Laba diena, mielas skaitytojau,
Papasakosiu apie košmarą, kurį išgyvenau perkeldamas CA iš Windows 2008R2 į Windows 2012 R2. Internete yra daug straipsnių apie tai ir neturėtų kilti jokių problemų.
Apgailestauju, aš tikrai nesu Windows administratorius, aš daugiau *nix administratorius, bet CA migracijos užduotis buvo nustatyta - ją reikia padaryti.
Po pjūviu papasakosiu, kaip aš išgyvenau šį procesą ir baigiau ne visai laimingą pabaigą.
Ir taip eime...
Pradiniai duomenys:
šaltinis - „Windows 2008 R2“ su „Root CA“.
Tikslas - „Windows 2012R2“.
Aš jau turėjau įdiegtą ir minimaliai sukonfigūruotą „Windows 2012R2“.
Iš pradžių veiksmų planas buvo toks (sutrumpinti veiksmai):
1) Sukurkite atsarginę CA + privataus rakto kopiją ir nukopijuokite jį į bendrą abiejų kompiuterių bendrinimą
2) Pašalinkite tikslą iš domeno ir pakeiskite IP
3) Padarykite momentinę serverio nuotrauką
4) Pakeiskite IP šaltinyje
5) Einame į naująjį „Windows 2012R2“ serverį kaip administratorius - įveskite jį į domeną tuo pačiu pavadinimu ir priskirkite seną IP
6) Nustatykite „Active Directory“ sertifikato tarnybos vaidmenį (CA, CA Web Enrollment, NDES, internetinis atsakiklis)
7) Nurodome, kad tai yra įmonės CA
8) Atkurkite CA+Private Key iš atsarginės kopijos
9) Laiminga pabaiga
Sutikite, nėra nieko sudėtingo. Ir aš pradėjau tai įgyvendinti. Tiesą sakant, problemų nebuvo ir viskas ėjosi kaip iš sviesto... Prasidėjo paslauga, atsirado Sertifikatų šablonai ir patys sertifikatai. Apskritai viskas gerai. Taigi aš nuėjau miegoti. Ryte nebuvo jokių priekaištų dėl CA darbo, todėl maniau, kad viskas veikia ir tęsiau kitus darbus. Jas sprendžiant, man reikėjo pažymėjimo. Sukūriau .csr ir sekiau nuorodą pasirašyti ir gauti sertifikatą ir šiame etape įvyko klaida. Deja, aš nepadariau ekrano kopijos, bet joje buvo nurodyta vartotojo informacijos neatitikimas ir kai kurios kitos klaidos. Na, štai, pagalvojau. Pradėjau googlinti, bet, deja, nieko suprantamo neradau.
Vakare nusprendėme pašalinti CA Windows 2012R2 ir įdiegti viską nauja, tada padariau klaidą, vietoj Enterprise CA pasirinkau parinktį Standalone CA (nors apie savo klaidą sužinojau vėliau). Vėl padariau visas operacijas... viskas vyko be klaidų - bet pasirinkus Certificate Templates aplanką gaunu Element not found, nors jei pasirinkau Manage, tai šablonai yra vietoje.
Maniau, kad nepakanka teisių šiems CN=sertifikatų šablonams, todėl naudodamas ADSI redagavimą daviau Read for vm_ca$. Iš naujo paleidau CertSvc ir... rezultatas: Elementas nerastas.
Tada man buvo liūdna, nes buvo 2 val.... o CA neveikė. Išjungiu CA Windows 2012R2 ir atkuriu VM CA Windows 2008R2 iš momentinės nuotraukos. Grąžinu serverį į AD (nes kai bandau prisijungti naudodamas domeno paskyrą, įvyksta klaida dėl ryšio tarp serverio ir AD).
Na, manau... dabar viskas bus gerai, bet deja... vis dar tie patys sertifikatų šablonai – gaunu, kad elementas nerastas. Viską paliksiu rytui - nes rytas išmintingesnis už vakarą.
Ryte googlinau ir skaičiau įvairius straipsnius – nusprendžiau iš naujo įdiegti CA sename serveryje, tikėdamasis išspręsti Element Not Found problemą ir išduoti sertifikatus per internetą.
Procesas yra gana paprastas:
1) Ištrinkite CA vaidmenį
2) Perkrova
3) Palaukite, kol bus baigtas pašalinimo procesas
4) Pridėkite CA vaidmenį (nurodyti CA, CA Web Enrollment, NDES, Online Responder)
5) Nurodome, kad turiu įmonės CA ir privatų raktą
6) Laukiame, kol baigsis diegimas, ir atkuriame viską iš atsarginės kopijos, kurią padarėme pačioje pradžioje.
7) Kaip įprasta, viskas vyksta su kaupu – jokių klaidų ir aptarnavimas prasidėjo
Skęstančia širdimi paspaudžiu Sertifikatų šablonus – ir... man davė sąrašą – tai jau maža pergalė. Belieka patikrinti, kaip veikia sertifikato išdavimas per internetą. Seku nuoroda: ir spustelėkite Request a Certificate, o tada išplėstinė sertifikato užklausa... Nurodau .csr užklausą ir gaunu paruoštą sertifikatą. Iškvepiu... Buvo galima atkurti CA.
Išvados:
1) Būtinai pasidarykite atsarginę kopiją ir momentinę nuotrauką
2) Dokumentuokite savo veiksmus – tai padės viską susigrąžinti arba greičiau rasti klaidą
Ps. Turiu dar kartą pabandyti CA perkelti iš Windows 2008R į Windows 2012R2.
Šaltinis: www.habr.com