Guten Tag lieber Leser,
Ich erzähle Ihnen von dem Albtraum, den ich durchgemacht habe, als ich CA von Windows 2008R2 auf Windows 2012 R2 migrierte. Es gibt viele Artikel im Internet darüber und es dürfte keine Probleme gegeben haben.
Zu meinem Bedauern bin ich nicht wirklich ein Windows-Administrator, sondern eher ein *nix-Administrator, aber die Aufgabe der CA-Migration stand fest – sie muss erledigt werden.
Unterhalb des Ausschnitts erzähle ich Ihnen, wie ich diesen Prozess durchlaufen habe und am Ende zu einem nicht ganz HappyEnd kam.
Und so lass uns gehen ...
Hintergrund:
Quelle - Windows 2008 R2 mit Root-CA
Ziel - Windows 2012R2
Ich hatte bereits Windows 2012R2 installiert und minimal konfiguriert.
Der Aktionsplan sah zunächst wie folgt aus (verkürzte Maßnahmen):
1) Erstellen Sie ein Backup mit CA und privatem Schlüssel und kopieren Sie es auf eine gemeinsame Freigabe für beide Computer
2) Ziel aus der Domäne entfernen und IP ändern
3) Erstellen Sie einen Snapshot des Servers
4) Ändern Sie die IP an der Quelle
5) Wir gehen als Administrator auf den neuen Windows 2012R2-Server – tragen ihn in die gleichnamige Domäne ein und weisen die alte IP zu
6) Legen Sie die Rolle des Active Directory-Zertifikatdienstes fest (CA, CA-Webregistrierung, NDES, Online-Responder).
7) Wir weisen darauf hin, dass es sich hierbei um eine Unternehmenszertifizierungsstelle handelt
8) CA+Private Key aus Backup wiederherstellen
9) Happy End
Stimmen Sie zu, es gibt nichts Kompliziertes. Und ich begann mit der Umsetzung. Tatsächlich gab es keine Probleme und alles lief wie am Schnürchen ... Der Dienst wurde gestartet, Zertifikatvorlagen wurden angezeigt und die Zertifikate selbst wurden angezeigt. Im Allgemeinen ist alles in Ordnung. Also ging ich zu Bett. Am Morgen gab es keine Beschwerden über die Arbeit von CA und daher ging ich davon aus, dass alles funktionierte und ging zu anderen Aufgaben über. Um sie zu lösen, brauchte ich ein Zertifikat. Ich habe eine .csr erstellt und bin dem Link gefolgt Ich musste ein Zertifikat signieren und erhalten, und in diesem Stadium ist ein Fehler aufgetreten. Leider habe ich keinen Screenshot gemacht, aber da standen nicht übereinstimmende Benutzerinformationen und einige andere Fehler. Nun, hier sind wir, dachte ich. Ich habe angefangen zu googeln, aber leider habe ich nichts Verständliches gefunden.
Am Abend beschlossen wir, CA Windows 2012R2 zu entfernen und alles neu zu installieren, und dann machte ich einen Fehler: Anstelle von Enterprise CA wählte ich die Option „Standalone CA“ (obwohl ich später von meinem Fehler erfuhr). Ich habe alle Vorgänge noch einmal durchgeführt ... alles verlief ohne Fehler – aber wenn ich den Ordner „Zertifikatvorlagen“ auswähle, wird „Element nicht gefunden“ angezeigt. Wenn ich jedoch „Verwalten“ auswähle, sind die Vorlagen vorhanden.
Ich dachte, dass für diese CN=Certificate Templates nicht genügend Rechte vorhanden wären, also habe ich mithilfe von ADSI Edit Read für vm_ca$ vergeben. Ich habe CertSvc neu gestartet und ... Ergebnis: Element nicht gefunden.
Dann war ich traurig, weil es 2 Uhr morgens war ... und CA nicht funktionierte. Ich schalte CA Windows 2012R2 aus und stelle VM CA Windows 2008R2 aus dem Snapshot wieder her. Ich gebe den Server an AD zurück (da beim Versuch, mich mit einem Domänenkonto anzumelden, ein Fehler bezüglich der Beziehung zwischen Server und AD auftritt).
Nun ja, ich denke … jetzt wird alles in Ordnung sein, aber leider … sind es immer noch die gleichen Zertifikatsvorlagen – ich erhalte die Meldung „Element nicht gefunden“. Ich werde alles bis zum Morgen warten lassen – denn der Morgen ist klüger als der Abend.
Am Morgen habe ich gegoogelt und verschiedene Artikel gelesen – ich habe beschlossen, die Zertifizierungsstelle auf dem alten Server neu zu installieren, in der Hoffnung, das Problem „Element nicht gefunden“ zu lösen und Zertifikate über das Web auszustellen.
Der Vorgang ist ganz einfach:
1) Löschen Sie die CA-Rolle
2) Überlastung
3) Warten Sie, bis der Entfernungsvorgang abgeschlossen ist
4) Fügen Sie die CA-Rolle hinzu (geben Sie CA, CA Web Enrollment, NDES, Online Responder an).
5) Wir geben an, dass ich eine Unternehmenszertifizierungsstelle und einen privaten Schlüssel habe
6) Wir warten, bis die Installation abgeschlossen ist, und stellen alles aus dem Backup wieder her, das wir zu Beginn erstellt haben.
7) Wie immer klappt alles mit einem Knall – keine Fehler und der Dienst startet
Mit sinkendem Herzen klicke ich auf Zertifikatsvorlagen – und... Mir wurde eine Liste vorgelegt – das ist schon ein kleiner Sieg. Es bleibt noch zu prüfen, wie die Ausstellung eines Zertifikats über das Web funktioniert. Ich folge dem Link: und klicken Sie auf „Zertifikat anfordern“ und dann auf „Erweiterte Zertifikatsanforderung“. Ich gebe die .csr-Anfrage an und erhalte ein fertiges Zertifikat. Ich atme aus... Es war möglich, CA wiederherzustellen.
Schlussfolgerungen:
1) Erstellen Sie unbedingt ein Backup und einen Snapshot
2) Dokumentieren Sie Ihre Aktionen – das hilft Ihnen, alles zurückzubekommen oder den Fehler schneller zu finden
Ps. Ich muss die CA-Migration von Windows 2008R auf Windows 2012R2 noch einmal versuchen.
Source: habr.com