Кутмандуу күн урматтуу окурман,
Мен сизге CAны Windows 2008R2ден Windows 2012 R2ге көчүрүүдөгү коркунучтуу түш жөнүндө айтып берем. Интернетте бул жөнүндө көптөгөн макалалар бар жана эч кандай көйгөй болбошу керек.
Өкүнүчтүүсү, мен чындыгында Windows администратору эмесмин, мен көбүрөөк *nix администраторумун, бирок CA миграциясынын милдети коюлган - бул аткарылышы керек.
Төмөндө мен бул процессти кантип басып өткөнүмдү жана бир аз HappyEnd менен аяктаганымды айтып берем.
Анан кетели...
Баштапкы маалыматтар:
булак - Root CA менен Windows 2008 R2
Максат - Windows 2012R2
Менде Windows 2012R2 орнотулган жана минималдуу конфигурацияланган.
Алгач иш-чаралардын планы төмөнкүдөй болгон (кыскартылган иш-чаралар):
1) Камдык CA+Жеке ачкычын жасаңыз жана аны эки компьютер үчүн тең жалпы үлүшүнө көчүрүңүз
2) Доменден максатты алып салыңыз жана IPди өзгөртүңүз
3) Сервердин сүрөтүн тартыңыз
4) IP булакта өзгөртүү
5) Биз жаңы Windows 2012R2 серверине администратор катары барабыз - аны ошол эле ат менен доменге киргизип, эски IPди дайындайбыз
6) Active Directory Сертификат Кызматынын ролун коюңуз (CA, CA Web Enrollment, NDES, Online Responder)
7) Бул Enterprise CA экенин көрсөтөбүз
8) Камдык көчүрмөдөн CA+Private Keyти калыбына келтириңиз
9) Happy End
Макул, татаал эч нерсе жок. Ошондо мен аны ишке ашыра баштадым. Чынында, эч кандай көйгөйлөр болгон жок жана бардыгы сааттын механизминдей жүрдү... Кызмат башталды, Сертификат шаблондору пайда болду жана сертификаттардын өзү пайда болду. Жалпысынан алганда, баары жакшы. Ошентип мен төшөккө кеттим. Эртең менен КАнын иши боюнча эч кандай даттануулар болгон жок, ошондуктан мен бардыгы иштеп жатат деп ойлоп, башка иштерге өттүм. Аларды чечүү процессинде мага сертификат керек болчу. Мен .csr түздүм жана шилтемеге кирдим кол коюу жана күбөлүк алуу жана бул этапта ката кетти. Тилекке каршы, мен скриншот алган жокмун, бирок анда колдонуучу маалыматынын дал келбестигин жана башка каталарды айтты. Мына, келдик, деп ойлодум. Мен издей баштадым, бирок, тилекке каршы, түшүнүктүү эч нерсе таба алган жокмун.
Кечинде биз CA Windows 2012R2ди алып салууну чечтик жана бардыгын жаңысын орноттук, анан мен Enterprise CAнын ордуна ката кетирдим, мен өзүмдүн катам тууралуу кийин билдим; Мен бардык операцияларды кайра жасадым... баары катасыз өттү - бирок мен Сертификаттын калыптары папкасын тандаганда, Элемент табылган жок деп чыгам, бирок мен Башкаруу тандасам, анда калыптар ордунда.
Мен бул CN=Сертификат шаблондоруна укуктар жетишсиз деп ойлогом, ошондуктан ADSI Edit аркылуу vm_ca$ үчүн окууну бердим. Мен CertSvcти кайра иштеттим жана... натыйжа: Элемент табылган жок.
Анан мен капа болдум, анткени түнкү саат 2... жана CA иштебей калды. Мен CA Windows 2012R2ди өчүрөм жана VM CA Windows 2008R2'ди снапшоттон калыбына келтирем. Мен серверди ADга кайтарып жатам (анткени мен домен эсеби менен кирүүгө аракет кылганда сервер менен AD ортосундагы мамиледе ката пайда болот).
Ооба, мен ойлойм... азыр баары жакшы болот, бирок тилекке каршы... ал дагы эле ошол эле Сертификат шаблондору - Элемент табылган жок. Мен баарын таң атканга калтырам, анткени таң кечке караганда акылдуу.
Эртең менен мен гуглдан издедим жана ар кандай макалаларды окудум - Element Not Found көйгөйүн чечүү жана Интернет аркылуу сертификаттарды берүү үмүтү менен CAны эски серверге кайра орнотууну чечтим.
Процесс абдан жөнөкөй:
1) CA ролун жок кылуу
2) ашыкча жүктөө
3) Алып салуу процессинин аягына чыгышын күтүңүз
4) CA ролун кошуңуз (CA, CA Web Enrollment, NDES, Online Responder көрсөтүңүз)
5) Менде Enterprise CA бар жана жеке ачкычым бар экенин көрсөтөбүз
6) Орнотуу аяктаганга чейин күтөбүз жана эң башында жасаган камдык көчүрмөдөн бардыгын калыбына келтиребиз.
7) Адаттагыдай эле, баары бир жарылуу менен кетет - эч кандай каталар жок жана кызмат башталды
Жүрөгүм чөгүп, мен күбөлүк шаблондорун басам - жана... Мага тизме берилди - бул кичинекей жеңиш. Бул Интернет аркылуу күбөлүк берүү ишин текшерүү үчүн калууда. Мен шилтемеге кирем: жана Сертификат суроо жана андан кийин өркүндөтүлгөн сертификат суроону чыкылдатыңыз... Мен .csr сурамын көрсөтүп, даяр сертификат алам. Дем чыгарам... КАны калыбына келтирүүгө мүмкүн болду.
корутундулар:
1) Камдык көчүрмөнү жана сүрөттү түзүүнү унутпаңыз
2) Өзүңүздүн аракеттериңизди документтештириңиз - бул сизге баарын кайтарып алууга же катаны тезирээк табууга жардам берет
Ps Мен Windows 2008Rден Windows 2012R2ге CA миграциясын кайра аракет кылышым керек.
Source: www.habr.com