none
更換憑証伺服器,Exchange Server的憑證要不要一起換? RRS feed

  • 問題

  • hi 大家好:
    請問各位,公司的憑證伺服器主機年久失修,近期內想要換新主機,請問,憑証伺服器的服務如果要重裝,那麼原先所有向這台申請的憑證的主機(Exchange Server)和使用者是否會全部失效?須不須要全部重新申請?應該怎樣做才能以最少的力氣達到最大的功效?
    謝謝
    2009年5月8日 上午 07:06

解答

所有回覆

  • hi 大家好:
    請問各位,公司的憑證伺服器主機年久失修,近期內想要換新主機,請問,憑証伺服器的服務如果要重裝,那麼原先所有向這台申請的憑證的主機(Exchange Server)和使用者是否會全部失效?須不須要全部重新申請?應該怎樣做才能以最少的力氣達到最大的功效?
    謝謝

    重裝 CA 之後的問題可能會超乎你的想像, 如果真的只是要換新的主機, 建議參考底下這一篇 KB.

    http://support.microsoft.com/kb/298138
    2009年5月10日 下午 02:15
  • http://support.microsoft.com/kb/298138 這篇文章的內容看得實在很辛苦。
    如果將Exchange Server的伺服器憑證移除,重新向新的CA伺服器申請新的憑證,這樣對Exchange Server會不會有任何問題產生?
    2009年5月11日 上午 08:14
  • http://support.microsoft.com/kb/298138 這篇文章的內容看得實在很辛苦。
    如果將Exchange Server的伺服器憑證移除,重新向新的CA伺服器申請新的憑證,這樣對Exchange Server會不會有任何問題產生?

    老實說, 這篇 KB 很簡單, 我當初就是照著 KB 的步驟重灌憑證服務器主機.

    1. Exchange Server 移除憑證, 重新申請憑證, 小事.

    2. 如果使用者拿憑證去加密檔案, 重新申請憑證, 大事.

    建議先去看看憑證伺服器到底發出了哪些憑證, 再決定你的下一步!
    2009年5月11日 下午 02:00
  • ..... 恕刪

    2. 如果使用者拿憑證去加密檔案, 重新申請憑證, 大事.

    建議先去看看憑證伺服器到底發出了哪些憑證, 再決定你的下一步!
    因為那篇KB必須要安裝成相同的主機名稱,意味著一但失敗,可能原來的DC要復原就麻煩了,所以才要事先想好各種各能的因應方式。
    如果使用者有拿去加密檔案,可否先架設一部獨立CA,再通知使用者重新申請新的憑證加密,最後再來進行轉移CA的動作,萬一失敗,影響也比較小?
    2009年5月12日 上午 07:10
  • 如果你的CA憑證主機只是提供給Exchange Server 做為HTTPS的存取之用,而並末提供給使用者加解密之用
    那麼移掉重裝並重新申請憑證對Exchange Server而言不會有任何影響!!
    Jammy羅濟棠 https://partner.microsoft.com/taiwan/40014662 您的公司是微軟解決方案的提供者嗎?請加入Microsoft Partner Program(MSPP)計劃, 立即獲得無限次數微軟Partner專屬線上技術支援。
    2009年5月12日 上午 09:02
  • 因為那篇KB必須要安裝成相同的主機名稱,意味著一但失敗,可能原來的DC要復原就麻煩了,所以才要事先想好各種各能的因應方式。
    如果使用者有拿去加密檔案,可否先架設一部獨立CA,再通知使用者重新申請新的憑證加密,最後再來進行轉移CA的動作,萬一失敗,影響也比較小?

    我剛剛把那篇 KB 轉成中文, 並沒有看到 "必須要安裝成相同的主機名稱" 或 "DC 要復原" 的資訊.

    http://support.microsoft.com/kb/298138/zh-tw
    2009年5月12日 上午 11:00
  • 因為那篇KB必須要安裝成相同的主機名稱,意味著一但失敗,可能原來的DC要復原就麻煩了,所以才要事先想好各種各能的因應方式。
    如果使用者有拿去加密檔案,可否先架設一部獨立CA,再通知使用者重新申請新的憑證加密,最後再來進行轉移CA的動作,萬一失敗,影響也比較小?

