Dobré odpoledne milý čtenáři,
Povím vám o noční můře, kterou jsem prošel migrací CA z Windows 2008R2 na Windows 2012 R2. Na internetu je o tom spousta článků a neměly by být žádné problémy.
K mé lítosti ve skutečnosti nejsem správce Windows, jsem spíše správce * nix, ale úkol migrace CA byl stanoven - je třeba to udělat.
Pod střihem vám řeknu, jak jsem prošel tímto procesem a skončil s ne úplně šťastným koncem.
A tak jsme šli...
Zdrojová data:
Zdroj - Windows 2008 R2 s kořenovou certifikační autoritou
cílová - Windows 2012 R2
Už jsem měl nainstalovaný a minimálně nakonfigurovaný Windows 2012R2.
Původně byl akční plán následující (zkrácené akce):
1) Vytvořte záložní CA+soukromý klíč a zkopírujte jej do společné sdílené složky pro oba počítače
2) Odeberte cíl z domény a změňte IP
3) Udělejte snímek serveru
4) Změňte IP u zdroje
5) Jdeme na nový server Windows 2012R2 jako správce - zadejte jej do domény se stejným názvem a přidělte starou IP
6) Nastavte roli Active Directory Certificate Service (CA, CA Web Enrollment, NDES, Online respondér)
7) Označujeme, že se jedná o Enterprise CA
8) Obnovte CA+Private Key ze zálohy
9) Happy End
Souhlas, není nic složitého. A začal jsem to implementovat. Ve skutečnosti nebyly žádné problémy a vše šlo jako po másle... Služba se spustila, objevily se Šablony certifikátů a objevily se samotné certifikáty. Obecně je vše v pořádku. Tak jsem šel spát. Ráno nebyly žádné stížnosti na práci CA a proto jsem předpokládal, že vše funguje a přistoupil jsem k dalším úkolům. V procesu jejich řešení jsem potřeboval certifikát. Vytvořil jsem .csr a následoval odkaz podepsat a přijmout certifikát a v této fázi došlo k chybě. Bohužel jsem nepořídil snímek obrazovky, ale bylo tam uvedeno, že se neshodují informace o uživateli a některé další chyby. Tak a jsme tady, pomyslel jsem si. Začal jsem googlit, ale bohužel jsem nic srozumitelného nenašel.
Večer jsme se rozhodli odebrat CA Windows 2012R2 a nainstalovat vše nové a pak jsem udělal chybu, místo Enterprise CA jsem zvolil možnost Samostatná CA (i když jsem se o své chybě dozvěděl později). Provedl jsem všechny operace znovu... vše proběhlo bez chyb - ale když vyberu složku Šablony certifikátů, dostanu Element nenalezen, i když pokud zvolím Spravovat, pak jsou šablony na svém místě.
Myslel jsem, že pro tento CN=Certificate Templates není dostatek práv, a tak jsem pomocí ADSI Edit dal Read for vm_ca$. Restartoval jsem CertSvc a... výsledek: Prvek nenalezen.
Pak jsem se cítil smutný, protože byly 2 hodiny ráno... a CA nefungovala. Vypnu CA Windows 2012R2 a obnovím VM CA Windows 2008R2 ze snímku. Vracím server do AD (protože když se pokusím přihlásit pomocí účtu domény, dojde k chybě týkající se vztahu mezi serverem a AD).
No, myslím... teď už bude vše v pořádku, ale bohužel... jsou to stále stejné šablony certifikátů – Prvek nebyl nalezen. Nechám všechno do rána - protože ráno je moudřejší než večer.
Ráno jsem googlil a četl různé články – rozhodl jsem se přeinstalovat CA na starý server v naději, že vyřeším problém Element Not Found a vystavím certifikáty přes web.
Postup je docela jednoduchý:
1) Odstraňte roli CA
2) Přetížení
3) Počkejte na dokončení procesu odstranění
4) Přidejte roli CA (uveďte CA, CA Web Enrollment, NDES, Online respondér)
5) Označujeme, že mám Enterprise CA a mám soukromý klíč
6) Počkáme na dokončení instalace a obnovíme vše ze zálohy, kterou jsme udělali na samém začátku.
7) Jak už to bývá, vše jde jako na drátkách – žádné chyby a služba spuštěna
S klesajícím srdcem kliknu na Šablony certifikátů - a... dostal jsem seznam - to už je malé vítězství. Zbývá zkontrolovat fungování vydávání certifikátu přes web. Sleduji odkaz: a klikněte na Vyžádat certifikát a poté pokročilá žádost o certifikát... specifikuji požadavek .csr a obdržím hotový certifikát. Vydechnu... Bylo možné obnovit CA.
Závěry:
1) Nezapomeňte vytvořit zálohu a snímek
2) Zdokumentujte své akce – to vám pomůže získat vše zpět nebo rychleji najít chybu
Ps musím znovu zkusit migraci CA z Windows 2008R na Windows 2012R2.
Zdroj: www.habr.com