Xayrli kun aziz o'quvchi,
CAni Windows 2008R2 dan Windows 2012 R2 ga ko'chirishda boshimdan kechirgan dahshatli tush haqida aytib beraman. Internetda bu haqda juda ko'p maqolalar mavjud va hech qanday muammo bo'lmasligi kerak edi.
Afsuski, men Windows administratori emasman, men ko'proq * nix administratoriman, lekin CA migratsiyasi vazifasi qo'yilgan - buni qilish kerak.
Kesish ostida men bu jarayonni qanday boshdan kechirganimni va unchalik ham baxtli bo'lmaganligimni aytib beraman.
Va shuning uchun ketaylik ...
Dastlabki ma'lumotlar:
manba - Root CA bilan Windows 2008 R2
Maqsad - Windows 2012R2
Menda allaqachon Windows 2012R2 o'rnatilgan va minimal darajada tuzilgan.
Dastlab, harakatlar rejasi quyidagicha edi (qisqartirilgan harakatlar):
1) Zaxira CA + Maxfiy kalitni yarating va uni ikkala kompyuter uchun umumiy ulushga nusxalang
2) Domendan maqsadni olib tashlang va IP-ni o'zgartiring
3) Serverning suratini yarating
4) IP manzilini manbada o'zgartiring
5) Biz yangi Windows 2012R2 serveriga administrator sifatida o'tamiz - uni xuddi shu nom bilan domenga kiriting va eski IP-ni belgilang.
6) Active Directory sertifikat xizmati rolini o'rnating (CA, CA Web Enrollment, NDES, Online Responder)
7) Biz bu Enterprise CA ekanligini ko'rsatamiz
8) CA+Private Key-ni zaxiradan tiklang
9) Baxtli yakun
Qabul qiling, hech qanday murakkab narsa yo'q. Va men uni amalga oshirishni boshladim. Aslida, hech qanday muammo yo'q edi va hamma narsa soat kabi o'tdi ... Xizmat boshlandi, Sertifikat shablonlari paydo bo'ldi va sertifikatlarning o'zi paydo bo'ldi. Umuman olganda, hammasi joyida. Shunday qilib, men yotishga bordim. Ertalab CA ishi haqida hech qanday shikoyatlar yo'q edi va shuning uchun men hamma narsa ishlayotgan deb o'yladim va boshqa vazifalarga o'tdim. Ularni hal qilish jarayonida menga sertifikat kerak edi. Men .csr yaratdim va havolaga amal qildim sertifikatni imzolash va olish va bu bosqichda xatolik yuz berdi. Afsuski, men skrinshot olmadim, lekin u foydalanuvchi ma'lumotlarining mos kelmasligi va boshqa xatolar haqida gapirdi. Xo'sh, biz keldik, men o'yladim. Men googlingni boshladim, lekin afsuski, tushunarli narsa topolmadim.
Kechqurun biz CA Windows 2012R2-ni olib tashlashga va hamma narsani yangisini o'rnatishga qaror qildik, keyin men xatoga yo'l qo'ydim; Enterprise CA o'rniga men Standalone CA variantini tanladim (garchi men xato haqida keyinroq bilib oldim). Men yana barcha amallarni bajardim... hammasi xatosiz o‘tdi – lekin men Sertifikat shablonlari papkasini tanlaganimda Element topilmadi deb chiqaman, garchi “Menejment” ni tanlasam, shablonlar joyida.
Men bu CN=Sertifikat shablonlari uchun yetarli huquqlar yoʻq deb oʻyladim, shuning uchun ADSI Editdan foydalanib, vm_ca$ uchun oʻqishni berdim. Men CertSvc-ni qayta ishga tushirdim va... natija: Element topilmadi.
Keyin men xafa bo'ldim, chunki soat 2 edi ... va CA ishlamayapti. Men CA Windows 2012R2-ni o'chirib qo'yaman va VM CA Windows 2008R2-ni suratdan tiklayman. Men serverni AD ga qaytaryapman (chunki domen hisobi bilan tizimga kirishga harakat qilganimda server va AD o'rtasidagi munosabatda xatolik yuz beradi).
Xo'sh, menimcha ... hozir hammasi yaxshi bo'ladi, lekin afsuski ... bu hali ham bir xil sertifikat shablonlari - Element topilmadi. Men hamma narsani ertalabgacha qoldiraman - chunki ertalab kechqurundan donoroq.
Ertalab men Google'da qidirib, turli maqolalarni o'qib chiqdim - Element Not Found muammosini hal qilish va Internet orqali sertifikatlar berish umidida CAni eski serverga qayta o'rnatishga qaror qildim.
Jarayon juda oddiy:
1) CA rolini o'chiring
2) Haddan tashqari yuk
3) O'chirish jarayoni tugashini kuting
4) CA rolini qo'shing (CA, CA Web Enrollment, NDES, Online Responderni belgilang)
5) Menda Enterprise CA va shaxsiy kalitim borligini bildiramiz
6) O'rnatish tugashini kutamiz va boshida qilgan zaxira nusxamizdan hamma narsani tiklaymiz.
7) Odatdagidek, hamma narsa portlash bilan ketadi - hech qanday xatolik yo'q va xizmat boshlandi
Cho'kayotgan yurak bilan men Sertifikat shablonlarini bosaman - va ... menga ro'yxat berishdi - bu allaqachon kichik g'alaba. Internet orqali sertifikat berish jarayonini tekshirish qoladi. Men havolaga amal qilaman: va Sertifikat so'rash va keyin kengaytirilgan sertifikat so'rovini bosing... Men .csr so'rovini belgilayman va tayyor sertifikatni olaman. Men nafas olaman ... CAni tiklash mumkin edi.
Natijalar:
1) Zaxira nusxasini va suratni yaratishga ishonch hosil qiling
2) Harakatlaringizni hujjatlang - bu sizga hamma narsani qaytarishga yoki xatoni tezroq topishga yordam beradi
Ps Windows 2008R dan Windows 2012R2 ga CA ni o'tkazishni qaytadan sinab ko'rishim kerak.
Manba: www.habr.com