Boas tardes querido lector,
Vouvos falar do pesadelo que atravesei ao migrar CA de Windows 2008R2 a Windows 2012 R2. Hai moitos artigos en internet sobre isto e non debería haber ningún problema.
Para o meu pesar, non son realmente un administrador de Windows, son máis un administrador de *nix, pero a tarefa de migración de CA foi definida: hai que facelo.
Debaixo do corte, contarei como pasei este proceso e acabei cun HappyEnd non moi feliz.
E así imos...
Datos iniciais:
Orixe - Windows 2008 R2 con root CA
Obxectivo - Windows 2012R2
Xa tiña Windows 2012R2 instalado e configurado mínimamente.
Inicialmente, o plan de acción foi o seguinte (accións abreviadas):
1) Fai unha copia de seguridade da CA+Chave privada e cópiaa nun recurso compartido común para ambos os ordenadores
2) Elimina o destino do dominio e cambia a IP
3) Fai unha instantánea do servidor
4) Cambia a IP na orixe
5) Imos ao novo servidor Windows 2012R2 como administrador: introdúceo no dominio co mesmo nome e asigna a IP antiga
6) Estableza o rol do servizo de certificados de Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) Indicamos que se trata de Enterprise CA
8) Restaurar CA + chave privada da copia de seguridade
9) Fin feliz
De acordo, non hai nada complicado. E comecei a implementala. De feito, non houbo problemas e todo foi como un reloxo... Comezou o servizo, apareceron Modelos de Certificados e apareceron os propios certificados. En xeral, todo está ben. Entón fun para a cama. Pola mañá non houbo queixas polo traballo de CA e por iso supuxen que todo funcionaba e procedín a outras tarefas. No proceso de resolvelos, necesitaba un certificado. Creei un .csr e seguín a ligazón para asinar e recibir un certificado e nesta fase produciuse un erro. Desafortunadamente, non fixen unha captura de pantalla, pero dicía que a información do usuario non coincide e algúns outros erros. Ben, aquí estamos, pensei. Comecei a buscar en google, pero por desgraza non atopei nada intelixible.
Pola noite decidimos eliminar CA Windows 2012R2 e instalar todo o novo, e entón cometín un erro; en lugar de Enterprise CA, seleccionei a opción de CA autónomo (aínda que souben do meu erro máis tarde). Fixen todas as operacións de novo... todo foi sen erros, pero cando selecciono o cartafol Modelos de certificados, aparece Elemento non atopado, aínda que se selecciono Xestionar, os modelos están no seu lugar.
Pensei que non había suficientes dereitos para este CN=Modelos de certificado, polo que, usando ADSI Edit, dei Read para vm_ca$. Reiniciei CertSvc e... resultado: Non se atopou o elemento.
Entón sentínme triste porque eran as 2 da mañá... e CA non funcionaba. Apago CA Windows 2012R2 e restauro VM CA Windows 2008R2 desde a instantánea. Estou devolvendo o servidor a AD (porque cando intento iniciar sesión cunha conta de dominio, prodúcese un erro sobre a relación entre o servidor e AD).
Ben, creo que... todo estará ben agora, pero por desgraza... seguen sendo os mesmos Modelos de certificados: non se atopou o elemento. Deixarei todo ata a mañá, porque a mañá é máis sabia que a noite.
Pola mañá busquei en Google e lin varios artigos: decidín reinstalar a CA no servidor antigo coa esperanza de resolver o problema de Element Not Found e emitir certificados a través da web.
O proceso é bastante sinxelo:
1) Eliminar o rol CA
2) Sobrecarga
3) Agarde a que se complete o proceso de eliminación
4) Engade o rol de CA (especifica CA, CA Web Enrollment, NDES, Online Responder)
5) Indicamos que teño unha CA Enterprise e que teño unha clave privada
6) Agardamos a que se complete a instalación e restauramos todo dende a copia de seguridade que fixemos ao principio.
7) Como de costume, todo vai cun estrondo: sen erros e o servizo comezou
Co corazón afundido, premo en Modelos de certificados -e... déronme unha lista- esta xa é unha pequena vitoria. Queda por comprobar o funcionamento da emisión dun certificado a través da Web. Sigo a ligazón: e fai clic en Solicitar un certificado e logo en solicitude de certificado avanzada... Especifico a solicitude .csr e recibo un certificado xa preparado. Eu exhalo... Foi posible restaurar CA.
Conclusións:
1) Asegúrese de facer unha copia de seguridade e unha instantánea
2) Documenta as túas accións: isto axudarache a recuperar todo ou a atopar o erro máis rápido
PD: teño que probar de novo a migración de CA de Windows 2008R a Windows 2012R2.
Fonte: www.habr.com