none
Перенос подчиненного центра сертификации в домене RRS feed

  • Вопрос

  • Планирую перенос ПОДЧИНЕННОГО Центра Сертификации c 2008R2 на 2016. Везде в интернете ссылки на перенос корневого ЦС. Как я понимаю это связано с привязкой ЦС к имени сервера. Но если я удалю старый сервер предварительно из домена с архивацией всех данных. Поможет ли это восстановлению? Или необходимо сначала поднять новый а потом удалять старый?

    Подскажите это возможно или нет в принципе и если есть киньте ссылку как это сделать?

    Спасибо.
    30 августа 2018 г. 0:41

Ответы

  • В общем все можно делать обычной миграцией. НО есть нюансы.

    1. если у Вас виртуальная машина - скопируйте жесткий диск перед любыми действиями (если вдруг нужен будет работающий ЦС - создайте машину без подключения к сети) и вас будет РАБОТАЮЩИЙ исходник.

    2. При архивации, обязательно проверить создалась ли в архивном каталоге база данных. Лучше продублировать ручками Certutil.exe –backupdb Backup_Catalog и Certutil.exe –backupkey Backup_Catalog.

    3. Если мигрируете не ставьте на новую машину роли центра сертификации пока не удалите старый ЦС из домена, а новой не дадите имя старого ЦС.

    Все остальное можно считать мелочами. Идеально иметь тестовую среду - но не у всех есть возможности такие к сожалению.

    • Помечено в качестве ответа Vok Chaks 4 сентября 2018 г. 8:00
    4 сентября 2018 г. 7:59

Все ответы

  • Прошу прощения, а что вам мешает просто развернуть дополнительный Subordinate Enterprise CA и сделать общую "точку" для CDP и AIA? В чём заключается сложность?

    Вот эта статья может быть полезной - https://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx#Install_Subordinate_Issuing_CA

    30 августа 2018 г. 6:04
  • Спасибо за статью.

    Вы наверное правы. Ничего не мешает, но вот почему-то кажется, что  переносом шаблонов и политик сертификации могут быть проблемы (хотя не факт) - просто не делал так еще никогда - поэтому не знаю.

    30 августа 2018 г. 7:51
  • Если не горит по срокам, то обкатайте в тестовой среде, заодно может что ещё всплывёт, ведь у всех инфраструктура разная - нюансы, требования, сервисы...
    30 августа 2018 г. 7:53
  • В общем все можно делать обычной миграцией. НО есть нюансы.

    1. если у Вас виртуальная машина - скопируйте жесткий диск перед любыми действиями (если вдруг нужен будет работающий ЦС - создайте машину без подключения к сети) и вас будет РАБОТАЮЩИЙ исходник.

    2. При архивации, обязательно проверить создалась ли в архивном каталоге база данных. Лучше продублировать ручками Certutil.exe –backupdb Backup_Catalog и Certutil.exe –backupkey Backup_Catalog.

    3. Если мигрируете не ставьте на новую машину роли центра сертификации пока не удалите старый ЦС из домена, а новой не дадите имя старого ЦС.

    Все остальное можно считать мелочами. Идеально иметь тестовую среду - но не у всех есть возможности такие к сожалению.

    • Помечено в качестве ответа Vok Chaks 4 сентября 2018 г. 8:00
    4 сентября 2018 г. 7:59