Dobar dan dragi čitaoče,
Ispričaću vam o noćnoj mori kroz koju sam prošao migracijom CA sa Windows 2008R2 na Windows 2012 R2. Na internetu ima puno članaka o tome i nije trebalo biti nikakvih problema.
Na moju žalost, nisam baš Windows Admin, više sam *nix administrator, ali zadatak CA migracije je postavljen - to treba uraditi.
Ispod reza ću vam reći kako sam prošao kroz ovaj proces i završio sa ne baš HappyEndom.
I tako idemo...
Početni podaci:
Izvor - Windows 2008 R2 sa Root CA
Target - Windows 2012R2
Već sam imao instaliran Windows 2012R2 i minimalno konfigurisan.
U početku je akcioni plan bio sljedeći (skraćene akcije):
1) Napravite rezervnu kopiju CA+privatnog ključa i kopirajte je u zajednički dio za oba računara
2) Uklonite cilj sa domene i promijenite IP
3) Napravite snimak servera
4) Promijenite IP na izvoru
5) Idemo na novi Windows 2012R2 server kao administrator - unesite ga u domenu sa istim imenom i dodijelite stari IP
6) Postavite ulogu usluge Active Directory Certificate (CA, CA Web Enrollment, NDES, Online Responder)
7) Naznačavamo da je ovo Enterprise CA
8) Vratite CA+privatni ključ iz sigurnosne kopije
9) Sretan kraj
Slažem se, nema ništa komplikovano. I počeo sam da ga implementiram. Zapravo, nije bilo nikakvih problema i sve je išlo kao sat... Servis je počeo, pojavili su se predlošci certifikata i pojavili se sami certifikati. Generalno, sve je OK. pa sam otišao u krevet. Ujutro nije bilo pritužbi na rad CA i zato sam pretpostavio da sve radi i prešao na druge poslove. U procesu njihovog rješavanja trebao mi je certifikat. Napravio sam .csr i pratio vezu potpisati i primiti certifikat i u ovoj fazi je došlo do greške. Nažalost, nisam napravio snimak ekrana, ali je pisalo neusklađenost korisničkih informacija i neke druge greške. Pa, evo nas, pomislio sam. Počeo sam da guglam, ali nažalost nisam našao ništa razumljivo.
Uveče smo odlučili da uklonimo CA Windows 2012R2 i instaliramo sve novo, a onda sam napravio grešku; umesto Enterprise CA izabrao sam opciju Standalone CA (iako sam za svoju grešku saznao kasnije). Ponovo sam uradio sve operacije... sve je prošlo bez grešaka - ali kada odaberem fasciklu Certificate Templates, dobijem Element nije pronađen, mada ako odaberem Upravljanje, onda su šabloni na svom mestu.
Mislio sam da nema dovoljno prava za ovaj CN=Certificate Templates, pa sam koristeći ADSI Edit dao Read za vm_ca$. Ponovo sam pokrenuo CertSvc i... rezultat: Element nije pronađen.
Tada sam se osjećao tužno jer je bilo 2 ujutro... a CA nije radila. Isključujem CA Windows 2012R2 i vraćam VM CA Windows 2008R2 iz snimka. Vraćam server u AD (jer kada pokušam da se prijavim sa domenskim nalogom, javlja se greška u vezi sa odnosom između servera i AD).
Pa, mislim... sada će sve biti u redu, ali avaj... to su i dalje isti predlošci certifikata - dobijam da Element nije pronađen. Ostaviću sve do jutra - jer je jutro mudrije od večeri.
Ujutro sam guglao i čitao razne članke - odlučio sam da ponovo instaliram CA na stari server u nadi da ću riješiti problem Element Not Found i izdati certifikate putem weba.
Proces je prilično jednostavan:
1) Izbrišite ulogu CA
2) Preopterećenje
3) Sačekajte da se proces uklanjanja završi
4) Dodajte CA ulogu (navedite CA, CA Web Enrollment, NDES, Online Responder)
5) Naznačavamo da imam Enterprise CA i da imam privatni ključ
6) Čekamo da se instalacija završi i vratimo sve iz backup-a koji smo napravili na samom početku.
7) Kao i obično, sve ide uz prasak - nema grešaka i servis je počeo
Potonulog srca kliknem na šablone sertifikata - i... dobio sam spisak - ovo je već mala pobeda. Ostaje provjeriti rad izdavanja certifikata putem weba. pratim link: i kliknite na Zahtjev za certifikat pa napredni zahtjev za certifikatom... Određujem .csr zahtjev i dobijam gotov certifikat. Izdahnem... Bilo je moguće vratiti CA.
Zaključci:
1) Obavezno napravite rezervnu kopiju i snimak
2) Dokumentirajte svoje radnje - to će vam pomoći da sve vratite ili brže pronađete grešku
Ps. Moram ponovo da probam CA migraciju sa Windows 2008R na Windows 2012R2.
izvor: www.habr.com