Hyvää iltapäivää rakas lukija,
Kerron sinulle painajaisesta, jonka koin siirtäessäni CA:ta Windows 2008R2:sta Windows 2012 R2:een. Internetissä on paljon artikkeleita tästä, eikä siinä olisi pitänyt olla mitään ongelmia.
Valitettavasti en todellakaan ole Windows-järjestelmänvalvoja, olen enemmän *nix-järjestelmänvalvoja, mutta CA-siirtotehtävä oli asetettu - se on tehtävä.
Leikkauksen alla kerron, kuinka kävin tämän prosessin läpi ja päädyin ei aivan HappyEndiin.
Ja niin me menimme...
taustaa:
Lähde - Windows 2008 R2 ja Root CA
Kohde - Windows 2012R2
Minulla oli jo Windows 2012R2 asennettuna ja minimaalisesti määritettynä.
Aluksi toimintasuunnitelma oli seuraava (lyhennetyt toimet):
1) Tee varmuuskopiointi CA+yksityinen avain ja kopioi se molempien tietokoneiden yhteiseen jakoon
2) Poista kohde verkkotunnuksesta ja vaihda IP
3) Tee tilannekuva palvelimesta
4) Vaihda IP lähteessä
5) Siirrymme uuteen Windows 2012R2 -palvelimeen järjestelmänvalvojana - kirjoita se verkkotunnukseen samalla nimellä ja anna vanha IP
6) Aseta Active Directory -varmennepalvelun rooli (CA, CA Web Enrollment, NDES, Online Responder)
7) Osoitamme, että tämä on Enterprise CA
8) Palauta CA+Private Key varmuuskopiosta
9) Happy End
Samaa mieltä, ei ole mitään monimutkaista. Ja aloin toteuttaa sitä. Itse asiassa mitään ongelmia ei ollut ja kaikki meni kuin kello... Palvelu käynnistyi, sertifikaattimallit ilmestyivät ja itse varmenteet ilmestyivät. Yleisesti ottaen kaikki on kunnossa. Joten menin nukkumaan. Aamulla ei ollut valittamista CA:n työstä ja siksi oletin, että kaikki toimii ja jatkoin muihin tehtäviin. Niitä ratkoessani tarvitsin todistuksen. Loin .csr:n ja seurasin linkkiä allekirjoittaa ja vastaanottaa varmenteen ja tässä vaiheessa tapahtui virhe. Valitettavasti en ottanut kuvakaappausta, mutta se sanoi, että käyttäjätiedot eivät täsmää ja joitain muita virheitä. No, tässä ollaan, ajattelin. Aloin googlata, mutta valitettavasti en löytänyt mitään ymmärrettävää.
Illalla päätimme poistaa CA Windows 2012R2:n ja asentaa kaikki uudet, ja sitten tein virheen; valitsin Enterprise CA -vaihtoehdon sijaan Standalone CA -vaihtoehdon (tosin virheestäni myöhemmin). Tein kaikki toiminnot uudelleen... kaikki sujui ilman virheitä - mutta kun valitsen Certificate Templates -kansion, saan ilmoituksen, että Elementtiä ei löydy, vaikka jos valitsen Hallitse, niin mallit ovat paikoillaan.
Luulin, että tälle CN=varmennemallille ei ollut tarpeeksi oikeuksia, joten ADSI Editillä annoin Read for vm_ca$. Käynnistin CertSvc:n uudelleen ja... tulos: Elementtiä ei löydy.
Sitten olin surullinen, koska kello oli kaksi yöllä... ja CA ei toiminut. Sammutan CA Windows 2R2012:n ja palautan VM CA Windows 2R2008:n tilannevedosta. Palautan palvelimen AD:lle (koska kun yritän kirjautua sisään verkkotunnuksella, tapahtuu virhe koskien palvelimen ja AD:n välistä suhdetta).
No, luulen... kaikki järjestyy nyt, mutta valitettavasti... se on edelleen samat varmennemallit - Elementtiä ei löydy. Jätän kaiken aamuun - sillä aamu on iltaa viisaampi.
Aamulla googlasin ja luin erilaisia artikkeleita - päätin asentaa CA:n uudelleen vanhalle palvelimelle toivoen, että Element Not Found -ongelma ratkeaisi ja varmenteet Webin kautta.
Prosessi on melko yksinkertainen:
1) Poista CA-rooli
2) Ylikuormitus
3) Odota, että poistoprosessi on valmis
4) Lisää CA-rooli (määritä CA, CA Web Enrollment, NDES, Online Responder)
5) Ilmoitamme, että minulla on Enterprise CA ja minulla on yksityinen avain
6) Odotamme asennuksen valmistumista ja palautamme kaiken varmuuskopiosta, jonka teimme heti alussa.
7) Kuten tavallista, kaikki sujuu räjähdysmäisesti - ei virheitä ja palvelu alkoi
Painan uppoutuneella sydämellä todistusmalleja - ja... minulle annettiin lista - tämä on jo pieni voitto. On vielä tarkistettava varmenteen myöntäminen verkon kautta. Seuraan linkkiä: ja napsauta Request a Certificate ja sitten Advanced certificate request... Määritän .csr-pyynnön ja saan valmiin varmenteen. Hengitän ulos... CA oli mahdollista palauttaa.
Päätelmät:
1) Muista tehdä varmuuskopio ja tilannekuva
2) Dokumentoi toimintasi - tämä auttaa sinua saamaan kaiken takaisin tai löytämään virheen nopeammin
Ps. Minun täytyy kokeilla CA-siirtoa Windows 2008R:stä Windows 2012R2:een uudelleen.
Lähde: will.com