亲爱的读者下午好,
我将告诉您我将 CA 从 Windows 2008R2 迁移到 Windows 2012 R2 时经历的噩梦。 网上有很多关于这方面的文章,应该没有任何问题。
遗憾的是,我并不是真正的 Windows 管理员,我更像是 *nix 管理员,但 CA 迁移的任务已经确定 - 需要完成。
在剪辑下方,我将告诉你我是如何经历这个过程并最终得到一个不太幸福的结局的。
所以我们出发...
背景:
源 - 带根 CA 的 Windows 2008 R2
目标 - Windows 2012R2
我已经安装了 Windows 2012R2 并进行了最低配置。
最初,行动计划如下(缩短行动):
1) 制作备份 CA+私钥并将其复制到两台计算机的公共共享
2)从域中删除目标并更改IP
3)制作服务器快照
4)修改源IP
5)我们以管理员身份进入新的Windows 2012R2服务器-将其输入到具有相同名称的域并分配旧IP
6) 设置 Active Directory 证书服务角色(CA、CA Web 注册、NDES、在线响应程序)
7)我们表明这是企业CA
8) 从备份中恢复CA+私钥
9) 幸福的结局
同意,没有什么复杂的。 我开始实施它。 事实上,没有任何问题,一切都进展顺利...服务启动,证书模板出现,证书本身也出现。 总的来说,一切都很好。 于是我就去睡觉了。 早上没有人抱怨 CA 的工作,因此我认为一切正常并继续执行其他任务。 在解决这些问题的过程中,我需要一个证书。 我创建了一个 .csr 并点击了链接 签署并接收证书,但在此阶段发生错误。 不幸的是,我没有截图,但它说用户信息不匹配和其他一些错误。 好吧,我们到了,我想。 我开始谷歌搜索,但不幸的是我没有找到任何可以理解的东西。
晚上,我们决定删除 CA Windows 2012R2 并安装所有新内容,然后我犯了一个错误;我没有选择企业 CA,而是选择了独立 CA 选项(尽管我后来才知道我的错误)。 我再次执行了所有操作...一切都没有错误 - 但是当我选择证书模板文件夹时,我得到“未找到元素”,尽管如果我选择“管理”,则模板就位。
我认为这个 CN=Certificate Templates 没有足够的权限,因此使用 ADSI Edit 我为 vm_ca$ 提供了 Read。 我重新启动 CertSvc 并...结果:找不到元素。
然后我感到很难过,因为那是凌晨 2 点……CA 不工作。 我关闭 CA Windows 2012R2 并从快照还原 VM CA Windows 2008R2。 我正在将服务器返回到 AD(因为当我尝试使用域帐户登录时,服务器和 AD 之间的关系会发生错误)。
好吧,我想...现在一切都会好起来,但是唉...它仍然是相同的证书模板 - 我找不到元素。 我会把一切都留到早上——因为早晨比晚上更明智。
早上我用谷歌搜索并阅读了各种文章 - 我决定在旧服务器上重新安装 CA,希望解决 Element Not Found 问题并通过 Web 颁发证书。
过程非常简单:
1)删除CA角色
2) 过载
3)等待删除过程完成
4) 添加CA角色(指定CA、CA Web Enrollment、NDES、Online Responder)
5)我们表明我有一个企业CA并且我有一个私钥
6)我们等待安装完成并从我们一开始所做的备份中恢复所有内容。
7) 和往常一样,一切都很顺利——没有错误,服务启动了
我怀着一颗沉沉的心,点击了证书模板——然后……我得到了一份清单——这已经是一个小小的胜利了。 剩下的就是检查通过Web 颁发证书的操作。 我点击链接: 然后单击请求证书,然后单击高级证书请求...我指定 .csr 请求并收到现成的证书。 我呼出一口气……可以恢复CA了。
结论:
1)一定要做好备份和快照
2) 记录您的操作 - 这将帮助您恢复所有内容或更快地找到错误
Ps 我必须再次尝试从 Windows 2008R 到 Windows 2012R2 的 CA 迁移。
来源: habr.com