Dobar dan dragi čitatelju,
Ispričat ću vam noćnu moru kroz koju sam prošao migrirajući CA sa Windows 2008R2 na Windows 2012 R2. O tome ima puno članaka na internetu i nije trebalo biti nikakvih problema.
Na moju žalost, ja zapravo nisam Windows administrator, više sam *nix administrator, ali zadatak CA migracije je postavljen - to treba učiniti.
Ispod presjeka, ispričat ću vam kako sam prošao kroz ovaj proces i završio s ne baš HappyEndom.
I tako krenimo...
Početni podaci:
Источник - Windows 2008 R2 s Root CA
Cilj - Windows 2012R2
Već sam imao instaliran i minimalno konfiguriran Windows 2012R2.
U početku je akcijski plan bio sljedeći (skraćene akcije):
1) Napravite sigurnosnu kopiju CA+privatnog ključa i kopirajte ga na zajedničko dijeljenje za oba računala
2) Uklonite cilj s domene i promijenite IP
3) Napravite snimku poslužitelja
4) Promijenite IP na izvoru
5) Idemo na novi Windows 2012R2 poslužitelj kao administrator - unesite ga u domenu s istim imenom i dodijelite stari IP
6) Postavite ulogu usluge certifikata Active Directory (CA, CA web upis, NDES, mrežni odgovor)
7) Označavamo da je ovo Enterprise CA
8) Vratite CA+Privatni ključ iz sigurnosne kopije
9) Happy End
Slažem se, nema ništa komplicirano. I počeo sam to provoditi. Zapravo nije bilo nikakvih problema i sve je išlo kao po loju... Servis je krenuo, pojavili su se Certificate Templates i pojavili su se sami certifikati. Općenito, sve je u redu. Pa sam otišao u krevet. Ujutro nije bilo pritužbi na rad CA i stoga sam pretpostavio da sve radi i nastavio s drugim zadacima. U procesu rješavanja istih trebao mi je certifikat. Stvorio sam .csr i slijedio vezu
Navečer smo odlučili ukloniti CA Windows 2012R2 i instalirati sve novo, a onda sam pogriješio, umjesto Enterprise CA odabrao sam opciju Standalone CA (iako sam kasnije saznao za svoju grešku). Opet sam napravio sve operacije... sve je prošlo bez grešaka - ali kad odaberem mapu Predlošci certifikata, dobijem Element nije pronađen, iako ako odaberem Upravljanje, predlošci su na mjestu.
Mislio sam da nema dovoljno prava za ovaj CN=Certificate Templates, pa sam koristeći ADSI Edit dao Read za vm_ca$. Ponovno sam pokrenuo CertSvc i... rezultat: Element nije pronađen.
Tada sam se rastužio jer je bilo 2 ujutro... a CA nije radio. Isključujem CA Windows 2012R2 i vraćam VM CA Windows 2008R2 iz snimke. Vraćam poslužitelj na AD (jer kada se pokušam prijaviti s domenskim računom, javlja se greška vezana uz odnos između poslužitelja i AD-a).
Pa, mislim... sada će sve biti u redu, ali nažalost... i dalje su isti Predlošci certifikata - dobivam Element nije pronađen. Sve ću ostaviti do jutra - jer jutro je mudrije od večeri.
Ujutro sam guglao i čitao razne članke - odlučio sam ponovno instalirati CA na stari poslužitelj u nadi da ću riješiti problem Element Not Found i izdavanje certifikata putem weba.
Postupak je prilično jednostavan:
1) Izbrišite CA ulogu
2) Preopterećenje
3) Pričekajte da se postupak uklanjanja završi
4) Dodajte CA ulogu (navedite CA, CA Web Enrollment, NDES, Online Responder)
5) Označavamo da imam Enterprise CA i da imam privatni ključ
6) Čekamo da završi instalacija i vratimo sve iz backupa koji smo napravili na samom početku.
7) Kao i obično, sve ide s praskom - nema grešaka i usluga je počela
Sa stegnutim srcem kliknem na Predlošci certifikata - i... Dobio sam popis - ovo je već mala pobjeda. Ostalo je provjeriti operaciju izdavanja certifikata putem Weba. Pratim link:
Zaključak:
1) Obavezno napravite sigurnosnu kopiju i snimku
2) Dokumentirajte svoje postupke - to će vam pomoći da sve vratite ili brže pronađete grešku
P.s. Moram ponovno probati CA migraciju s Windows 2008R na Windows 2012R2.
Izvor: www.habr.com