God ettermiddag kjære leser,
Jeg skal fortelle deg om marerittet jeg gikk gjennom å migrere CA fra Windows 2008R2 til Windows 2012 R2. Det er mange artikler på internett om dette, og det burde ikke ha vært noen problemer.
Til min beklagelse er jeg egentlig ikke en Windows-administrator, jeg er mer en *nix-administrator, men oppgaven med CA-migrering var satt - den må gjøres.
Under snittet skal jeg fortelle deg hvordan jeg gikk gjennom denne prosessen og endte opp med en ikke-helt-HappyEnd.
Og så la oss gå...
Innledende data:
Kilde - Windows 2008 R2 med Root CA
Mål - Windows 2012R2
Jeg hadde allerede Windows 2012R2 installert og minimalt konfigurert.
I utgangspunktet var handlingsplanen som følger (forkortede handlinger):
1) Lag en sikkerhetskopi-CA+privatnøkkel og kopier den til en felles deling for begge datamaskinene
2) Fjern målet fra domenet og endre IP
3) Lag et øyeblikksbilde av serveren
4) Endre IP ved kilden
5) Vi går til den nye Windows 2012R2-serveren som administrator - skriv den inn i domenet med samme navn og tilordne den gamle IP-en
6) Angi Active Directory Certificate Service-rollen (CA, CA Web Enrollment, NDES, Online Responder)
7) Vi indikerer at dette er Enterprise CA
8) Gjenopprett CA+Privatnøkkel fra sikkerhetskopi
9) Happy End
Enig, det er ikke noe komplisert. Og jeg begynte å implementere det. Faktisk var det ingen problemer og alt gikk som smurt... Tjenesten startet, sertifikatmaler dukket opp og selve sertifikatene dukket opp. Generelt er alt OK. Så jeg la meg. På morgenen var det ingen klager på arbeidet til CA og derfor antok jeg at alt fungerte og gikk videre til andre oppgaver. I prosessen med å løse dem, trengte jeg et sertifikat. Jeg opprettet en .csr og fulgte linken for å signere og motta et sertifikat, og på dette stadiet oppstod det en feil. Dessverre tok jeg ikke et skjermbilde, men det sto feilaktig brukerinformasjon og noen andre feil. Vel, her er vi, tenkte jeg. Jeg begynte å google, men fant dessverre ikke noe forståelig.
På kvelden bestemte vi oss for å fjerne CA Windows 2012R2 og installere alt nytt, og så gjorde jeg en feil; i stedet for Enterprise CA valgte jeg alternativet Frittstående CA (selv om jeg fikk vite om feilen min senere). Jeg gjorde alle operasjonene på nytt... alt gikk uten feil - men når jeg velger mappen Certificate Templates får jeg Element not found, men hvis jeg velger Manage, så er malene på plass.
Jeg trodde at det ikke var nok rettigheter for denne CN=Certificate Templates, så ved å bruke ADSI Edit ga jeg Read for vm_ca$. Jeg startet CertSvc på nytt og... resultat: Element ikke funnet.
Da følte jeg meg trist fordi klokken var 2... og CA fungerte ikke. Jeg slår av CA Windows 2012R2 og gjenoppretter VM CA Windows 2008R2 fra øyeblikksbilde. Jeg returnerer serveren til AD (fordi når jeg prøver å logge på med en domenekonto, oppstår det en feil angående forholdet mellom serveren og AD).
Vel, jeg tror ... alt vil være i orden nå, men dessverre ... det er fortsatt de samme sertifikatmalene - jeg får Element ikke funnet. Jeg lar alt ligge til morgenen - for morgenen er klokere enn kvelden.
Om morgenen googlet jeg og leste forskjellige artikler - jeg bestemte meg for å reinstallere CA på den gamle serveren i håp om å løse Element Not Found-problemet og utstede sertifikater via nettet.
Prosessen er ganske enkel:
1) Slett CA-rollen
2) Overbelastning
3) Vent til fjerningsprosessen er fullført
4) Legg til CA-rollen (spesifiser CA, CA Web Enrollment, NDES, Online Responder)
5) Vi indikerer at jeg har en Enterprise CA og jeg har en privat nøkkel
6) Vi venter på at installasjonen skal fullføres og gjenoppretter alt fra sikkerhetskopien som vi laget helt i begynnelsen.
7) Som vanlig går alt med et smell - ingen feil og tjenesten startet
Med et synkende hjerte klikker jeg på Sertifikatmaler - og... Jeg fikk en liste - dette er allerede en liten seier. Det gjenstår å kontrollere driften av å utstede et sertifikat via nettet. Jeg følger linken: og klikk på Be om et sertifikat og deretter på avansert sertifikatforespørsel... Jeg spesifiserer .csr-forespørselen og mottar et ferdig sertifikat. Jeg puster ut... Det var mulig å gjenopprette CA.
Konklusjoner:
1) Sørg for å lage en sikkerhetskopi og et øyeblikksbilde
2) Dokumenter handlingene dine - dette vil hjelpe deg å få alt tilbake eller finne feilen raskere
Ps jeg må prøve CA-migrering fra Windows 2008R til Windows 2012R2 igjen.
Kilde: www.habr.com