Selamat petang pembaca yang dikasihi,
Saya akan memberitahu anda tentang mimpi ngeri yang saya lalui semasa memindahkan CA daripada Windows 2008R2 ke Windows 2012 R2. Terdapat banyak artikel di internet tentang perkara ini dan tidak sepatutnya ada sebarang masalah.
Saya menyesal, saya sebenarnya bukan Pentadbir Windows, saya lebih kepada pentadbir *nix, tetapi tugas pemindahan CA telah ditetapkan - ia perlu dilakukan.
Di bawah potongan, saya akan memberitahu anda bagaimana saya melalui proses ini dan berakhir dengan yang tidak cukup HappyEnd.
Jadi mari kita pergi...
Data awal:
Source - Windows 2008 R2 dengan Root CA
Sasaran - Windows 2012R2
Saya sudah memasang Windows 2012R2 dan dikonfigurasikan secara minimum.
Pada mulanya, pelan tindakan adalah seperti berikut (tindakan yang dipendekkan):
1) Buat Backup CA+Private Key dan salin ke bahagian biasa untuk kedua-dua komputer
2) Alih keluar sasaran daripada domain dan tukar IP
3) Buat syot kilat pelayan
4) Tukar IP pada sumber
5) Kami pergi ke pelayan Windows 2012R2 baharu sebagai pentadbir - masukkannya ke dalam domain dengan nama yang sama dan tetapkan IP lama
6) Tetapkan peranan Perkhidmatan Sijil Direktori Aktif (CA, Pendaftaran Web CA, NDES, Responder Dalam Talian)
7) Kami menunjukkan bahawa ini ialah Enterprise CA
8) Pulihkan CA+Private Key daripada sandaran
9) Selamat Berakhir
Setuju, tidak ada yang rumit. Dan saya mula melaksanakannya. Malah, tiada masalah dan semuanya berjalan seperti jam... Perkhidmatan bermula, Templat Sijil muncul dan sijil itu sendiri muncul. Secara umum, semuanya OK. Jadi saya pergi ke katil. Pada waktu pagi tiada aduan mengenai kerja CA dan oleh itu saya menganggap bahawa semuanya berfungsi dan meneruskan tugas lain. Dalam proses menyelesaikannya, saya memerlukan sijil. Saya mencipta .csr dan mengikuti pautan itu untuk menandatangani dan menerima sijil dan pada peringkat ini ralat berlaku. Malangnya, saya tidak mengambil tangkapan skrin, tetapi ia mengatakan maklumat pengguna tidak sepadan dan beberapa ralat lain. Nah, di sini kita, saya fikir. Saya mula googling, tetapi malangnya saya tidak menemui apa-apa yang boleh difahami.
Pada sebelah petang kami memutuskan untuk mengalih keluar CA Windows 2012R2 dan memasang semua yang baharu, dan kemudian saya membuat kesilapan; bukannya Enterprise CA, saya memilih pilihan Standalone CA (walaupun saya mengetahui tentang kesilapan saya kemudian). Saya melakukan semua operasi sekali lagi... semuanya berjalan tanpa ralat - tetapi apabila saya memilih folder Templat Sijil, saya mendapat Element not found, walaupun jika saya memilih Urus, maka templat sudah tersedia.
Saya fikir tidak ada hak yang mencukupi untuk CN=Templat Sijil ini, jadi menggunakan Edit ADSI saya memberikan Baca untuk vm_ca$. Saya memulakan semula CertSvc dan... keputusan: Elemen tidak ditemui.
Kemudian saya berasa sedih kerana jam 2 pagi... dan CA tidak bekerja. Saya mematikan CA Windows 2012R2 dan memulihkan VM CA Windows 2008R2 daripada syot kilat. Saya mengembalikan pelayan kepada AD (kerana apabila saya cuba log masuk dengan akaun domain, ralat berlaku mengenai hubungan antara pelayan dan AD).
Baiklah, saya rasa... semuanya akan OK sekarang, tetapi malangnya... ia masih sama Templat Sijil - Saya mendapat Element not found. Saya akan meninggalkan semuanya sehingga pagi - kerana pagi lebih bijak daripada petang.
Pada waktu pagi saya google dan membaca pelbagai artikel - saya memutuskan untuk memasang semula CA pada pelayan lama dengan harapan dapat menyelesaikan masalah Element Not Found dan mengeluarkan sijil melalui Web.
Prosesnya agak mudah:
1) Padamkan peranan CA
2) Lebihan beban
3) Tunggu sehingga proses penyingkiran selesai
4) Tambahkan peranan CA (nyatakan CA, Pendaftaran Web CA, NDES, Responder Dalam Talian)
5) Kami menunjukkan bahawa saya mempunyai Enterprise CA dan saya mempunyai kunci peribadi
6) Kami menunggu pemasangan selesai dan memulihkan segala-galanya daripada sandaran yang kami buat pada awal-awal lagi.
7) Seperti biasa, semuanya berjalan lancar - tiada ralat dan perkhidmatan bermula
Dengan hati yang tenggelam, saya mengklik Templat Sijil - dan... Saya diberi senarai - ini sudah menjadi kemenangan kecil. Ia kekal untuk menyemak operasi pengeluaran sijil melalui Web. Saya mengikuti pautan: dan klik pada Minta Sijil dan kemudian permintaan sijil lanjutan... Saya nyatakan permintaan .csr dan menerima sijil siap sedia. Saya menghembus nafas... Ia adalah mungkin untuk memulihkan CA.
Kesimpulan:
1) Pastikan anda membuat sandaran dan syot kilat
2) Dokumentasikan tindakan anda - ini akan membantu anda mendapatkan semula segala-galanya atau mencari ralat dengan lebih cepat
Ps Saya perlu mencuba pemindahan CA dari Windows 2008R ke Windows 2012R2 sekali lagi.
Sumber: www.habr.com