عصر بخیر خواننده عزیز
من در مورد کابوسی که با مهاجرت CA از Windows 2008R2 به Windows 2012 R2 پشت سر گذاشتم به شما خواهم گفت. مقالات زیادی در اینترنت در این مورد وجود دارد و نباید هیچ مشکلی وجود داشته باشد.
متأسفانه من واقعاً یک ادمین ویندوز نیستم، من بیشتر یک *nix admin هستم، اما وظیفه مهاجرت CA تنظیم شده است - باید انجام شود.
در زیر برش، به شما میگویم که چگونه این فرآیند را طی کردم و به یک «هپیاند» نه چندان خوب رسیدم.
و ما رفتیم...
اطلاعات اولیه:
منبع - ویندوز 2008 R2 با Root CA
هدف - ویندوز 2012R2
من قبلاً ویندوز 2012R2 را نصب کرده بودم و حداقل پیکربندی شده بود.
در ابتدا، برنامه اقدام به شرح زیر بود (اقدامات کوتاه شده):
1) یک CA + Private Key پشتیبان تهیه کنید و آن را در یک اشتراک مشترک برای هر دو رایانه کپی کنید
2) هدف را از دامنه حذف کنید و IP را تغییر دهید
3) یک عکس فوری از سرور تهیه کنید
4) آی پی را در منبع تغییر دهید
5) ما به عنوان مدیر به سرور جدید Windows 2012R2 می رویم - آن را به دامنه ای با همان نام وارد کرده و IP قدیمی را اختصاص می دهیم.
6) نقش خدمات گواهی اکتیو دایرکتوری (CA, CA Web Enrollment, NDES, Online Responder) را تنظیم کنید.
7) ما نشان می دهیم که این Enterprise CA است
8) CA + Private Key را از نسخه پشتیبان بازیابی کنید
9) پایان مبارک
موافقم، هیچ چیز پیچیده ای وجود ندارد. و شروع به اجرای آن کردم. در واقع هیچ مشکلی نبود و همه چیز مثل ساعت پیش رفت... سرویس شروع شد، Certificate Templates ظاهر شد و خود گواهی ها ظاهر شد. به طور کلی همه چیز اوکی است. بنابراین به رختخواب رفتم. در صبح هیچ شکایتی در مورد کار CA وجود نداشت و بنابراین من فرض کردم که همه چیز کار می کند و به کارهای دیگر ادامه دادم. در روند حل آنها به گواهی نیاز داشتم. من یک .csr ایجاد کردم و لینک را دنبال کردم برای امضا و دریافت گواهی و در این مرحله خطایی رخ داد. متأسفانه من اسکرین شات نگرفتم، اما در آن نوشته شده بود عدم تطابق اطلاعات کاربر و برخی خطاهای دیگر. خوب، اینجا هستیم، فکر کردم. شروع کردم به گوگل زدن، اما متاسفانه چیزی قابل فهم پیدا نکردم.
عصر تصمیم گرفتیم CA Windows 2012R2 را حذف کنیم و همه چیز جدید را نصب کنیم، و سپس من اشتباه کردم؛ به جای Enterprise CA، گزینه Standalone CA را انتخاب کردم (البته بعداً متوجه اشتباه خود شدم). همه عملیات را دوباره انجام دادم... همه چیز بدون خطا پیش رفت - اما وقتی پوشه Certificate Templates را انتخاب می کنم، Element not found را دریافت می کنم، اگرچه اگر Manage را انتخاب کنم، الگوها در جای خود هستند.
من فکر کردم که حقوق کافی برای این CN=Certificate Templates وجود ندارد، بنابراین با استفاده از ADSI Edit Read for vm_ca$ را دادم. CertSvc را دوباره راه اندازی کردم و... نتیجه: عنصر پیدا نشد.
سپس من احساس ناراحتی کردم زیرا ساعت 2 بامداد بود ... و CA کار نمی کرد. من CA Windows 2012R2 را خاموش می کنم و VM CA Windows 2008R2 را از عکس فوری بازیابی می کنم. من سرور را به AD برمی گردانم (زیرا وقتی می خواهم با یک حساب دامنه وارد شوم، در رابطه با ارتباط بین سرور و AD خطایی رخ می دهد).
خوب، من فکر می کنم ... همه چیز در حال حاضر خوب خواهد بود، اما افسوس ... هنوز هم همان الگوهای گواهی است - متوجه می شوم که عنصر پیدا نشد. من همه چیز را تا صبح می گذارم - زیرا صبح عاقل تر از عصر است.
صبح در گوگل جستجو کردم و مقالات مختلفی را خواندم - تصمیم گرفتم CA را مجدداً در سرور قدیمی نصب کنم به امید حل مشکل Element Not Found و صدور گواهینامه از طریق وب.
روند کار بسیار ساده است:
1) نقش CA را حذف کنید
2) اضافه بار
3) منتظر بمانید تا فرآیند حذف کامل شود
4) نقش CA را اضافه کنید (CA، CA Web Enrollment، NDES، Online Responder را مشخص کنید)
5) نشان می دهیم که من یک Enterprise CA و یک کلید خصوصی دارم
6) ما منتظر می مانیم تا نصب کامل شود و همه چیز را از پشتیبان گیری که در همان ابتدا ساخته بودیم بازیابی کنیم.
7) طبق معمول، همه چیز با صدای بلند پیش می رود - بدون خطایی و سرویس شروع شد
با قلبی در حال غرق، روی Certificate Templates کلیک می کنم - و ... لیستی به من داده شد - این یک پیروزی کوچک است. باقی مانده است که عملکرد صدور گواهی از طریق وب را بررسی کنید. لینک رو دنبال میکنم: و روی Request a Certificate و سپس advanced Certificate request کلیک می کنم... درخواست csr را مشخص می کنم و گواهی آماده دریافت می کنم. بازدم می کنم... امکان بازیابی CA وجود داشت.
نتیجه گیری:
1) حتما یک نسخه پشتیبان و یک عکس تهیه کنید
2) اقدامات خود را مستند کنید - این به شما کمک می کند همه چیز را برگردانید یا سریعتر خطا را پیدا کنید
Ps من باید مهاجرت CA از Windows 2008R به Windows 2012R2 را دوباره امتحان کنم.
منبع: www.habr.com