Selamat siang pembaca yang budiman,
Saya akan bercerita tentang mimpi buruk yang saya alami saat memigrasi CA dari Windows 2008R2 ke Windows 2012 R2. Ada banyak artikel di internet tentang ini dan seharusnya tidak ada masalah.
Saya menyesal, saya sebenarnya bukan Admin Windows, saya lebih merupakan admin *nix, tetapi tugas migrasi CA telah ditetapkan - itu perlu dilakukan.
Di bawah ini, saya akan memberi tahu Anda bagaimana saya menjalani proses ini dan berakhir dengan akhir yang tidak terlalu Bahagia.
Jadi kami pergi...
Sumber data:
ΠΡΡΠΎΡΠ½ΠΈΠΊ - Windows 2008 R2 dengan Root CA
Target - Windows 2012R2
Saya sudah menginstal Windows 2012R2 dan dikonfigurasi secara minimal.
Awalnya, rencana aksi adalah sebagai berikut (tindakan disingkat):
1) Buat CA+Kunci Pribadi Cadangan dan salin ke bagian bersama untuk kedua komputer
2) Hapus target dari domain dan ubah IP
3) Buat snapshot dari server
4) Ubah IP di sumbernya
5) Kami pergi ke server Windows 2012R2 baru sebagai administrator - masukkan ke dalam domain dengan nama yang sama dan tetapkan IP lama
6) Tetapkan peran Layanan Sertifikat Direktori Aktif (CA, CA Web Enrollment, NDES, Online Responder)
7) Kami menunjukkan bahwa ini adalah Enterprise CA
8) Pulihkan CA+Kunci Pribadi dari cadangan
9) Akhir yang Bahagia
Setuju, tidak ada yang rumit. Dan saya mulai menerapkannya. Faktanya, tidak ada masalah dan semuanya berjalan lancar... Layanan dimulai, Templat Sertifikat muncul dan sertifikat itu sendiri muncul. Secara umum, semuanya baik-baik saja. Jadi saya pergi tidur. Pagi harinya tidak ada keluhan tentang pekerjaan CA dan oleh karena itu saya berasumsi semuanya berfungsi dan melanjutkan ke tugas lain. Dalam proses penyelesaiannya, saya memerlukan sertifikat. Saya membuat .csr dan mengikuti tautannya untuk menandatangani dan menerima sertifikat dan pada tahap ini terjadi kesalahan. Sayangnya, saya tidak mengambil tangkapan layar, tetapi dikatakan informasi pengguna tidak cocok dan beberapa kesalahan lainnya. Nah, ini dia, pikirku. Saya mulai mencari di Google, tetapi sayangnya saya tidak menemukan sesuatu yang dapat dimengerti.
Di malam hari kami memutuskan untuk menghapus CA Windows 2012R2 dan menginstal semuanya yang baru, dan kemudian saya membuat kesalahan; alih-alih Enterprise CA, saya memilih opsi Standalone CA (walaupun saya mengetahui kesalahan saya nanti). Saya melakukan semua operasi lagi... semuanya berjalan tanpa kesalahan - tetapi ketika saya memilih folder Templat Sertifikat, saya mendapatkan Elemen tidak ditemukan, meskipun jika saya memilih Kelola, maka templat sudah ada.
Saya pikir hak untuk CN=Certificate Templates ini tidak cukup, jadi menggunakan ADSI Edit saya memberikan Read untuk vm_ca$. Saya me-restart CertSvc dan... hasil: Elemen tidak ditemukan.
Lalu saya merasa sedih karena saat itu jam 2 pagi... dan CA tidak bekerja. Saya mematikan CA Windows 2012R2 dan memulihkan VM CA Windows 2008R2 dari snapshot. Saya mengembalikan server ke AD (karena ketika saya mencoba masuk dengan akun domain, terjadi kesalahan terkait hubungan antara server dan AD).
Baiklah, menurut saya... semuanya akan baik-baik saja sekarang, tapi sayangnya... Templat Sertifikatnya masih sama - Saya mendapatkan Elemen tidak ditemukan. Saya akan meninggalkan semuanya sampai pagi hari - karena pagi hari lebih bijaksana daripada malam hari.
Di pagi hari saya mencari di Google dan membaca berbagai artikel - saya memutuskan untuk menginstal ulang CA di server lama dengan harapan dapat menyelesaikan masalah Elemen Tidak Ditemukan dan menerbitkan sertifikat melalui Web.
Prosesnya cukup sederhana:
1) Hapus peran CA
2) Kelebihan beban
3) Tunggu hingga proses penghapusan selesai
4) Tambahkan peran CA (tentukan CA, CA Web Enrollment, NDES, Online Responder)
5) Kami menunjukkan bahwa saya memiliki CA Perusahaan dan saya memiliki kunci pribadi
6) Kita tunggu hingga instalasi selesai dan pulihkan semuanya dari backup yang kita buat di awal.
7) Seperti biasa, semuanya berjalan lancar - tidak ada kesalahan dan layanan dimulai
Dengan hati yang tenggelam, saya mengklik Templat Sertifikat - dan... Saya diberi daftar - ini sudah merupakan kemenangan kecil. Tetap memeriksa operasi penerbitan sertifikat melalui Web. Saya mengikuti tautannya: dan klik Minta Sertifikat lalu permintaan sertifikat lanjutan... Saya menentukan permintaan .csr dan menerima sertifikat yang sudah jadi. Saya menghembuskan napas... CA dapat dipulihkan.
Kesimpulan:
1) Pastikan untuk membuat cadangan dan snapshot
2) Dokumentasikan tindakan Anda - ini akan membantu Anda mengembalikan semuanya atau menemukan kesalahan lebih cepat
Ps Saya harus mencoba migrasi CA dari Windows 2008R ke Windows 2012R2 lagi.
Sumber: www.habr.com