Boa tarde caro leitor,
Vou contar a vocês sobre o pesadelo que passei ao migrar o CA do Windows 2008R2 para o Windows 2012 R2. Existem muitos artigos na internet sobre isso e não deveria haver problemas.
Para minha tristeza, não sou realmente um administrador do Windows, sou mais um administrador *nix, mas a tarefa de migração da CA foi definida - ela precisa ser feita.
Abaixo do corte, contarei como passei por esse processo e acabei com um final não exatamente feliz.
E então vamos lá ...
Linha de base:
Fonte - Windows 2008 R2 com CA raiz
Alvo -janelas 2012R2
Já tinha o Windows 2012R2 instalado e minimamente configurado.
Inicialmente, o plano de ação era o seguinte (ações abreviadas):
1) Faça um backup CA+chave privada e copie-o para um compartilhamento comum para ambos os computadores
2) Remova o alvo do domínio e altere o IP
3) Faça um snapshot do servidor
4) Altere o IP na origem
5) Vamos para o novo servidor Windows 2012R2 como administrador - insira-o no domínio com o mesmo nome e atribua o IP antigo
6) Defina a função do serviço de certificado do Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) Indicamos que se trata de Enterprise CA
8) Restaurar CA+chave privada do backup
9) Final feliz
Concordo, não há nada complicado. E comecei a implementá-lo. Na verdade, não houve problemas e tudo funcionou como um relógio... O serviço foi iniciado, os Modelos de Certificados apareceram e os próprios certificados apareceram. Em geral, está tudo bem. Então fui para a cama. Pela manhã não houve reclamações sobre o trabalho do CA e por isso assumi que tudo estava funcionando e segui para outras tarefas. No processo de resolvê-los, precisei de um certificado. Criei um .csr e segui o link para assinar e receber um certificado e nesta fase ocorreu um erro. Infelizmente, não fiz uma captura de tela, mas ela dizia informações do usuário incompatíveis e alguns outros erros. Bem, aqui estamos, pensei. Comecei a pesquisar no Google, mas infelizmente não encontrei nada inteligível.
À noite, decidimos remover o CA Windows 2012R2 e instalar tudo novo, e então cometi um erro; em vez do Enterprise CA, selecionei a opção Standalone CA (embora tenha aprendido sobre meu erro mais tarde). Fiz todas as operações novamente... tudo correu sem erros - mas quando seleciono a pasta Modelos de Certificado, recebo Elemento não encontrado, embora se eu selecionar Gerenciar, os modelos estarão no lugar.
Achei que não havia direitos suficientes para este CN=Certificate Templates, então usando ADSI Edit dei Read para vm_ca$. Reiniciei o CertSvc e... resultado: Elemento não encontrado.
Aí fiquei triste porque eram 2 da manhã... e o CA não estava funcionando. Desativo o CA Windows 2012R2 e restauro o VM CA Windows 2008R2 a partir do instantâneo. Estou retornando o servidor para o AD (pois quando tento fazer login com uma conta de domínio ocorre um erro quanto ao relacionamento entre o servidor e o AD).
Bem, eu acho... que tudo ficará bem agora, mas, infelizmente... ainda são os mesmos modelos de certificado - recebo Elemento não encontrado. Deixarei tudo até de manhã - pois a manhã é mais sábia que a noite.
De manhã pesquisei no Google e li vários artigos - decidi reinstalar o CA no servidor antigo na esperança de resolver o problema do Elemento Não Encontrado e emitir certificados via Web.
O processo é bem simples:
1) Exclua a função CA
2) Sobrecarga
3) Aguarde a conclusão do processo de remoção
4) Adicione a função CA (especifique CA, CA Web Enrollment, NDES, Online Responder)
5) Indicamos que possuo uma CA Corporativa e possuo uma chave privada
6) Esperamos a conclusão da instalação e restauramos tudo do backup que fizemos no início.
7) Como sempre, tudo corre com força - sem erros e o serviço foi iniciado
Com o coração apertado, clico em Modelos de Certificado - e... recebi uma lista - isso já é uma pequena vitória. Resta verificar o funcionamento da emissão de certificado via Web. Eu sigo o link: e clique em Solicitar um certificado e depois em solicitação avançada de certificado... Especifico a solicitação .csr e recebo um certificado pronto. Eu exalo... Foi possível restaurar o CA.
Conclusões:
1) Certifique-se de fazer um backup e um instantâneo
2) Documente suas ações - isso o ajudará a recuperar tudo ou encontrar o erro mais rapidamente
Ps, tenho que tentar a migração da CA do Windows 2008R para o Windows 2012R2 novamente.
Fonte: habr.com