Salama ry mpamaky malala,
Holazaiko aminao ny nofy ratsy nandalovako ny fifindra-monina CA avy amin'ny Windows 2008R2 mankany Windows 2012 R2. Betsaka ny lahatsoratra amin'ny Internet momba izany ary tsy tokony hisy olana.
Manenina aho, tsy tena Windows Admin aho, fa *nix admin kokoa aho, saingy napetraka ny andraikitry ny fifindra-monina CA - mila atao izany.
Eo ambanin'ny fanapahana dia holazaiko aminao ny fomba nandehanako tamin'ity dingana ity ary niafara tamin'ny tsy-HappyEnd.
Dia andeha isika...
Loharano loharano:
loharano - Windows 2008 R2 miaraka amin'ny Root CA
Target - Windows 2012R2
Efa nametraka Windows 2012R2 aho ary namboarina kely.
Tamin'ny voalohany, ny drafitry ny hetsika dia toy izao manaraka izao (hetsika fohy):
1) Manaova Backup CA+Private Key ary adika amin'ny ampahany iraisana ho an'ny solosaina roa
2) Esory ny tanjona amin'ny sehatra ary ovay ny IP
3) Manaova sarin'ny mpizara
4) Ovay ny IP amin'ny loharano
5) Mankany amin'ny mpizara Windows 2012R2 vaovao izahay ho mpitantana - ampidiro ao amin'ny sehatra mitovy anarana ary omeo ny IP taloha
6) Mametraha ny anjara asan'ny Sertifisitra Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) Asehonay fa Enterprise CA ity
8) Avereno amin'ny backup ny CA + Private Key
9) Fahasambarana
Ekeo fa tsy misy sarotra. Ary nanomboka nampihatra izany aho. Raha ny marina, tsy nisy olana ary nandeha toy ny famantaranandro ny zava-drehetra... Nanomboka ny serivisy, niseho ny Templates Certificate ary ny certificat mihitsy no niseho. Amin'ny ankapobeny, OK ny zava-drehetra. Dia natory aho. Ny maraina dia tsy nisy fitarainana momba ny asan'ny CA ary noho izany dia nihevitra aho fa mandeha ny zava-drehetra ary niroso tamin'ny asa hafa. Nandritra ny famahana azy ireo dia nila taratasy fanamarinana aho. Namorona .csr aho ary nanaraka ny rohy hanao sonia sy handray taratasy fanamarinana ary tamin'ity dingana ity dia nisy fahadisoana. Indrisy anefa fa tsy naka pikantsary aho, fa nilaza ny mombamomba ny mpampiasa tsy mifanaraka sy ny fahadisoana hafa. Eny, eto isika, hoy aho. Nanomboka ni-googling aho, saingy indrisy fa tsy nahita zavatra azo takarina.
Ny hariva dia nanapa-kevitra ny hanala CA Windows 2012R2 izahay ary hametraka ny zava-drehetra vaovao, ary avy eo dia nanao fahadisoana aho; raha tokony ho Enterprise CA, dia nisafidy ny safidy Standalone CA aho (na dia nianatra momba ny fahadisoako aza aho taty aoriana). Nanao ny asa rehetra indray aho ... nandeha tsy nisy hadisoana ny zava-drehetra - fa rehefa misafidy ny lahatahiry Certificate Templates aho dia mahazo Element tsy hita, na dia misafidy Manage aza aho dia efa misy ny templates.
Nihevitra aho fa tsy ampy ny zo ho an'ity CN=Certificate Templates ity, ka tamin'ny fampiasana ADSI Edit dia nomeko Read ho an'ny vm_ca$. Natomboko indray ny CertSvc ary... valiny: Tsy hita ny singa.
Dia nalahelo aho satria tamin'ny 2 ora maraina... ary tsy mandeha ny CA. Nesoriko ny CA Windows 2012R2 ary avereno amin'ny snapshot ny VM CA Windows 2008R2. Avereno amin'ny AD ny server (satria rehefa manandrana miditra amin'ny kaonty domaine aho dia misy hadisoana mitranga momba ny fifandraisana misy eo amin'ny server sy AD).
Eny ary, heveriko fa ... hilamina ny zava-drehetra izao, saingy indrisy ... mbola mitovy ihany ny Templates Certificate - mahazo Element tsy hita aho. Avelako ho tra-maraina ny zavatra rehetra, fa ny maraina dia hendry noho ny hariva.
Ny maraina dia nikaroka sy namaky lahatsoratra isan-karazany aho - nanapa-kevitra ny hametraka indray ny CA amin'ny mpizara taloha aho amin'ny fanantenana ny famahana ny olana Element Not Found sy ny famoahana taratasy fanamarinana amin'ny alΓ lan'ny Internet.
Tsotra ny dingana:
1) Fafao ny anjara CA
2) Be loatra
3) Andraso ho vita ny dingana fanesorana
4) Ampio ny anjara CA (tondro CA, CA Web Enrollment, NDES, Online Responder)
5) Asehonay fa manana Enterprise CA aho ary manana fanalahidy manokana
6) Miandry ny fametrahana sy hamerenana ny zava-drehetra avy amin'ny backup nataonay tany am-boalohany izahay.
7) Toy ny mahazatra, mandeha amin'ny banga ny zava-drehetra - tsy misy hadisoana ary nanomboka ny serivisy
Amin'ny fo milentika, manindry ny Templates Certificate aho - ary ... nomena lisitra aho - efa fandresena kely izany. Mbola mijanona ny manamarina ny fiasan'ny famoahana taratasy fanamarinana amin'ny alΓ lan'ny Internet. Arahiko ny rohy: ary tsindrio ny Mangataka Certificat ary avy eo ny fangatahana certificat avo lenta... Ny fangatahana .csr no asiako ary mahazo taratasy fanamarinana efa vita. Mifoka rivotra aho... Azo atao ny mamerina ny CA.
fehin-kevitra:
1) Ataovy azo antoka ny manao backup sy snapshot
2) Raketo an-tsoratra ny zavatra ataonao - hanampy anao hamerina ny zava-drehetra izany na hahita haingana ny fahadisoana
Ps Tsy maintsy manandrana ny fifindra-monina CA avy amin'ny Windows 2008R mankany Windows 2012R2 indray aho.
Source: www.habr.com