧。
打開服務器管理器,在工具中點擊證書頒發機構;
右鍵CA服務器,在所有任務中點擊還原;
是否停止AD證書服務,點擊確定;
進入還原嚮導界面,點擊下一步;
選擇要還原的項目,然後在瀏覽中選擇我們備份的CA文件,點擊下一步;
輸入我們備份時輸入的密碼,點擊下一步;
點擊完成並開始還原;
還原成功,是否啓動AD證書服務,這裏我們暫時不啓動,因爲我們還需去還原註冊表,點擊否;
找到我們備份的CA註冊表並雙擊添加;
CA註冊表添加成功,點擊確定關閉;
在CMD中輸入net start certsvc啓動CA相關服務;
打開證書頒發機構,右鍵服務器選擇屬性;
在擴展窗口中,選擇擴展爲CRL分發點,並點擊添加按鈕;
在添加位置中,輸入以下路徑:ldap:/// CN = <CATruncatedName> <CRLNameSuffix>,CN = Server Name,CN = CDP,CN =Public Key Service,CN =Services,<ConfigurationContainer> <CDPObjectClass>,完成後點擊確定;
確保添加的CRL擴展已勾選以下選項,點擊確定;
是否要重啓AD證書服務,點擊是;
打開AD站點和服務,在查看選項卡中點擊顯示服務節點;
依次展開Services/Public Key Services,右鍵AIA選擇屬性;
在安全選項卡中點擊添加;
查找添加本地計算機賬戶,點擊確定;
賦予完全控制權限後,點擊確定;
至此,CA角色還原成功。
這裏多嘴一句,如果你是在生產環境中,做CA升級的話,建議將根證書導出再導入到新的CA服務器中,這樣就免去應用的麻煩,否則應用服務器需要重新頒發證書。