Mirëmëngjes lexues i dashur,
Unë do t'ju tregoj për makthin që kalova duke migruar CA nga Windows 2008R2 në Windows 2012 R2. Ka shumë artikuj në internet në lidhje me këtë dhe nuk duhet të kishte ndonjë problem.
Për keqardhjen time, unë nuk jam vërtet një administrator i Windows, unë jam më shumë një administrator *nix, por detyra e migrimit të CA ishte vendosur - duhet bërë.
Më poshtë, unë do t'ju tregoj se si e kalova këtë proces dhe përfundova me një "HappyEnd" jo shumë.
Dhe kështu le të shkojmë ...
Të dhënat fillestare:
Burim - Windows 2008 R2 me Root CA
Synimi - Windows 2012R2
Unë tashmë kisha Windows 2012R2 të instaluar dhe të konfiguruar minimalisht.
Fillimisht, plani i veprimit ishte si më poshtë (veprimet e shkurtuara):
1) Krijoni një çelës rezervë CA+Private dhe kopjojeni atë në një ndarje të përbashkët për të dy kompjuterët
2) Hiq objektivin nga domeni dhe ndrysho IP
3) Bëni një fotografi të serverit
4) Ndryshoni IP-në në burim
5) Ne shkojmë te serveri i ri Windows 2012R2 si administrator - futeni atë në domenin me të njëjtin emër dhe caktoni IP-në e vjetër
6) Cakto rolin e Shërbimit të Certifikatës së Drejtorisë Active (CA, CA, Regjistrimi në ueb, NDES, Përgjigje Online)
7) Ne tregojmë se kjo është Ndërmarrja AK
8) Rivendos çelësin CA+Private nga rezervimi
9) Fund i lumtur
Pajtohem, nuk ka asgjë të komplikuar. Dhe fillova ta zbatoj. Në fakt, nuk kishte probleme dhe gjithçka shkoi si me orë... Shërbimi filloi, u shfaqën Modelet e certifikatave dhe u shfaqën vetë certifikatat. Në përgjithësi, gjithçka është në rregull. Kështu që shkova në shtrat. Në mëngjes nuk kishte ankesa për punën e AK-së dhe për këtë arsye supozova se gjithçka po funksiononte dhe vazhdova me punë të tjera. Në procesin e zgjidhjes së tyre, më duhej një certifikatë. Krijova një .csr dhe ndoqa lidhjen për të nënshkruar dhe marrë një certifikatë dhe në këtë fazë ka ndodhur një gabim. Fatkeqësisht, nuk bëra një pamje nga ekrani, por thoshte mospërputhje e informacionit të përdoruesit dhe disa gabime të tjera. Ja ku jemi, mendova. Fillova të google, por për fat të keq nuk gjeta asgjë të kuptueshme.
Në mbrëmje vendosëm të hiqnim CA Windows 2012R2 dhe të instalonim gjithçka të re, dhe më pas bëra një gabim; në vend të Enterprise CA, zgjodha opsionin Standalone CA (megjithëse mësova për gabimin tim më vonë). I bëra përsëri të gjitha operacionet... gjithçka shkoi pa gabime - por kur zgjedh dosjen Modelet e certifikatës, më del Elementi nuk u gjet, megjithëse nëse zgjedh Menaxho, atëherë shabllonet janë në vend.
Mendova se nuk kishte të drejta të mjaftueshme për këtë model CN=Certificate, kështu që duke përdorur ADSI Edit dhashë Read for vm_ca$. Rifillova CertSvc dhe... rezultati: Elementi nuk u gjet.
Pastaj u pikëllova sepse ishte ora 2 e mëngjesit... dhe CA nuk po punonte. Unë çaktivizoj CA Windows 2012R2 dhe rivendos VM CA Windows 2008R2 nga fotografia. Po e kthej serverin në AD (sepse kur përpiqem të identifikohem me një llogari domeni, ndodh një gabim në lidhje me marrëdhënien midis serverit dhe AD).
Epo, unë mendoj se ... gjithçka do të jetë në rregull tani, por mjerisht ... janë ende të njëjtat modele certifikatash - Unë marr që Elementi nuk u gjet. Do të lë gjithçka deri në mëngjes - sepse mëngjesi është më i mençur se mbrëmja.
Në mëngjes kërkova google dhe lexova artikuj të ndryshëm - vendosa të riinstaloj CA në serverin e vjetër me shpresën për të zgjidhur problemin e Elementit nuk u gjet dhe për të lëshuar certifikata përmes Uebit.
Procesi është mjaft i thjeshtë:
1) Fshini rolin CA
2) Mbingarkesa
3) Prisni që procesi i heqjes të përfundojë
4) Shtoni rolin CA (specifikoni CA, Regjistrimi në ueb i CA, NDES, Përgjigja në internet)
5) Ne tregojmë se kam një AK të Ndërmarrjes dhe kam një çelës privat
6) Ne presim që instalimi të përfundojë dhe të rivendosim gjithçka nga rezervimi që kemi bërë që në fillim.
7) Si zakonisht, gjithçka shkon me një zhurmë - pa gabime dhe shërbimi filloi
Me një zemër të zhytur, unë klikoj në Modelet e Certifikatave - dhe... Më dhanë një listë - kjo është tashmë një fitore e vogël. Mbetet për të kontrolluar funksionimin e lëshimit të një certifikate përmes Uebit. Unë ndjek lidhjen: dhe klikoni në Request a Certificate dhe më pas kërkesë për certifikatë të avancuar... Unë specifikoj kërkesën .csr dhe marr një certifikatë të gatshme. E nxjerr frymën... Ishte e mundur të rivendosja CA.
Konkluzione:
1) Sigurohuni që të bëni një kopje rezervë dhe fotografi
2) Dokumentoni veprimet tuaja - kjo do t'ju ndihmojë të riktheni gjithçka ose ta gjeni më shpejt gabimin
Ps Më duhet të provoj përsëri migrimin CA nga Windows 2008R në Windows 2012R2.
Burimi: www.habr.com