none
Миграция Enterprise Root CA с Windows 2003 на Windows 2012 R2 (все сервера в AD, не standalone) RRS feed

  • Общие обсуждения

  • Уважаемые эксперты,

    Я не эксперт в Certificate Authority, поэтому буду очень благодарен вашему совету. У нас в данный момент есть 2 Certificate Authority сервера. Один из них Enterprise Root CA (на Windows 2003, 32 bits), и второй Enterprise Subordinate CA (на Windows 2008 R2). Мы хотим upgrade Enterprise Root CA сервер с Windows 2003 на Windows 2012 R2.


    rootCA-w2003svr (Windows Server 2003, 32-bit)
    CAType = 0 (Enterprise Root CA) [from HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\TheCompany\]

    and

    subCA-w2008r2svr (Windows Server 2008 R2)
    CAType = 1 (Enterprise Subordinate CA) [from HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\TheCompany CA1\]


    Второй сервер (Enterprise Subordinate CA) мы не трогаем вообще. Я нашел много статей по этому поводу, однако большинство из них говорят о standalone типах CA, у нас же они Enterprise и в домене (AD).

        • https://blogs.technet.microsoft.com/canitpro/2014/11/11/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2003-to-2012-r2/
        • https://ammarhasayen.com/2015/02/02/upgrade-your-root-ca-to-windows-2012-r2-pki/
        • http://windowsitpro.com/windows-server-2003-end-support/migrating-server-2003-root-ca


    Также большинство статей говорят о том что новый сервер надо строить с тем же названием (и видимо с тем же IP) что и старый. Насколько я понимаю, нужно выполнить эти главные шаги:

    • Backing up the CA database and private key on the 2003 Root CA
    • Backing up the CA registry settings on the 2003 Root CA
    • Backing up CAPolicy.inf on the 2003 Root CA
    • Removing the CA role from the 2003 Root CA
    • Removing the 2003 Root CA from the domain (if appropriate)
    • Building a 2012 R2 server that has the same name
    • Joining the new 2012 R2 server to the domain (if appropriate)
    • Adding the CA role to the 2012 R2 server
    • Restoring the CA database and configuration on the 2012 R2 server (including some registry keys if appropriate)
  • Configuring AIA and CDP containers


    Вопросы:

    1. Можете ли вы посоветовать подробный план по upgrade Enterprise Root CA сервера с Windows 2003 на Windows 2012 R2, который бы подходил для нашей инфраструктуры?
    2. Нужно ли что то обновлять или изменять на Enterprise Subordinate CA сервере чтобы он понял что теперь надо обращатся к новому Enterprise Root CA серверу?
27 июля 2016 г. 1:08