Jó napot kedves olvasó!
Elmesélem azt a rémálmot, amelyen átmentem a CA áttelepítése Windows 2008R2 rendszerről Windows 2012 R2 rendszerre. Az interneten rengeteg cikk van erről, és nem kellett volna semmi problémának.
Sajnos nem igazán vagyok Windows rendszergazda, inkább *nix adminisztrátor, de a CA-migráció feladatát kijelölték - meg kell tenni.
A vágás alatt elmondom, hogyan mentem keresztül ezen a folyamaton, és hogyan jutottam egy nem éppen HappyEndhez.
És így mentünk...
Forrás adatok:
Forrás - Windows 2008 R2 Root CA-val
Cél - Windows 2012R2
A Windows 2012R2 már telepítve volt és minimálisan konfigurálva.
Kezdetben a cselekvési terv a következő volt (rövidített akciók):
1) Készítsen biztonsági másolatot a CA+Private Key-ről, és másolja azt egy közös megosztásra mindkét számítógépen
2) Távolítsa el a célt a tartományból, és változtassa meg az IP-címet
3) Készítsen pillanatképet a szerverről
4) Módosítsa az IP-t a forrásnál
5) Rendszergazdaként megyünk az új Windows 2012R2 szerverre - írja be a tartományba ugyanazzal a névvel, és rendelje hozzá a régi IP-t
6) Állítsa be az Active Directory tanúsítványszolgáltatási szerepkörét (CA, CA Web Enrollment, NDES, Online válaszadó)
7) Jelezzük, hogy ez Enterprise CA
8) Állítsa vissza a CA+Private Key kódot a biztonsági másolatból
9) Happy End
Egyetértek, nincs semmi bonyolult. És elkezdtem megvalósítani. Tulajdonképpen semmi probléma nem volt és minden ment, mint a karikacsapás... Elindult a szolgáltatás, megjelentek a Tanúsítványsablonok és megjelentek maguk a tanúsítványok is. Általában minden rendben van. Szóval lefeküdtem. Reggel nem volt panasz a CA munkájára, ezért feltételeztem, hogy minden működik, és folytattam a többi feladatot. Megoldásuk során bizonyítványra volt szükségem. Létrehoztam egy .csr-t, és követtem a linket tanúsítvány aláírására és fogadására, és ebben a szakaszban hiba történt. Sajnos nem készítettem képernyőképet, de azt írta, hogy nem egyezik a felhasználói információk és néhány egyéb hiba. Nos, itt vagyunk, gondoltam. Elkezdtem guglizni, de sajnos nem találtam semmi érthetőt.
Este úgy döntöttünk, hogy eltávolítjuk a CA Windows 2012R2-t, és minden újat telepítünk, majd hibáztam, az Enterprise CA helyett a Standalone CA opciót választottam (bár a hibámról később tudtam meg). Megint megcsináltam az összes műveletet... minden hiba nélkül ment - de amikor kiválasztom a Certificate Templates mappát, azt kapom, hogy az Elem nem található, bár ha a Kezelést választom, akkor a sablonok a helyükön vannak.
Úgy gondoltam, hogy nincs elég jogosultság ehhez a CN=tanúsítványsablonhoz, ezért az ADSI Edit segítségével Read-t adtam a vm_ca$-hoz. Újraindítottam a CertSvc-t és... eredmény: Az elem nem található.
Aztán szomorú voltam, mert hajnali 2 volt... és a CA nem működött. Kikapcsolom a CA Windows 2012R2 rendszert, és visszaállítom a VM CA Windows 2008R2 rendszert pillanatfelvételből. Visszaküldöm a szervert az AD-hez (mert amikor domain fiókkal próbálok bejelentkezni, hiba történik a szerver és az AD kapcsolatával kapcsolatban).
Nos, azt hiszem... most minden rendben lesz, de sajnos... továbbra is ugyanazok a tanúsítványsablonok – azt kapom, hogy az elem nem található. Mindent reggelig hagyok - mert a reggel bölcsebb, mint az este.
Reggel a google-ban keresgéltem és különféle cikkeket olvastam – úgy döntöttem, hogy újratelepítem a CA-t a régi szerverre, abban a reményben, hogy megoldom az Elem nem található problémát, és a weben keresztül adhatok ki tanúsítványokat.
A folyamat meglehetősen egyszerű:
1) Törölje a CA szerepkört
2) Túlterhelés
3) Várja meg, amíg az eltávolítási folyamat befejeződik
4) Adja hozzá a CA szerepkört (adja meg a CA, a CA Web Enrollment, az NDES, az Online válaszadót)
5) Jelezzük, hogy van egy Enterprise CA-m, és van egy privát kulcsom
6) Megvárjuk, amíg a telepítés befejeződik, és mindent visszaállítunk abból a biztonsági másolatból, amelyet a legelején készítettünk.
7) Szokás szerint minden rohamosan megy - nincs hiba, és a szolgáltatás elindult
Süllyedő szívvel kattintok a Tanúsítványsablonokra - és... kaptam egy listát - ez már kis győzelem. Továbbra is ellenőrizni kell a tanúsítvány webes kiadásának működését. Követem a linket: és kattintson a Request a Certificate, majd az Advanced Certificate-re... Megadom a .csr kérést és kész tanúsítványt kapok. Kilélegzem... Sikerült visszaállítani a CA-t.
Következtetések:
1) Mindenképpen készítsen biztonsági másolatot és pillanatképet
2) Dokumentálja a tetteit – ez segít mindent visszaszerezni, vagy gyorsabban megtalálni a hibát
Ps. Meg kell próbálnom újra a CA migrációt Windows 2008R-ről Windows 2012R2-re.
Forrás: will.com