Magandang hapon mahal na mambabasa,
Sasabihin ko sa iyo ang tungkol sa bangungot na pinagdaanan ko sa paglipat ng CA mula sa Windows 2008R2 patungo sa Windows 2012 R2. Mayroong maraming mga artikulo sa internet tungkol dito at hindi dapat magkaroon ng anumang mga problema.
Sa aking panghihinayang, hindi talaga ako isang Windows Admin, higit pa ako sa isang *nix admin, ngunit ang gawain ng paglilipat ng CA ay naitakda - kailangan itong gawin.
Sa ibaba ng hiwa, sasabihin ko sa iyo kung paano ko pinagdaanan ang prosesong ito at napunta sa isang hindi-medyo-HappyEnd.
At kaya tayo na...
Pinagmulan ng data:
Pinagmulan - Windows 2008 R2 na may Root CA
Target - Windows 2012R2
Mayroon na akong Windows 2012R2 na naka-install at minimally configured.
Sa una, ang plano ng aksyon ay ang mga sumusunod (mga pinaikling aksyon):
1) Gumawa ng Backup CA+Private Key at kopyahin ito sa isang karaniwang bahagi para sa parehong mga computer
2) Alisin ang target mula sa domain at baguhin ang IP
3) Gumawa ng snapshot ng server
4) Baguhin ang IP sa pinagmulan
5) Pumunta kami sa bagong server ng Windows 2012R2 bilang isang administrator - ipasok ito sa domain na may parehong pangalan at italaga ang lumang IP
6) Itakda ang tungkulin ng Active Directory Certificate Service (CA, CA Web Enrollment, NDES, Online Responder)
7) Ipinapahiwatig namin na ito ay Enterprise CA
8) Ibalik ang CA+Private Key mula sa backup
9) Maligayang Pagtatapos
Sumang-ayon, walang kumplikado. At sinimulan kong ipatupad ito. Sa katunayan, walang mga problema at ang lahat ay naging tulad ng orasan... Nagsimula ang serbisyo, lumitaw ang Mga Template ng Sertipiko at lumitaw ang mga sertipiko mismo. Sa pangkalahatan, ang lahat ay OK. Kaya humiga na ako. Sa umaga ay walang mga reklamo tungkol sa gawain ng CA at samakatuwid ay ipinapalagay ko na ang lahat ay gumagana at nagpatuloy sa iba pang mga gawain. Sa proseso ng paglutas sa kanila, kailangan ko ng isang sertipiko. Gumawa ako ng .csr at sinundan ang link na pumirma at tumanggap ng sertipiko at sa yugtong ito ay nagkaroon ng error. Sa kasamaang palad, hindi ako kumuha ng screenshot, ngunit sinabi nito na hindi tumutugma ang impormasyon ng user at ilang iba pang mga error. Well, nandito na tayo, naisip ko. Nagsimula akong mag-googling, ngunit sa kasamaang-palad ay wala akong nakitang anumang naiintindihan.
Sa gabi, nagpasya kaming alisin ang CA Windows 2012R2 at i-install ang lahat ng bago, at pagkatapos ay nagkamali ako; sa halip na Enterprise CA, pinili ko ang opsyon na Standalone CA (bagama't nalaman ko ang tungkol sa aking pagkakamali sa ibang pagkakataon). Ginawa ko muli ang lahat ng mga operasyon... napunta ang lahat nang walang mga error - ngunit kapag pinili ko ang folder ng Mga Template ng Sertipiko, nakukuha ko ang Element not found, bagama't kung pipiliin ko ang Manage, nasa lugar na ang mga template.
Naisip ko na walang sapat na karapatan para sa CN=Certificate Templates na ito, kaya gamit ang ADSI Edit ay nagbigay ako ng Read para sa vm_ca$. Ni-restart ko ang CertSvc at... resulta: Element not found.
Tapos nalungkot ako kasi 2 am na... at hindi gumagana ang CA. In-off ko ang CA Windows 2012R2 at nire-restore ang VM CA Windows 2008R2 mula sa snapshot. Ibinabalik ko ang server sa AD (dahil kapag sinubukan kong mag-log in gamit ang isang domain account, may naganap na error patungkol sa relasyon sa pagitan ng server at AD).
Well, sa tingin ko... magiging OK na ang lahat, pero sayang... pareho pa rin itong Mga Template ng Certificate - I get Element not found. Iiwan ko ang lahat hanggang sa umaga - dahil ang umaga ay mas matalino kaysa sa gabi.
Sa umaga ay nag-google ako at nagbasa ng iba't ibang mga artikulo - nagpasya akong muling i-install ang CA sa lumang server sa pag-asang malutas ang problema sa Element Not Found at mag-isyu ng mga sertipiko sa pamamagitan ng Web.
Ang proseso ay medyo simple:
1) Tanggalin ang tungkulin ng CA
2) Overload
3) Hintaying makumpleto ang proseso ng pag-alis
4) Idagdag ang tungkulin ng CA (tukuyin ang CA, CA Web Enrollment, NDES, Online Responder)
5) Isinasaad namin na mayroon akong Enterprise CA at mayroon akong pribadong key
6) Hinihintay namin na makumpleto ang pag-install at maibalik ang lahat mula sa backup na ginawa namin sa pinakadulo simula.
7) Gaya ng dati, ang lahat ay napupunta sa isang putok - walang mga error at nagsimula ang serbisyo
With a sinking heart, I click on Certificate Templates - and... Binigyan ako ng list - isa na itong maliit na tagumpay. Ito ay nananatiling suriin ang pagpapatakbo ng pag-isyu ng isang sertipiko sa pamamagitan ng Web. Sinusundan ko ang link: at i-click ang Humiling ng Sertipiko at pagkatapos ay advanced na kahilingan sa sertipiko... Tinukoy ko ang kahilingang .csr at nakatanggap ng handa na sertipiko. I exhale... Posibleng ibalik ang CA.
Konklusyon:
1) Tiyaking gumawa ng backup at snapshot
2) Idokumento ang iyong mga aksyon - makakatulong ito sa iyong maibalik ang lahat o mahanap ang error nang mas mabilis
Ps Kailangan kong subukan muli ang paglipat ng CA mula sa Windows 2008R patungo sa Windows 2012R2.
Pinagmulan: www.habr.com