    我剛剛把那篇 KB 轉成中文, 並沒有看到 "必須要安裝成相同的主機名稱" 或 "DC 要復原" 的資訊.

    http://support.microsoft.com/kb/298138/zh-tw

    真心建議KB要以英文的內容為主.因為很多翻譯成其它語系的都會漏翻或者詞意翻錯!
    CA Server的主機名稱是不能變更的,因此若要執行CA Server主機的換機並保留原已發出的憑證有效性,就必需讓前後 CA主機名稱一致!
    Jammy羅濟棠
    2009年5月12日 下午 03:24
  • 因為那篇KB必須要安裝成相同的主機名稱,意味著一但失敗,可能原來的DC要復原就麻煩了,所以才要事先想好各種各能的因應方式。
    如果使用者有拿去加密檔案,可否先架設一部獨立CA,再通知使用者重新申請新的憑證加密,最後再來進行轉移CA的動作,萬一失敗,影響也比較小?

    我剛剛把那篇 KB 轉成中文, 並沒有看到 "必須要安裝成相同的主機名稱" 或 "DC 要復原" 的資訊.

    http://support.microsoft.com/kb/298138/zh-tw

    CA Server的主機名稱是不能變更的,因此若要執行CA Server主機的換機並保留原已發出的憑證有效性,就必需讓前後 CA主機名稱一致!
    我會建議板主親自試一次再下結論, 畢竟板主掛著微軟 "最有價值專家" (MVP) 的頭銜.
    2009年5月12日 下午 04:05
  • 因為那篇KB必須要安裝成相同的主機名稱,意味著一但失敗,可能原來的DC要復原就麻煩了,所以才要事先想好各種各能的因應方式。
    如果使用者有拿去加密檔案,可否先架設一部獨立CA,再通知使用者重新申請新的憑證加密,最後再來進行轉移CA的動作,萬一失敗,影響也比較小?

    我剛剛把那篇 KB 轉成中文, 並沒有看到 "必須要安裝成相同的主機名稱" 或 "DC 要復原" 的資訊.

    http://support.microsoft.com/kb/298138/zh-tw

    CA Server的主機名稱是不能變更的,因此若要執行CA Server主機的換機並保留原已發出的憑證有效性,就必需讓前後 CA主機名稱一致!
    我會建議板主親自試一次再下結論, 畢竟板主掛著微軟 "最有價值專家" (MVP) 的頭銜.
    我會強烈建議您再看一次中文的該篇KB喲
     


    Jammy羅濟棠
    2009年5月12日 下午 04:24
  • 因為那篇KB必須要安裝成相同的主機名稱,意味著一但失敗,可能原來的DC要復原就麻煩了,所以才要事先想好各種各能的因應方式。
    如果使用者有拿去加密檔案,可否先架設一部獨立CA,再通知使用者重新申請新的憑證加密,最後再來進行轉移CA的動作,萬一失敗,影響也比較小?

    我剛剛把那篇 KB 轉成中文, 並沒有看到 "必須要安裝成相同的主機名稱" 或 "DC 要復原" 的資訊.

    http://support.microsoft.com/kb/298138/zh-tw

    CA Server的主機名稱是不能變更的,因此若要執行CA Server主機的換機並保留原已發出的憑證有效性,就必需讓前後 CA主機名稱一致!
    我會建議板主親自試一次再下結論, 畢竟板主掛著微軟 "最有價值專家" (MVP) 的頭銜.
    我會強烈建議您再看一次中文的該篇KB喲
     


    Jammy羅濟棠
    或許我沒有一次把話說清楚,

    KB 的結論提到:

    憑證授權單位 (CA) 會是在中央的元件,公開金鑰基礎結構 (PKI) 的組織。 CA 設定為許多年或十年,期間的主控 CA 的硬體可能會升級。

    步驟五 "重新命名舊的伺服器,或永久地從網路中斷連線", 這是把舊的 Server 移除,

    步驟六 "新的伺服器都必須具有在相同舊的伺服器的電腦名稱", 因為這是假設新的 Server 要取代舊的 Server, 所以電腦名稱才要相同,

    但這不等於 "CA Server 不能搬到不同名稱的主機上" 喔!

