Axşamınız xeyir əziz oxucu,
Mən sizə CA-nı Windows 2008R2-dən Windows 2012 R2-ə köçürərkən yaşadığım kabus haqqında danışacağam. İnternetdə bununla bağlı çoxlu məqalələr var və heç bir problem olmamalı idi.
Təəssüf edirəm ki, mən həqiqətən Windows Admin deyiləm, mən daha çox *nix adminəm, lakin CA miqrasiyası vəzifəsi qoyulub - bunu etmək lazımdır.
Kəsmənin altında sizə bu prosesi necə keçdiyimi və çox da xoşbəxt olmayan bir nəticə əldə etdiyimi söyləyəcəyəm.
Beləliklə, gedək ...
Başlanğıc:
Mənbə - Kök CA ilə Windows 2008 R2
Hədəf - Windows 2012R2
Məndə artıq Windows 2012R2 quraşdırılmış və minimal konfiqurasiya edilmişdi.
Əvvəlcə fəaliyyət planı aşağıdakı kimi idi (qısaldılmış tədbirlər):
1) Yedək CA+Şəxsi Açar yaradın və onu hər iki kompüter üçün ümumi paylaşıma kopyalayın
2) Hədəfi domendən çıxarın və IP dəyişdirin
3) Serverin şəklini çəkin
4) Mənbədə IP-ni dəyişdirin
5) Yeni Windows 2012R2 serverinə administrator olaraq gedirik - onu eyni adla domenə daxil edin və köhnə IP təyin edin
6) Active Directory Sertifikat Xidməti rolunu təyin edin (CA, CA Web Enrollment, NDES, Online Responder)
7) Biz bunun Enterprise CA olduğunu bildiririk
8) CA+Private Key-i ehtiyat nüsxədən bərpa edin
9) Xoşbəxt son
Razılaşın, mürəkkəb bir şey yoxdur. Və onu həyata keçirməyə başladım. Əslində heç bir problem yox idi və hər şey saat mexanizmi kimi getdi... Xidmət başladı, Sertifikat Şablonları peyda oldu və sertifikatların özləri ortaya çıxdı. Ümumiyyətlə, hər şey qaydasındadır. Beləcə yatağa getdim. Səhər CA-nın işi ilə bağlı heç bir şikayət olmadı və buna görə də hər şeyin işlədiyini güman etdim və başqa işlərə keçdim. Onların həlli prosesində mənə sertifikat lazım idi. Mən .csr yaratdım və linki izlədim sertifikatı imzalamaq və almaq və bu mərhələdə xəta baş verdi. Təəssüf ki, skrinşot çəkmədim, lakin o, istifadəçi məlumatlarının uyğunsuzluğunu və bəzi digər səhvləri söylədi. Yaxşı, buradayıq, mən düşündüm. Mən axtarışa başladım, amma təəssüf ki, başa düşülən bir şey tapmadım.
Axşam biz CA Windows 2012R2-ni silmək və hər şeyi yeni quraşdırmaq qərarına gəldik və sonra səhv etdim; Enterprise CA əvəzinə, Standalone CA seçimini seçdim (baxmayaraq ki, səhvimi sonradan öyrəndim). Yenə bütün əməliyyatları etdim... hər şey xətasız getdi - lakin Sertifikat Şablonları qovluğunu seçəndə Element tapılmadı yazısını alıram, baxmayaraq ki, Manage seçsəm, şablonlar yerindədir.
Düşündüm ki, bu CN=Sertifikat Şablonları üçün kifayət qədər hüquqlar yoxdur, ona görə də ADSI Edit-dən istifadə edərək vm_ca$ üçün Read verdim. Mən CertSvc-i yenidən başladım və... nəticə: Element tapılmadı.
Sonra saat 2 olduğu üçün kədərləndim... və CA işləmirdi. Mən CA Windows 2012R2-ni söndürürəm və VM CA Windows 2008R2-ni anlıq görüntüdən bərpa edirəm. Mən serveri AD-yə qaytarıram (çünki mən domen hesabı ilə daxil olmağa çalışarkən server və AD arasındakı əlaqə ilə bağlı xəta baş verir).
Yaxşı, məncə... indi hər şey qaydasında olacaq, amma təəssüf ki... hələ də eyni Sertifikat Şablonlarıdır - Element tapılmadı. Səhərə qədər hər şeyi tərk edəcəyəm - səhər axşamdan daha müdrikdir.
Səhər Google-da axtarış etdim və müxtəlif məqalələri oxudum - Element Tapılmadı problemini həll etmək və İnternet vasitəsilə sertifikatlar vermək ümidi ilə CA-nı köhnə serverdə yenidən quraşdırmaq qərarına gəldim.
Proses olduqca sadədir:
1) CA rolunu silin
2) Həddindən artıq yükləmə
3) Silinmə prosesinin tamamlanmasını gözləyin
4) CA rolunu əlavə edin (CA, CA Web Enrollment, NDES, Online Responder göstərin)
5) Müəssisə CA-m və şəxsi açarım olduğunu bildiririk
6) Quraşdırmanın tamamlanmasını və başlanğıcda etdiyimiz ehtiyat nüsxədən hər şeyi bərpa etməsini gözləyirik.
7) Həmişə olduğu kimi, hər şey bir bang ilə gedir - heç bir səhv və xidmət başladı
Batan ürəklə Sertifikat Şablonlarına klikləyirəm - və... Mənə bir siyahı verdilər - bu, artıq kiçik bir qələbədir. İnternet vasitəsilə sertifikatın verilməsi əməliyyatını yoxlamaq qalır. Linki izləyirəm: və Sertifikat tələb et və daha sonra təkmil sertifikat sorğusu üzərinə klikləyin... Mən .csr sorğusunu təyin edirəm və hazır sertifikat alıram. Nəfəs alıram... CA-nı bərpa etmək mümkün idi.
Sonuç:
1) Yedəkləmə və snapshot yaratmağınızdan əmin olun
2) Hərəkətlərinizi sənədləşdirin - bu, sizə hər şeyi geri qaytarmağa və ya səhvi daha tez tapmağa kömək edəcək
Ps Windows 2008R-dən Windows 2012R2-yə CA miqrasiyasını yenidən cəhd etməliyəm.
Mənbə: www.habr.com