Chào buổi chiều quý độc giả thân mến,
Tôi sẽ kể cho bạn nghe về cơn ác mộng mà tôi đã trải qua khi di chuyển CA từ Windows 2008R2 sang Windows 2012 R2. Có rất nhiều bài viết trên internet về vấn đề này và lẽ ra không có vấn đề gì.
Tôi rất tiếc, tôi không thực sự là Quản trị viên Windows, tôi giống quản trị viên *nix hơn, nhưng nhiệm vụ di chuyển CA đã được đặt ra - việc này cần phải được thực hiện.
Bên dưới phần cắt, tôi sẽ cho bạn biết tôi đã trải qua quá trình này như thế nào và kết thúc với một End không mấy vui vẻ.
Và thế là chúng ta hãy đi...
Dữ liệu nguồn:
Nguồn - Windows 2008 R2 với Root CA
Mục tiêu - Windows 2012R2
Tôi đã cài đặt và cấu hình tối thiểu Windows 2012R2.
Ban đầu, kế hoạch hành động như sau (hành động rút gọn):
1) Tạo CA+Khóa riêng dự phòng và sao chép nó vào thư mục chia sẻ chung cho cả hai máy tính
2) Xóa mục tiêu khỏi miền và thay đổi IP
3) Tạo ảnh chụp nhanh của máy chủ
4) Thay đổi IP tại nguồn
5) Chúng tôi truy cập máy chủ Windows 2012R2 mới với tư cách quản trị viên - nhập nó vào miền có cùng tên và gán IP cũ
6) Đặt vai trò Dịch vụ chứng chỉ Active Directory (CA, Đăng ký web CA, NDES, Phản hồi trực tuyến)
7) Chúng tôi chỉ ra rằng đây là CA doanh nghiệp
8) Khôi phục CA+Khóa riêng từ bản sao lưu
9) Kết thúc có hậu
Đồng ý, không có gì phức tạp. Và tôi bắt đầu thực hiện nó. Trên thực tế, không có vấn đề gì và mọi thứ diễn ra như kim đồng hồ... Dịch vụ bắt đầu, Mẫu chứng chỉ xuất hiện và chính chứng chỉ xuất hiện. Nói chung mọi thứ đều ổn. Thế là tôi đi ngủ. Vào buổi sáng, không có phàn nàn nào về công việc của CA nên tôi cho rằng mọi thứ đều ổn và tiến hành các nhiệm vụ khác. Trong quá trình giải quyết chúng, tôi cần có chứng chỉ. Tôi đã tạo một .csr và theo liên kết để ký và nhận chứng chỉ và ở giai đoạn này đã xảy ra lỗi. Rất tiếc là mình không chụp ảnh màn hình mà nó báo thông tin người dùng không khớp và một số lỗi khác. Chà, chúng ta ở đây rồi, tôi nghĩ. Tôi bắt đầu tìm kiếm trên Google, nhưng tiếc là tôi không tìm thấy điều gì dễ hiểu.
Vào buổi tối, chúng tôi quyết định xóa CA Windows 2012R2 và cài đặt mọi thứ mới, nhưng sau đó tôi đã mắc lỗi; thay vì Enterprise CA, tôi đã chọn tùy chọn CA độc lập (mặc dù sau đó tôi đã biết về lỗi của mình). Tôi đã thực hiện lại tất cả các thao tác... mọi thứ đều diễn ra không có lỗi - nhưng khi tôi chọn thư mục Mẫu chứng chỉ, tôi không tìm thấy Phần tử, mặc dù nếu tôi chọn Quản lý thì các mẫu đã được đặt đúng chỗ.
Tôi nghĩ rằng không có đủ quyền đối với CN=Mẫu chứng chỉ này, vì vậy bằng cách sử dụng Chỉnh sửa ADSI, tôi đã đưa ra Đọc cho vm_ca$. Tôi đã khởi động lại CertSvc và... kết quả: Không tìm thấy phần tử.
Sau đó tôi cảm thấy buồn vì lúc đó đã 2 giờ sáng... và CA không hoạt động. Tôi tắt CA Windows 2012R2 và khôi phục VM CA Windows 2008R2 từ ảnh chụp nhanh. Tôi đang trả lại máy chủ cho AD (vì khi đăng nhập bằng tài khoản miền thì gặp lỗi về mối quan hệ giữa máy chủ và AD).
Chà, tôi nghĩ... bây giờ mọi thứ sẽ ổn, nhưng than ôi... nó vẫn giống như các Mẫu Chứng chỉ - tôi không tìm thấy Phần tử. Tôi sẽ để lại mọi việc cho đến sáng - vì buổi sáng khôn ngoan hơn buổi tối.
Vào buổi sáng, tôi đã tìm kiếm và đọc nhiều bài báo khác nhau - tôi quyết định cài đặt lại CA trên máy chủ cũ với hy vọng giải quyết được vấn đề Không tìm thấy phần tử và cấp chứng chỉ qua Web.
Quá trình này khá đơn giản:
1) Xóa vai trò CA
2) Quá tải
3) Đợi quá trình gỡ bỏ hoàn tất
4) Thêm vai trò CA (chỉ định CA, Đăng ký web CA, NDES, Phản hồi trực tuyến)
5) Chúng tôi cho biết rằng tôi có CA doanh nghiệp và tôi có khóa riêng
6) Chúng tôi đợi quá trình cài đặt hoàn tất và khôi phục mọi thứ từ bản sao lưu mà chúng tôi đã thực hiện ngay từ đầu.
7) Như thường lệ, mọi thứ diễn ra suôn sẻ - không có lỗi và dịch vụ đã bắt đầu
Với trái tim chìm đắm, tôi nhấp vào Mẫu chứng chỉ - và... tôi nhận được một danh sách - đây đã là một chiến thắng nhỏ rồi. Vẫn còn phải kiểm tra hoạt động cấp chứng chỉ qua Web. Tôi theo liên kết: và nhấp vào Yêu cầu chứng chỉ rồi yêu cầu chứng chỉ nâng cao... Tôi chỉ định yêu cầu .csr và nhận chứng chỉ được tạo sẵn. Tôi thở ra... Đã có thể khôi phục CA.
Kết luận:
1) Đảm bảo tạo bản sao lưu và ảnh chụp nhanh
2) Ghi lại hành động của bạn - điều này sẽ giúp bạn lấy lại mọi thứ hoặc tìm ra lỗi nhanh hơn
Ps Tôi phải thử di chuyển CA từ Windows 2008R sang Windows 2012R2 một lần nữa.
Nguồn: www.habr.com