Өдрийн мэнд эрхэм уншигч,
CA-г Windows 2008R2-аас Windows 2012 R2 руу шилжүүлж байхдаа би хар дарсан зүүдээ хэлье. Интернет дээр энэ талаар маш олон нийтлэл байдаг бөгөөд ямар ч асуудал гарах ёсгүй.
Харамсалтай нь, би Windows-ийн админ биш, би илүү *nix админ боловч CA-г шилжүүлэх даалгаврыг тавьсан - үүнийг хийх хэрэгтэй.
Тайлбарын доор би энэ үйл явцыг хэрхэн даван туулж, эцэст нь тийм ч сайн биш аз жаргалтай болсон тухай танд хэлэх болно.
Тэгээд явцгаая ...
Эхний мэдээлэл:
Эх сурвалж - Root CA-тай Windows 2008 R2
Зорилтот - Windows 2012R2
Би аль хэдийн Windows 2012R2 суулгаж, хамгийн бага тохируулсан байсан.
Эхний ээлжинд үйл ажиллагааны төлөвлөгөө нь дараах байдалтай байсан (богиносгосон арга хэмжээ).
1) Нөөц CA+Private Key-г хийж, хоёр компьютерийн нийтлэг хувьцаанд хуулна
2) Зорилтотыг домэйноос устгаад IP-г өөрчил
3) Серверийн агшин зуурын зургийг хийх
4) IP-г эх сурвалж дээр өөрчлөх
5) Бид шинэ Windows 2012R2 сервер рүү администратороор очдог - үүнийг ижил нэртэй домайн руу оруулаад хуучин IP-г онооно.
6) Active Directory гэрчилгээний үйлчилгээний үүргийг тохируулах (CA, CA Web Enrollment, NDES, Online Responder)
7) Энэ бол Enterprise CA гэдгийг бид харуулж байна
8) Нөөцөөс CA+Private Key-г сэргээнэ үү
9) Аз жаргалтай төгсгөл
Зөвшөөрч байна, ямар ч төвөгтэй зүйл байхгүй. Тэгээд би үүнийг хэрэгжүүлж эхэлсэн. Үнэн хэрэгтээ ямар ч асуудал гараагүй бөгөөд бүх зүйл цаг шиг болсон ... Үйлчилгээ эхэлж, Сертификат загварууд гарч ирж, гэрчилгээнүүд өөрсдөө гарч ирэв. Ерөнхийдөө бүх зүйл хэвийн байна. Тэгээд би орондоо орлоо. Өглөө нь СА-гийн ажлын талаар ямар ч гомдол гараагүй тул би бүх зүйл ажиллаж байна гэж таамаглаж, бусад ажилдаа оров. Тэдгээрийг шийдвэрлэх явцад надад гэрчилгээ хэрэгтэй байсан. Би .csr үүсгээд холбоосыг дагасан гарын үсэг зурах, гэрчилгээ хүлээн авах, энэ үе шатанд алдаа гарсан. Харамсалтай нь би дэлгэцийн агшин аваагүй ч хэрэглэгчийн мэдээлэл таарахгүй байна, бусад алдаа байна. За, бид энд байна гэж би бодлоо. Би Google хайж эхэлсэн боловч харамсалтай нь надад ойлгомжтой зүйл олдсонгүй.
Орой нь бид CA Windows 2012R2-г устгаж, бүх зүйлийг шинээр суулгахаар шийдсэн бөгөөд дараа нь би алдаа гаргасан; Enterprise CA-ийн оронд би бие даасан CA сонголтыг сонгосон (гэхдээ би алдаагаа сүүлд мэдсэн). Би бүх үйлдлүүдийг дахин хийсэн... бүх зүйл алдаагүй болсон - гэхдээ би Сертификатны загвар хавтсыг сонгоход "Элемент олдсонгүй" гэсэн хариу гарч ирэх боловч "Удирдах"-ыг сонговол загварууд нь байрандаа байна.
Би CN=Certificate Templates-д хангалттай эрх байхгүй гэж бодсон тул ADSI Edit-ийг ашиглан vm_ca$-д уншсан. Би CertSvc-г дахин эхлүүлээд... үр дүн: Элемент олдсонгүй.
Дараа нь шөнийн 2 цаг болж, СА ажиллахгүй байсан тул би гунигтай санагдсан. Би CA Windows 2012R2-г унтрааж, VM CA Windows 2008R2-г хормын хувилбараас сэргээж байна. Би серверийг AD руу буцааж байна (учир нь би домэйн бүртгэлээр нэвтрэхийг оролдох үед сервер болон AD хоорондын харилцааны талаар алдаа гардаг).
Одоо бүх зүйл хэвийн болно гэж бодож байна, гэхдээ харамсалтай нь ... энэ нь ижил гэрчилгээний загварууд хэвээр байна - Би элемент олдсонгүй. Би өглөө болтол бүх зүйлийг орхих болно, учир нь өглөө оройноос илүү ухаалаг байдаг.
Өглөө нь би google-ээр хайж, янз бүрийн нийтлэл уншсан - Би элемент олдсонгүй асуудлыг шийдэж, вэбээр дамжуулан гэрчилгээ олгох гэж найдаж хуучин сервер дээр CA-г дахин суулгахаар шийдсэн.
Процесс нь маш энгийн:
1) CA үүргийг устгана уу
2) Хэт ачаалал
3) Устгах үйл явц дуусах хүртэл хүлээнэ үү
4) CA үүргийг нэмнэ үү (CA, CA Web Enrollment, NDES, Online Responder-г зааж өгнө үү)
5) Би Enterprise CA-тай бөгөөд надад хувийн түлхүүр байгаа гэдгийг бид харуулж байна
6) Бид суулгацыг дуусгаж, эхэндээ хийсэн нөөцлөлтөөс эхлээд бүгдийг нь сэргээхийг хүлээж байна.
7) Ердийнх шиг, бүх зүйл тэсрэлттэй байдаг - алдаа байхгүй, үйлчилгээ эхэлсэн
Зүрх сэтгэлдээ живж, би гэрчилгээний загварууд дээр дарж, ... Надад жагсаалт өгсөн - энэ бол аль хэдийн жижиг ялалт юм. Вэбээр дамжуулан гэрчилгээ олгох ажиллагааг шалгах хэвээр байна. Би холбоосыг дагаж мөрддөг: Дараа нь Request a Certificate, дараа нь нэмэлт гэрчилгээний хүсэлт дээр товшино уу... Би .csr хүсэлтийг зааж өгөөд бэлэн сертификат хүлээн авдаг. Би амьсгалаа гаргаж байна ... СА-г сэргээх боломжтой байсан.
Дүгнэлт:
1) Нөөц болон хормын хувилбар хийхээ мартуузай
2) Үйлдлээ баримтжуулах - энэ нь бүх зүйлийг буцааж авах эсвэл алдааг хурдан олоход тусална
Жич: Би Windows 2008R-ээс Windows 2012R2 руу CA шилжих оролдлого хийх хэрэгтэй байна.
Эх сурвалж: www.habr.com