Tere päevast, kallis lugeja,
Räägin teile õudusunenäost, mille läbisin CA-lt Windows 2008R2-lt Windows 2012 R2-le üleviimisel. Internetis on selle kohta palju artikleid ja probleeme ei tohiks olla.
Kahjuks pole ma Windowsi administraator, pigem *nix-administraator, kuid CA migratsiooni ülesanne oli seatud – see tuleb ära teha.
Lõike all räägin teile, kuidas ma selle protsessi läbi elasin ja jõudsin mitte-päris õnneliku lõpuni.
Ja nii lähme...
Esialgsed andmed:
Allikas - Windows 2008 R2 juur-CA-ga
Sihtmärk - Windows 2012R2
Mul oli juba Windows 2012R2 installitud ja minimaalselt konfigureeritud.
Algselt oli tegevuskava järgmine (lühendatud tegevused):
1) Tehke varukoopia CA+privaatvõti ja kopeerige see mõlema arvuti ühisesse ühiskasutusse
2) Eemaldage domeenilt sihtmärk ja muutke IP-d
3) Tehke serverist hetktõmmis
4) Muutke allika IP-d
5) Läheme administraatorina uude Windows 2012R2 serverisse - sisestage see sama nimega domeeni ja määrake vana IP
6) Määrake Active Directory sertifikaaditeenuse roll (CA, CA Web Enrollment, NDES, Online Responder)
7) Näitame, et see on ettevõtte CA
8) Taastage CA+privaatvõti varukoopiast
9) Happy End
Nõus, pole midagi keerulist. Ja ma hakkasin seda rakendama. Tegelikult probleeme polnud ja kõik läks nagu kellavärk... Teenus läks käima, ilmusid Sertifikaadi mallid ja sertifikaadid ise. Üldiselt on kõik korras. Nii et ma läksin magama. Hommikul KA töö üle kaebusi ei olnud ja seetõttu eeldasin, et kõik toimib ning asusin muude ülesannete juurde. Nende lahendamise käigus oli mul vaja tunnistust. Lõin .csr-i ja järgisin linki sertifikaadi allkirjastamiseks ja vastuvõtmiseks ning selles etapis ilmnes viga. Kahjuks ei teinud ma ekraanipilti, kuid see ütles kasutajateabe mittevastavuse ja mõne muu vea kohta. Noh, siin me oleme, mõtlesin. Hakkasin guugeldama, aga kahjuks ei leidnud midagi arusaadavat.
Õhtul otsustasime eemaldada CA Windows 2012R2 ja installida kõik uue ning siis tegin vea, Enterprise CA asemel valisin Standalone CA valiku (kuigi sain oma veast teada hiljem). Tegin kõik toimingud uuesti... kõik sujus ilma vigadeta - aga kui valin kausta Certificate Templates, siis saan Element not found, kuigi kui valin Manage, siis on mallid paigas.
Arvasin, et selle CN=Certificate Templates jaoks pole piisavalt õigusi, nii et ADSI redigeerimise abil andsin vm_ca$ jaoks Read. Taaskäivitasin CertSvc ja... tulemus: elementi ei leitud.
Siis tundsin end kurvalt, sest kell oli 2 öösel... ja CA ei töötanud. Lülitan välja CA Windows 2012R2 ja taastan VM CA Windows 2008R2 hetktõmmisest. Annan serveri AD-le tagasi (kuna domeeni kontoga sisselogimisel ilmneb tõrge serveri ja AD vahelise seose kohta).
Noh, ma arvan... nüüd saab kõik korda, aga paraku... see on ikka sama sertifikaadimalli – ma saan Elementi ei leitud. Jätan kõik hommikuni - sest hommik on õhtust targem.
Hommikul googeldasin ja lugesin erinevaid artikleid - otsustasin CA vanasse serverisse uuesti installida, lootuses Element Not Found probleemi lahendada ja sertifikaate veebi kaudu väljastada.
Protsess on üsna lihtne:
1) Kustutage CA roll
2) Ülekoormus
3) Oodake, kuni eemaldamisprotsess on lõppenud
4) Lisage CA roll (määrake CA, CA Web Enrollment, NDES, Online Responder)
5) Näitame, et mul on ettevõtte CA ja mul on privaatvõti
6) Ootame installimise lõpuleviimist ja taastame kõik alguses tehtud varukoopiast.
7) Nagu ikka, sujub kõik pauguga - ei mingeid vigu ja teenindus algas
Vajuva südamega klõpsan Certificate Templates - ja... mulle anti nimekiri - see on juba väike võit. Jääb üle kontrollida sertifikaadi veebi kaudu väljastamise toimimist. jälgin linki: ja kliki Request a Certificate ja seejärel Advanced certificate request... Määran .csr päringu ja saan valmis sertifikaadi. Hingan välja... CA oli võimalik taastada.
Järeldused:
1) Tehke kindlasti varukoopia ja hetktõmmis
2) Dokumenteerige oma tegevused – see aitab teil kõik tagasi saada või viga kiiremini leida
Ps. Pean uuesti proovima CA migratsiooni operatsioonisüsteemist Windows 2008R operatsioonisüsteemi Windows 2012R2.
Allikas: www.habr.com