Buon pomeriggio caro lettore,
Ti racconterò dell'incubo che ho vissuto migrando CA da Windows 2008R2 a Windows 2012 R2. Ci sono molti articoli su Internet a riguardo e non dovrebbero esserci stati problemi.
Con mio rammarico, non sono realmente un amministratore di Windows, sono più un amministratore *nix, ma l'attività di migrazione della CA è stata impostata: deve essere eseguita.
Sotto il taglio, ti dirò come ho seguito questo processo e mi sono ritrovato con un finale non proprio felice.
E così via ...
Contesto:
Fonte - Windows 2008 R2 con CA radice
Bersaglio -Finestre 2012R2
Avevo già installato Windows 2012R2 e configurato minimamente.
Inizialmente, il piano d’azione era il seguente (azioni abbreviate):
1) Crea un backup CA+chiave privata e copialo in una condivisione comune per entrambi i computer
2) Rimuovere la destinazione dal dominio e modificare l'IP
3) Crea uno snapshot del server
4) Cambiare l'IP alla fonte
5) Andiamo sul nuovo server Windows 2012R2 come amministratore: inseriscilo nel dominio con lo stesso nome e assegna il vecchio IP
6) Impostare il ruolo del Servizio certificati Active Directory (CA, registrazione Web CA, NDES, risponditore online)
7) Indichiamo che si tratta di Enterprise CA
8) Ripristina CA+chiave privata dal backup
9) Lieto fine
D'accordo, non c'è niente di complicato. E ho iniziato a implementarlo. In effetti, non ci sono stati problemi e tutto è andato come un orologio. Il servizio è stato avviato, sono comparsi i modelli di certificato e sono comparsi i certificati stessi. In generale, è tutto OK. Quindi sono andato a letto. Al mattino non ci sono state lamentele sul lavoro di CA e quindi ho dato per scontato che tutto funzionasse e ho proceduto ad altri compiti. Nel processo di risolverli, avevo bisogno di un certificato. Ho creato un .csr e ho seguito il collegamento per firmare e ricevere un certificato e in questa fase si è verificato un errore. Sfortunatamente, non ho fatto uno screenshot, ma diceva che le informazioni dell'utente non corrispondevano e alcuni altri errori. Bene, eccoci qui, ho pensato. Ho iniziato a cercare su Google, ma sfortunatamente non ho trovato nulla di comprensibile.
La sera abbiamo deciso di rimuovere CA Windows 2012R2 e installare tutto di nuovo, ma poi ho commesso un errore: invece di Enterprise CA, ho selezionato l'opzione Standalone CA (anche se ho saputo del mio errore in seguito). Ho ripetuto tutte le operazioni... tutto è andato senza errori, ma quando seleziono la cartella Modelli di certificato, viene visualizzato il messaggio Elemento non trovato, anche se se seleziono Gestisci, i modelli sono a posto.
Pensavo che non ci fossero diritti sufficienti per questo CN=Certificate Templates, quindi utilizzando ADSI Edit ho dato Read per vm_ca$. Ho riavviato CertSvc e... risultato: Elemento non trovato.
Poi mi sono sentito triste perché erano le 2 di notte... e la CA non funzionava. Spengo CA Windows 2012R2 e ripristino la VM CA Windows 2008R2 dallo snapshot. Sto restituendo il server ad AD (perché quando provo ad accedere con un account di dominio, ricevo un errore sulla relazione tra il server e AD).
Bene, penso... ora andrà tutto bene, ma ahimè... sono sempre gli stessi modelli di certificato: ricevo Elemento non trovato. Lascerò tutto fino al mattino, perché il mattino è più saggio della sera.
Al mattino ho cercato su Google e letto vari articoli: ho deciso di reinstallare la CA sul vecchio server nella speranza di risolvere il problema dell'elemento non trovato e di emettere certificati tramite Web.
Il processo è abbastanza semplice:
1) Elimina il ruolo CA
2) Sovraccarico
3) Attendi il completamento del processo di rimozione
4) Aggiungere il ruolo CA (specificare CA, Registrazione Web CA, NDES, Risponditore online)
5) Indichiamo che ho una CA aziendale e ho una chiave privata
6) Aspettiamo il completamento dell'installazione e ripristiniamo tutto dal backup che abbiamo effettuato all'inizio.
7) Come al solito, tutto va alla grande: nessun errore e il servizio è iniziato
Con un tuffo al cuore, clicco su Modelli di certificato e... mi viene fornito un elenco: questa è già una piccola vittoria. Resta da verificare l'operazione di emissione del certificato via Web. seguo il link: e faccio clic su Richiedi un certificato e poi su richiesta di certificato avanzata... specifico la richiesta .csr e ricevo un certificato già pronto. Espiro... È stato possibile ripristinare CA.
Conclusioni:
1) Assicurati di eseguire un backup e uno snapshot
2) Documenta le tue azioni: questo ti aiuterà a recuperare tutto o a trovare l'errore più velocemente
Ps devo provare di nuovo la migrazione della CA da Windows 2008R a Windows 2012R2.
Fonte: habr.com