Bona tarda estimat lector,
Us explicaré el malson que vaig passar per migrar CA de Windows 2008R2 a Windows 2012 R2. Hi ha molts articles a Internet sobre això i no hi hauria d'haver hagut cap problema.
Per a la meva pena, no sóc realment un administrador de Windows, sóc més un administrador *nix, però la tasca de la migració de CA es va establir: s'ha de fer.
A sota del tall, us explicaré com vaig passar per aquest procés i vaig acabar amb un HappyEnd no gaire.
I doncs anem...
Dades d'origen:
Font - Windows 2008 R2 amb root CA
Objectiu - Windows 2012R2
Ja tenia Windows 2012R2 instal·lat i configurat mínimament.
Inicialment, el pla d'acció era el següent (accions escurçades):
1) Feu una còpia de seguretat de CA+Clau privada i copieu-la a una compartició comuna per als dos ordinadors
2) Elimina l'objectiu del domini i canvia la IP
3) Feu una instantània del servidor
4) Canvieu la IP a la font
5) Anem al nou servidor de Windows 2012R2 com a administrador: introduïu-lo al domini amb el mateix nom i assigneu l'antiga IP
6) Establiu la funció del servei de certificats d'Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) Indiquem que es tracta d'Enterprise CA
8) Restaura CA + clau privada des de la còpia de seguretat
9) Happy End
D'acord, no hi ha res complicat. I vaig començar a implementar-lo. De fet, no hi va haver problemes i tot va anar com un rellotge... Va començar el servei, van aparèixer Plantilles de certificats i van aparèixer els propis certificats. En general, tot està bé. Així que em vaig anar al llit. Al matí no hi havia queixes sobre la feina de CA i per això vaig suposar que tot funcionava i vaig procedir a altres tasques. En el procés de resoldre'ls, necessitava un certificat. Vaig crear un .csr i vaig seguir l'enllaç signar i rebre un certificat i en aquesta fase s'ha produït un error. Malauradament, no vaig fer cap captura de pantalla, però deia que la informació de l'usuari no coincideix i alguns altres errors. Bé, aquí estem, vaig pensar. Vaig començar a buscar a Google, però malauradament no vaig trobar res intel·ligible.
Al vespre vam decidir eliminar CA Windows 2012R2 i instal·lar tot el nou, i aleshores vaig cometre un error; en comptes de l'empresa CA, vaig seleccionar l'opció CA autònoma (tot i que més tard vaig saber sobre el meu error). He tornat a fer totes les operacions... tot ha anat sense errors, però quan selecciono la carpeta Plantilles de certificat, em surt Element no trobat, tot i que si selecciono Gestiona, les plantilles estan al seu lloc.
Vaig pensar que no hi havia prou drets per a aquestes plantilles de certificat CN=, així que amb ADSI Edit vaig donar Read per vm_ca$. He reiniciat CertSvc i... resultat: Element no trobat.
Llavors em vaig sentir trist perquè eren les 2 de la matinada... i CA no funcionava. Apago CA Windows 2012R2 i restauro VM CA Windows 2008R2 des de la instantània. Estic tornant el servidor a AD (perquè quan intento iniciar sessió amb un compte de domini, es produeix un error pel que fa a la relació entre el servidor i AD).
Bé, crec que... tot anirà bé ara, però per desgràcia... segueixen sent les mateixes Plantilles de certificat: no s'ha trobat l'element. Ho deixaré tot fins al matí, perquè el matí és més savi que el vespre.
Al matí vaig buscar a Google i llegir diversos articles: vaig decidir reinstal·lar la CA al servidor antic amb l'esperança de resoldre el problema de l'Element Not Found i emetre certificats a través del web.
El procés és bastant senzill:
1) Suprimiu la funció CA
2) Sobrecàrrega
3) Espereu que finalitzi el procés d'eliminació
4) Afegiu la funció CA (especifiqueu CA, CA Web Enrollment, NDES, Online Responder)
5) Indiquem que tinc una CA Enterprise i tinc una clau privada
6) Esperem que finalitzi la instal·lació i restaurem tot des de la còpia de seguretat que vam fer al principi.
7) Com de costum, tot va amb una explosió: sense errors i el servei va començar
Amb el cor enfonsat, faig clic a Plantilles de certificat -i... em van donar una llista- això ja és una petita victòria. Queda per comprovar el funcionament de l'emissió d'un certificat a través de la Web. Segueixo l'enllaç: i feu clic a Sol·licitar un certificat i després a la sol·licitud de certificat avançada... Especifico la sol·licitud .csr i rebo un certificat ja fet. Exhalo... Va ser possible restaurar CA.
Conclusions:
1) Assegureu-vos de fer una còpia de seguretat i una instantània
2) Documenteu les vostres accions: això us ajudarà a recuperar-ho tot o a trobar l'error més ràpidament
PD: He de tornar a provar la migració de CA de Windows 2008R a Windows 2012R2.
Font: www.habr.com