Добры дзень паважаны чытач,
Я раскажу Вам аб сваім кашмары, які я перажыў мігруючы CA з Windows 2008R2 на Windows 2012 R2. У інэце вельмі шмат артыкулаў з гэтай нагоды і ніякіх праблем не павінна было быць.
На свой жаль - я не асоба Windows Admin, я больш *nix адмін, але была пастаўлена задача міграцыі CA - яе трэба зрабіць.
Пад катом я раскажу, як я прайшоў гэты працэс і атрымаў не зусім HappyEnd у вядома выніку.
І так паехалі...
Зыходныя дадзеныя:
Крыніца – Windows 2008 R2 з Root CA
Таргет - Windows 2012R2
Сервер Windows 2012R2 у мяне быў ужо ўсталяваны і мінімальна наладжаны.
Першапачаткова план дзеянняў быў такі (скарочаныя дзеянні):
1) Які робіцца Backup CA+Private Key і які капіюецца яго на агульную шару для абодвух кампоў
2) Выводзім target з дамена і змяняем IP
3) Які робіцца snapshot сервера
4) Змяняем IP на крыніцы
5) Заходзім на новы сервер Windows 2012R2 пад адмінам - уводны яго ў дамен з такім жа імем і прызначаем стары IP
6) Ставім ролю Active Directory Certificate Service (CA, CA Web Enrollment, NDES, Online Responder)
7) Указваем, што гэта Enterprise CA
8) Аднаўляем CA+Private Key з бэкапу
9) Happy End
Пагадзіцеся ну нічога складанага няма. І я прыступіў да рэалізацыі. Насамрэч ніякіх праблем не было і ўсё прайшло, як па масле… Сэрвіс стартануў, Certificate Templates з'явіліся і самі сертыфікаты з'явіліся. Наогул усе ОК. Таму я пайшоў спаць. Раніцай ніякіх скарг на працу CA не паступала і таму лічыў я, што ўсё працуе, і прыступіў да іншых задач. У працэсе іх вырашэння мне спатрэбіўся сертыфікат. Я стварыў .csr і пайшоў па спасылцы , Каб падпісаць і атрымаць сертыфікат і вось на гэтым этапе адбылася памылка. На жаль, скрыншот я не зрабіў, але там гаварылася пра mismatch user information і яшчэ нейкія памылкі. Ну вось і пераплылі - падумалася мне. Пачаў гугліць, але на жаль нічога выразнага не знайшоў.
Ужо ўвечар вырашылі выдаліць CA Windows 2012R2 і паставіць усё па новай і тут дапусціў памылку, замест Enterprise CA я абраны варыянт Standalone CA (пра сваю памылку праўда я ўжо пазнаў пазней). Прарабіў усе аперацыі зноў… усё прайшло без памылак - але пры выбары тэчкі Certificate Templates - я атрымліваю Element not found, хоць калі абраць Manage - то templates на месцы.
Я падумаў, што бракуе мае рацыю для дадзенай CN=Certificate Templates, таму пры дапамозе ADSI Edit даў Read для vm_ca$. Перазапусціў CertSvc і... вынік: Element not found.
Тут мне смуткавала бо на гадзіны 2 ночы… і CA не працуе. Выключаю CA Windows 2012R2 і аднаўляю VM CA Windows 2008R2 з snapshot. Вяртаю сервер у AD (т.к. пры спробе ўваходу пад даменнай уліку выходзіць памылка ўзаемаадносін паміж серверам і AD).
Ну думаю… усё зараз-то будзе ОК, але нажаль… усё гэтак жа Certificate Templates – я атрымліваю Element not found. Пакіну ўсё да раніцы - бо раніца вечара мудрэйшая.
Раніцай пагугліў, пачытаўшы рознага роду артыкулы - вырашаюся на пераўсталёўку CA ужо на старым серверы ў надзеі вырашыць праблему Element Not Found і выдачай сертыфікатаў праз Web.
Працэс даволі просты:
1) Выдае ролю CA
2) Перагружаемся
3) Чакаем завяршэння працэсу выдалення
4) Дадаем ролю CA (паказваем CA, CA Web Enrollment, NDES, Online Responder)
5) Указваем, што ў мяне Enterprise CA і ў мяне ёсць прыватны ключ
6) Чакаем завяршэння ўстаноўкі і аднаўляем усе з бэкапу, які мы рабілі ў самым пачатку.
7) Як звычайна, усё праходзіць на ўра - без памылак і сэрвіс стартануў
З заміраннем сэрца на пстрыкаю на Certificate Templates – і… мне выдаўся спіс – гэта ўжо маленькая перамога. Застаецца праверыць працу выдачы сертыфіката праз Інтэрнэт. Праходжу па спасылцы: і клікаю на Request a Certificate і далей advanced certificate request… паказваю .csr запыт і атрымліваю гатовы сертыфікат. Выдыхаю… Аднавіць CA атрымалася.
Высновы:
1) Абавязкова рабіце бэкап і snapshot
2) Дакументуйце свае дзеянні - гэта дапаможа вярнуць усё назад ці ж знайсці памылку хутчэй
Ps Мне ж трэба будзе зноў паспрабаваць міграцыю CA з Windows 2008R на Windows 2012R2.
Крыніца: habr.com