Bonan posttagmezon kara leganto,
Mi rakontos al vi pri la koŝmaro, kiun mi travivis migrante CA de Windows 2008R2 al Windows 2012 R2. Estas multaj artikoloj en la interreto pri tio kaj ne devus esti problemoj.
Je mia bedaŭro, mi ne vere estas Vindoza Administranto, mi estas pli ol *nix-administranto, sed la tasko de CA migrado estis fiksita - ĝi devas esti farita.
Sub la tranĉo, mi rakontos al vi kiel mi trapasis ĉi tiun procezon kaj finis kun ne tute Feliĉa Fino.
Kaj do ni iru...
Komencaj datumoj:
Fonto - Windows 2008 R2 kun Root CA
Celo - Vindozo 2012R2
Mi jam havis Windows 2012R2 instalita kaj minimume agordita.
Komence, la agadplano estis kiel sekvas (mallongigitaj agoj):
1) Faru Rezervan CA+Privatan Ŝlosilon kaj kopiu ĝin al komuna parto por ambaŭ komputiloj
2) Forigu celon de la domajno kaj ŝanĝu IP
3) Faru momentfoton de la servilo
4) Ŝanĝu la IP ĉe la fonto
5) Ni iras al la nova Windows 2012R2-servilo kiel administranto - enigu ĝin en la domajnon kun la sama nomo kaj asignu la malnovan IP
6) Agordu la rolon de Aktiva Atestilo-Servo (CA, CA Reta Enskribo, NDES, Enreta Respondanto)
7) Ni indikas, ke ĉi tio estas Enterprise CA
8) Restarigu CA+Privatan Ŝlosilon de sekurkopio
9) Feliĉa Fino
Konsentu, estas nenio komplika. Kaj mi komencis efektivigi ĝin. Fakte ne estis problemoj kaj ĉio iris kiel horloĝmekanismo... La servo komenciĝis, aperis Atestiloj kaj aperis la atestiloj mem. Ĝenerale ĉio estas en ordo. Do mi enlitiĝis. Matene ne estis plendoj pri la laboro de CA kaj tial mi supozis, ke ĉio funkcias kaj procedis al aliaj taskoj. En la procezo de solvado de ili, mi bezonis atestilon. Mi kreis .csr kaj sekvis la ligilon subskribi kaj ricevi atestilon kaj en ĉi tiu etapo okazis eraro. Bedaŭrinde, mi ne faris ekrankopion, sed ĝi diris nekongruajn uzantinformojn kaj iujn aliajn erarojn. Nu, jen ni estas, mi pensis. Mi komencis gugli, sed bedaŭrinde mi trovis nenion kompreneblan.
Vespere ni decidis forigi CA Windows 2012R2 kaj instali ĉion novan, kaj tiam mi eraris; anstataŭ Enterprise CA, mi elektis la opcion Sendependa CA (kvankam mi eksciis pri mia eraro poste). Mi faris ĉiujn operaciojn denove... ĉio iris sen eraroj - sed kiam mi elektas la dosierujon Atestilo Ŝablonoj, mi ricevas Elementon ne trovita, kvankam se mi elektas Administri, tiam la ŝablonoj estas en loko.
Mi pensis, ke ne estas sufiĉe da rajtoj por ĉi tiu CN=Atesto-Ŝablonoj, do uzante ADSI Redakton mi donis Legi por vm_ca$. Mi rekomencis CertSvc kaj... rezulto: Elemento ne trovita.
Tiam mi sentis malĝojon ĉar estis la 2-a matene... kaj CA ne funkciis. Mi malŝaltas CA Windows 2012R2 kaj restarigas VM CA Windows 2008R2 de momentfoto. Mi resendas la servilon al AD (ĉar kiam mi provas ensaluti per domajna konto, okazas eraro pri la rilato inter la servilo kaj AD).
Nu, mi pensas... ĉio estos en ordo nun, sed ve... ĝi ankoraŭ estas la samaj Atestiloj - mi ricevas Elementon ne trovita. Mi lasos ĉion ĝis la mateno - ĉar la mateno estas pli saĝa ol la vespero.
Matene mi guglis kaj legis diversajn artikolojn - mi decidis reinstali la CA sur la malnova servilo kun la espero solvi la problemon de Element Ne Trovita kaj elsendi atestojn per la Reto.
La procezo estas sufiĉe simpla:
1) Forigu la CA-rolon
2) Troŝarĝo
3) Atendu ke la foriga procezo finiĝos
4) Aldonu la CA-rolon (specifu CA, CA Reta Enskribo, NDES, Enreta Respondanto)
5) Ni indikas, ke mi havas Enterprise CA kaj mi havas privatan ŝlosilon
6) Ni atendas ke la instalado finiĝos kaj restarigas ĉion el la sekurkopio, kiun ni faris ĉe la komenco.
7) Kiel kutime, ĉio iras kun bang - neniuj eraroj kaj la servo komenciĝis
Kun malleviĝanta koro, mi klakas sur Atesto-Ŝablonoj - kaj... mi ricevis liston - tio jam estas eta venko. Restas kontroli la funkciadon de eldonado de atestilo per la Reto. Mi sekvas la ligilon: kaj klaku sur Petu Atestilon kaj poste altnivelan atestilpeton... Mi precizigas la peton .csr kaj ricevas pretan atestilon. Mi elspiras... Eblis restarigi CA.
Konkludoj:
1) Nepre faru sekurkopion kaj momentfoton
2) Dokumentu viajn agojn - ĉi tio helpos vin rehavi ĉion aŭ trovi la eraron pli rapide
Ps. Mi devas provi CA-migradon de Windows 2008R al Windows 2012R2 denove.
fonto: www.habr.com