上篇順利完成了Active Directory 域服務和 DNS 服務器遷移,此篇講一下集成在域服務器上的證書頒發機構的遷移。
一、備份 CA 模板列表(僅企業 CA 需要)
使用 Certutil.exe 記錄 CA 模板列表
鍵入 certutil.exe –catemplates > c:\catemplates.txt,並按 Enter。
使用 Certutil.exe 記錄 CA 的 CSP
鍵入 certutil.exe –getreg ca\csp\* >c:\csp.txt,並按 Enter。
三、發布有效期延長的 CRL。
四、備份 CA 數據庫和私鑰
五、備份 CA 註冊表設置
在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中,右鍵單擊“Configuration”,然後單擊“導出”。
六、從源服務器中刪除 CA 角色服務
刪除 CA 角色服務的操作不會從源服務器中刪除 CA 數據庫、私鑰和證書。因此,如果遷移失敗並且需要執行回滾,在源服務器上重新安裝 CA 角色服務即可還原源 CA。
七、原域控dc001重命名爲dc003,把新的提升爲主域控制器dc002重命名爲dc001
具體操作參考上篇。
八、
將 CA 角色服務添加到目標服務器(現在名稱是dc001)
導入備份的源服務器CA證書並使用私鑰
在目標服務器上還原源 CA 數據庫
在目標服務器上還原源 CA 註冊表設置
驗證 CA 註冊表設置
找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration 項
驗證以下設置中指定的位置對於目標服務器是否正確,並根據需要更改它們以指示 CA 數據庫和日誌文件的位置。
DBDirectory
DBLogDirectory
DBSystemDirectory
DBTempDirectory
驗證DBSessionCount ,在“數值數據”中,確認是64
還原證書模板列表
鍵入 certutil -setcatemplates +<模板列表>,並按 Enter。
例如,certutil -setcatemplates +Administrator,User,DomainController。查看在備份 CA 模板列表過程中創建的模板的列表
certutil -setcatemplates +Administrator,User,DomainController,DirectoryEmailReplication,DomainControllerAuthentication,EFSRecovery,EFS,WebServer,Machine,SubCA
至此,CA證書頒發機構遷移完畢。
參考:https://technet.microsoft.com/zh-cn/library/ee126170(v=ws.10).aspx