Всем привет!

Продолжаем “избавляться” от Windows Server 2003. Сегодня расмотрим процедуру миграции центра сертификации (CA).

Note: имена исходного и целевого сервера различны. Наименование CA ,конечно, не меняется.

Шаг 1. Резервное копирование БД CA и его конфигурации

Заходим на Windows Server 2003 , откройте Certification Authority > Back up CA..

ca_transfer_2003_to_2008_1

Ознакомьтесь со стартовым экраном визарда и нажмите Next

ca_transfer_2003_to_2008_2

Ставим чекбоксы на Private key and CA certificate + Certificate database and certificate database log ,

определяем локацию для резервной копии CA и жмем Next

ca_transfer_2003_to_2008_3

Определяем пароль для закрытого ключа и жмем Next

ca_transfer_2003_to_2008_4

Проверяем результат и жмем Finish

ca_transfer_2003_to_2008_5

Пуск – Выполнить (win+r) – Regedit

Переходим в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\

Правый клик на Configuration и жмем Export

ca_transfer_2003_to_2008_6

Определяем локацию для сохранения reg-файла и жмем Save

ca_transfer_2003_to_2008_7

На этом шаг 1 завершен. Перейдем к процессу удаления служб сертификации windows server 2003

Шаг 2. Удаление служб сертификации на исходном сервере

Переходим в Add or Remove Programs –> Add/Remove Windows Components и снимаем галку на Certificate Services

Жмем Next

ca_transfer_2003_to_2008_8

Процесс удаления выполняется.

ca_transfer_2003_to_2008_9

Иногда необходимо предоставить диск с Windows Server 2003/SP2 для успешной конфигурации (в моём случае было именно так)

ca_transfer_2003_to_2008_10

Все прошло гладко. Жмем Finish

ca_transfer_2003_to_2008_12

Шаг 3. Установка служб сертификации на целевом сервере

Server Manager –> Add or Remove Roles , выбираем Active Directory Certificate Services

ca_transfer_2003_to_2008_13

Читаем доп.информацию, жмем Next

ca_transfer_2003_to_2008_14

Для стандартной конфигурации выбираем базовый Certification Authority + Certification Authority Web Enrollment

ca_transfer_2003_to_2008_15

Переносим Root CA Ent = делаем на целевом сервере Enterprise CA

ca_transfer_2003_to_2008_16

Тут определяем что CA будет Root’овым

ca_transfer_2003_to_2008_17

У нас есть Private Key (шаг 1),- поэтому выбираем Use Existing Private Key

ca_transfer_2003_to_2008_18

На следующем этапе выбираем PFX-файл и импортируем его

ca_transfer_2003_to_2008_19

ca_transfer_2003_to_2008_20

Ознакомляемся и жмем Next

ca_transfer_2003_to_2008_21

Компоненты IIS оставляем по умолчанию

ca_transfer_2003_to_2008_22

Проверяем сводную информацию и жмем Install

ca_transfer_2003_to_2008_23

Проверяем, что установка завершилась успешно и переходим к следующему этапу

ca_transfer_2003_to_2008_24

Шаг 4. Восстановление CA на целевом сервере

Пуск – выполнить (win+r) – certsrv.msc

ca_transfer_2003_to_2008_25

Правый клик на имени CA –> All Tasks –> Restore CA

ca_transfer_2003_to_2008_26

Останавливаем службы ЦС

ca_transfer_2003_to_2008_27

Жмем Next

ca_transfer_2003_to_2008_28

Вставляем путь до резервной копии, галочки на Private key.. и Certificate database

ca_transfer_2003_to_2008_29

Вводим пароль, определенный на шаге 1

ca_transfer_2003_to_2008_30

Проверяем и жмем Finish

ca_transfer_2003_to_2008_31

В появившемся окне жмем No. Службы запустим чуть позже

ca_transfer_2003_to_2008_32

Переходим к reg-файлу и запускаем его

ca_transfer_2003_to_2008_33

Опционально:

Перевыпустите Certificate Templates (если имеются custom)

certsrv.mmc –> certificate templates- правый клик –> new –> certificate template to issue

выбираем нужный шаблон и жмем OK

ca_transfer_2003_to_2008_34

Проверка:

https://technet.microsoft.com/en-us/library/ee126164(v=ws.10).aspx

Процесс миграции CA в целом схож и может быть применим для миграции в других средах.

Смежные статьи:

Дополнительные ссылки:

https://technet.microsoft.com/en-us/library/ee126170(v=ws.10).aspx