Labdien, dārgais lasītāj,
Es jums pastāstīšu par murgu, ko piedzīvoju, migrējot CA no Windows 2008R2 uz Windows 2012 R2. Internetā par to ir daudz rakstu, un problēmām nevajadzētu būt.
Diemžēl es neesmu Windows administrators, es drīzāk esmu *nix administrators, bet CA migrācijas uzdevums tika noteikts - tas ir jādara.
Zem griezuma es jums pastāstīšu, kā es gāju cauri šim procesam un beidzu ar ne visai HappyEnd.
Un tā iesim...
Sākotnējie dati:
Avots - Windows 2008 R2 ar saknes CA
Mērķis - Windows 2012R2
Man jau bija instalēta un minimāli konfigurēta Windows 2012R2.
Sākotnēji rīcības plāns bija šāds (saīsinātas darbības):
1) Izveidojiet rezerves CA + privāto atslēgu un kopējiet to abu datoru kopējā koplietojumā
2) Noņemiet mērķi no domēna un mainiet IP
3) Izveidojiet servera momentuzņēmumu
4) Mainiet IP avotā
5) Mēs ejam uz jauno Windows 2012R2 serveri kā administrators - ievadiet to domēnā ar tādu pašu nosaukumu un piešķiriet veco IP
6) Iestatiet Active Directory sertifikātu pakalpojuma lomu (CA, CA Web Enrollment, NDES, tiešsaistes atbildētājs)
7) Mēs norādām, ka šī ir uzņēmuma CA
8) Atjaunojiet CA+Private Key no dublējuma
9) Happy End
Piekrītu, nav nekā sarežģīta. Un es sāku to īstenot. Patiesībā nekādu problēmu nebija un viss gāja kā pa pulksteni... Sākās serviss, parādījās Certificate Templates un parādījās paši sertifikāti. Kopumā viss ir kārtībā. Tāpēc es devos gulēt. No rīta sūdzību par CA darbu nebija, tāpēc pieņēmu, ka viss darbojas un ķēros pie citiem darbiem. To risināšanas procesā man bija nepieciešams sertifikāts. Es izveidoju .csr failu un sekoju saitei parakstīt un saņemt sertifikātu, un šajā posmā radās kļūda. Diemžēl es neuzņēmu ekrānuzņēmumu, bet tajā bija norādīta lietotāja informācijas neatbilstība un dažas citas kļūdas. Nu lūk, es nodomāju. Sāku googlēt, bet diemžēl neko saprotamu neatradu.
Vakarā nolēmām noņemt CA Windows 2012R2 un instalēt visu jauno, un tad es kļūdījos; Enterprise CA vietā izvēlējos Standalone CA opciju (par savu kļūdu uzzināju vēlāk). Izdarīju visas darbības vēlreiz... viss noritēja bez kļūdām - bet atlasot mapi Certificate Templates sanāk Element not found, lai gan ja izvēlos Manage, tad veidnes ir vietā.
Man šķita, ka šīm CN=Certificate Templates nav pietiekami daudz tiesību, tāpēc, izmantojot ADSI rediģēšanu, es iedevu Read for vm_ca$. Es restartēju CertSvc un... rezultāts: Elements nav atrasts.
Tad es jutos skumji, jo bija 2 naktī... un CA nedarbojās. Es izslēdzu CA Windows 2012R2 un atjaunoju VM CA Windows 2008R2 no momentuzņēmuma. Es atgriežu serveri AD (jo mēģinot pieteikties ar domēna kontu, rodas kļūda par attiecībām starp serveri un AD).
Nu, es domāju... tagad viss būs kārtībā, bet diemžēl... tas joprojām ir tās pašas sertifikātu veidnes — es saņemu, ka elements nav atrasts. Es visu atstāšu līdz rītam - jo rīts ir gudrāks par vakaru.
No rīta googlēju un lasīju dažādus rakstus - nolēmu pārinstalēt CA uz vecā servera cerībā atrisināt Element Not Found problēmu un izsniegt sertifikātus caur Web.
Process ir diezgan vienkāršs:
1) Dzēsiet CA lomu
2) Pārslodze
3) Pagaidiet, līdz noņemšanas process ir pabeigts
4) Pievienojiet CA lomu (norādiet CA, CA Web Enrollment, NDES, Online Responder)
5) Mēs norādām, ka man ir uzņēmuma CA un man ir privātā atslēga
6) Mēs gaidām instalēšanas pabeigšanu un atjaunojam visu no dublējuma, ko izveidojām pašā sākumā.
7) Kā jau ierasts viss iet ar blīkšķi - bez kļūdām un serviss sākās
Ar grimstošu sirdi uzklikšķinu uz Sertifikātu veidnēm - un... man iedeva sarakstu - tā jau ir maza uzvara. Atliek pārbaudīt sertifikāta izsniegšanas darbību, izmantojot Web. Es sekoju saitei: un noklikšķiniet uz Request a Certificate un tad Advanced certificate request... Norādīju .csr pieprasījumu un saņemu gatavu sertifikātu. Es izelpoju... Varēja atjaunot CA.
Secinājumi:
1) Noteikti izveidojiet dublējumu un momentuzņēmumu
2) Dokumentējiet savas darbības – tas palīdzēs jums visu atgūt vai ātrāk atrast kļūdu
Ps. Man vēlreiz jāmēģina CA migrācija no Windows 2008R uz Windows 2012R2.
Avots: www.habr.com