Қайырлы күн құрметті оқырман,
Мен Windows 2008R2 жүйесінен Windows 2012 R2 жүйесіне CA көшіру кезінде көрген қорқынышты түс туралы айтып беремін. Интернетте бұл туралы көптеген мақалалар бар және ешқандай проблемалар болмауы керек.
Өкінішке орай, мен шын мәнінде Windows әкімшісі емеспін, мен *nix әкімшісімін, бірақ CA көшіру міндеті қойылды - мұны істеу керек.
Төменде мен бұл процестен қалай өткенімді және өте бақытты емес нәтижемен аяқтағанымды айтып беремін.
Ендеше кеттік...
Бастапқы деректер:
Көзі - Түбірлік CA бар Windows 2008 R2
Мақсат - Windows 2012R2
Менде Windows 2012R2 орнатылған және минималды конфигурацияланған.
Бастапқыда іс-шаралар жоспары келесідей болды (қысқартылған әрекеттер):
1) Сақтық көшірме CA+Private Key жасаңыз және оны екі компьютер үшін ортақ ортақ пайдалануға көшіріңіз
2) Доменнен мақсатты алып тастаңыз және IP өзгертіңіз
3) Сервердің суретін жасаңыз
4) IP мекенжайын көзде өзгертіңіз
5) Біз жаңа Windows 2012R2 серверіне әкімші ретінде кіреміз - оны бірдей атпен доменге енгізіп, ескі IP тағайындаңыз
6) Active Directory сертификатының қызметі рөлін орнатыңыз (CA, CA Web Enrollment, NDES, Online Responder)
7) Біз бұл Enterprise CA екенін көрсетеміз
8) Сақтық көшірмеден CA+Private Key қалпына келтіріңіз
9) Бақытты аяқталу
Келісіңіз, күрделі ештеңе жоқ. Ал мен оны жүзеге асыра бастадым. Шындығында, ешқандай проблемалар болмады және бәрі сағат сияқты болды ... Қызмет басталды, Сертификат үлгілері пайда болды және сертификаттардың өздері пайда болды. Жалпы, бәрі жақсы. Сонымен мен төсекке кеттім. Таңертең CA жұмысына шағымдар болған жоқ, сондықтан мен бәрі жұмыс істеп жатыр деп есептеп, басқа тапсырмаларға көштім. Оларды шешу барысында маған сертификат қажет болды. Мен .csr жасап, сілтемені орындадым сертификатқа қол қою және алу және осы кезеңде қате орын алды. Өкінішке орай, мен скриншотты түсірмедім, бірақ ол пайдаланушы ақпаратының сәйкес келмеуі және басқа да қателер туралы айтты. Міне, біз келдік, деп ойладым. Мен іздеуді бастадым, бірақ, өкінішке орай, түсінікті ештеңе таппадым.
Кешке біз CA Windows 2012R2 жүйесін алып тастап, барлығын жаңасын орнатуды ұйғардық, содан кейін мен қателік жібердім; Enterprise CA орнына мен Standalone CA опциясын таңдадым (бірақ мен қателігім туралы кейінірек білдім). Мен барлық әрекеттерді қайтадан жасадым... бәрі қатесіз өтті - бірақ мен «Сертификаттар үлгілері» қалтасын таңдағанда, «Басқару» опциясын таңдасам, үлгілер орнында тұрғанымен, «Элемент табылмады» деп аламын.
Мен бұл CN=Сертификат үлгілері үшін жеткілікті құқықтар жоқ деп ойладым, сондықтан ADSI өңдеуін пайдаланып, vm_ca$ үшін оқуды бердім. CertSvc қайта іске қосылды және... нәтиже: Элемент табылмады.
Сосын мен мұңайып қалдым, себебі түнгі сағат 2... және CA жұмыс істемейді. Мен CA Windows 2012R2 жүйесін өшіремін және суреттен VM CA Windows 2008R2 қалпына келтіремін. Мен серверді AD жүйесіне қайтарып жатырмын (себебі домен тіркелгісімен кіруге тырысқанда, сервер мен AD арасындағы қатынасқа қатысты қате орын алады).
Менің ойымша... қазір бәрі жақсы болады, бірақ өкінішке орай... бұл әлі де бірдей сертификат үлгілері - элемент табылмады. Мен бәрін таң атқанша қалдырамын, өйткені таң кешке қарағанда дана.
Таңертең мен Google-ды іздеп, әртүрлі мақалаларды оқыдым - мен Element Not Found мәселесін шешу және Интернет арқылы сертификаттар беру үмітімен CA-ны ескі серверде қайта орнатуды шештім.
Процесс өте қарапайым:
1) CA рөлін жойыңыз
2) Шамадан тыс жүктеме
3) Жою процесінің аяқталуын күтіңіз
4) CA рөлін қосыңыз (CA, CA Web Enrollment, NDES, Online Responder көрсетіңіз)
5) Менде Enterprise CA бар және жеке кілтім бар екенін көрсетеміз
6) Орнатудың аяқталуын және ең басында жасаған сақтық көшірмеден бастап барлығын қалпына келтіруді күтеміз.
7) Әдеттегідей, бәрі жарылыспен жүреді - қателер жоқ және қызмет басталды
Батып бара жатқан жүрекпен мен Сертификат үлгілерін басамын - және... Маған тізім берілді - бұл қазірдің өзінде кішкентай жеңіс. Интернет арқылы сертификат беру жұмысын тексеру қалады. Мен сілтемені орындаймын: және «Сертификатты сұрау», содан кейін кеңейтілген сертификат сұрауы түймесін басыңыз... Мен .csr сұрауын көрсетіп, дайын сертификат аламын. Мен дем шығарамын... СА қалпына келтіруге болатын еді.
Қорытынды:
1) Сақтық көшірме жасауды және суретті жасауды ұмытпаңыз
2) Әрекеттеріңізді құжаттаңыз - бұл бәрін қайтаруға немесе қатені тезірек табуға көмектеседі
Ps Мен Windows 2008R жүйесінен Windows 2012R2 жүйесіне CA көшіруді қайталап көруім керек.
Ақпарат көзі: www.habr.com