Bonjour cher lecteur,
Je vais vous parler du cauchemar que j'ai vécu en migrant CA de Windows 2008R2 vers Windows 2012 R2. Il existe de nombreux articles sur Internet à ce sujet et il ne devrait y avoir aucun problème.
À mon grand regret, je ne suis pas vraiment un administrateur Windows, je suis plutôt un administrateur * nix, mais la tâche de migration de l'autorité de certification a été définie - elle doit être effectuée.
Sous la coupe, je vais vous raconter comment j'ai suivi ce processus et me suis retrouvé avec une fin pas tout à fait HappyEnd.
Et c'est parti ...
Contexte:
Source - Windows 2008 R2 avec autorité de certification racine
Cible -Windows 2012R2
J'avais déjà Windows 2012R2 installé et configuré de manière minimale.
Initialement, le plan d’actions était le suivant (actions raccourcies) :
1) Créez une sauvegarde CA+Private Key et copiez-la sur un partage commun pour les deux ordinateurs
2) Supprimez la cible du domaine et changez l'adresse IP
3) Faire un instantané du serveur
4) Changer l'IP à la source
5) Nous allons sur le nouveau serveur Windows 2012R2 en tant qu'administrateur - entrez-le dans le domaine du même nom et attribuez l'ancienne IP
6) Définir le rôle du service de certificat Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) Nous indiquons qu'il s'agit d'Enterprise CA
8) Restaurer CA + Clé privée à partir de la sauvegarde
9) Fin heureuse
D'accord, il n'y a rien de compliqué. Et j'ai commencé à le mettre en œuvre. En fait, il n'y a eu aucun problème et tout s'est déroulé comme sur des roulettes... Le service a démarré, des modèles de certificats sont apparus et les certificats eux-mêmes sont apparus. En général, tout va bien. Alors je me suis couché. Le matin, il n'y a eu aucune plainte concernant le travail de CA et j'ai donc supposé que tout fonctionnait et je suis passé à d'autres tâches. Pour les résoudre, j'avais besoin d'un certificat. J'ai créé un .csr et suivi le lien pour signer et recevoir un certificat et à ce stade une erreur s'est produite. Malheureusement, je n'ai pas pris de capture d'écran, mais les informations utilisateur ne correspondent pas et quelques autres erreurs. Eh bien, nous y sommes, pensai-je. J'ai commencé à chercher sur Google, mais malheureusement je n'ai rien trouvé d'intelligible.
Dans la soirée, nous avons décidé de supprimer CA Windows 2012R2 et d'installer tout ce qui est nouveau, puis j'ai commis une erreur : au lieu d'Enterprise CA, j'ai sélectionné l'option Standalone CA (même si j'ai appris mon erreur plus tard). J'ai refait toutes les opérations... tout s'est déroulé sans erreur - mais lorsque je sélectionne le dossier Modèles de certificat, j'obtiens Élément introuvable, bien que si je sélectionne Gérer, les modèles sont en place.
Je pensais qu'il n'y avait pas assez de droits pour ces modèles CN=Certificate, donc en utilisant ADSI Edit, j'ai donné Read pour vm_ca$. J'ai redémarré CertSvc et... résultat : Élément introuvable.
Puis je me suis senti triste parce qu'il était 2 heures du matin... et CA ne fonctionnait pas. Je désactive CA Windows 2012R2 et restaure la VM CA Windows 2008R2 à partir d'un instantané. Je renvoie le serveur à AD (car lorsque j'essaie de me connecter avec un compte de domaine, une erreur se produit concernant la relation entre le serveur et AD).
Eh bien, je pense... que tout ira bien maintenant, mais hélas... ce sont toujours les mêmes modèles de certificat - j'obtiens Élément introuvable. Je laisserai tout jusqu'au matin, car le matin est plus sage que le soir.
Dans la matinée, j'ai cherché sur Google et lu divers articles - j'ai décidé de réinstaller l'autorité de certification sur l'ancien serveur dans l'espoir de résoudre le problème de l'élément non trouvé et d'émettre des certificats via le Web.
Le processus est assez simple :
1) Supprimer le rôle CA
2) Surcharge
3) Attendez la fin du processus de suppression
4) Ajoutez le rôle CA (spécifiez CA, CA Web Enrollment, NDES, Online Responder)
5) On indique que j'ai une CA Entreprise et j'ai une clé privée
6) Nous attendons la fin de l'installation et restaurons tout depuis la sauvegarde que nous avons effectuée au tout début.
7) Comme d'habitude, tout se passe en beauté - aucune erreur et le service a démarré
Le cœur serré, je clique sur Modèles de certificats - et... on m'a donné une liste - c'est déjà une petite victoire. Reste à vérifier le fonctionnement de la délivrance d'un certificat via le Web. Je suis le lien : et cliquez sur Demander un certificat puis sur demande de certificat avancée... Je précise la demande .csr et reçois un certificat tout fait. J'expire... Il était possible de restaurer CA.
Conclusions:
1) Assurez-vous de faire une sauvegarde et un instantané
2) Documentez vos actions - cela vous aidera à tout récupérer ou à trouver l'erreur plus rapidement
Ps, je dois réessayer la migration CA de Windows 2008R vers Windows 2012R2.
Source: habr.com