    其實在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration 有一個 CAServerName,

    這可以讓我們修改 CA Server 的主機名稱, 其實我們去看憑證的時候, Issued by/Issuer 和 CA Server 的主機名稱無關,

    有興趣的可以參考底下這一篇文章.

    http://windowsitpro.com/article/articleid/97565/moving-a-certificate-authority-ca-to-another-dc.html

    2009年5月12日 下午 11:20
  • 我是沒有執行過這樣的程序,因為它不是官方作法.出了事沒有保障
    微軟的文件都寫的很清楚Root CA是不支援Server Rename
    就連在安裝CA 元件都時會出現很大的警告視窗告訴你不能事後Rename Server name
    要用非官方作法也不是不可,只是自己要去承擔可能的影響.
    這在大型企業的Production環境是不可能這樣搞的~
    Jammy羅濟棠
    2009年5月13日 下午 03:48
  • 我是沒有執行過這樣的程序,因為它不是官方作法.出了事沒有保障
    微軟的文件都寫的很清楚Root CA是不支援Server Rename
    就連在安裝CA 元件都時會出現很大的警告視窗告訴你不能事後Rename Server name
    要用非官方作法也不是不可,只是自己要去承擔可能的影響.
    這在大型企業的Production環境是不可能這樣搞的~
    Jammy羅濟棠

    好吧! 或許我們處理問題的方式不一樣,

    不過, 底下這篇 Technet 文章的做法算不算是亂搞?

    http://technet.microsoft.com/zh-tw/library/cc742471.aspx

    Performing Registry Updates after a Host Name Change

    If the CA registry configuration settings are migrated from the original server to a target server with a different host name, there are some manual updates that should be made to make the environment consistent. This should be done in addition to any updates to the CA's authority information access and CRL distribution point extension settings.

    Perform the following tasks:

    • Verify that CAServerName is a registry string value located under the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CAName\ registry key. It should be updated to represent the DNS name (for an enterprise CA or domain member CA) or the host name (for a stand-alone workgroup CA) of the new CA host.
    2009年5月13日 下午 04:37
  • 那一篇是For Windows Server 2008 AD CS.......
    Jammy羅濟棠
    2009年5月14日 上午 03:51
  • 那一篇是For Windows Server 2008 AD CS.......
    Jammy羅濟棠

    請問這一篇是不是說可以在 Windows Server 2003 上改 CAServerName 的值?

    http://download.microsoft.com/download/c/f/c/cfcbff04-97ca-4fca-9e8c-3a9c90a2a2e2/Domain-Rename-Procedure.doc

    其實 CA Server 一但公布到 AD 裡, 在 end user 或 web server 線上申請憑證的時候, 沒有人會去注意 CA Server 是哪一台? 因為憑證不是和主機名稱綁在一起, 大家可以去看憑證裡 Issued by 和 Issuer 的內容是什麼.

    老實說, 玩微軟的系統這麼多年, 我發現解決問題的方法永遠不只一種, 除了 KB 之外, 我還會去找其他人嘗試過的方法, 畢竟全世界有這麼多人在用微軟的系統, 有問題的應該不只我一個!

    但是, 說別人的方法不是官方作法, 言下之意就是 "只有按照官方作法就不會出事", 這種論調實在是難以苟同!

    對了, 我發現樓主把底下這一篇文章的 "解答" 取消了! 不知道像 Stanley 碰到的問題, 微軟的官方作法是什麼?

    http://social.technet.microsoft.com/Forums/zh-TW/exchangezhcht/thread/573eb537-24b5-44b1-87c2-9b11ef10612e






     
    • 已標示為解答 Jammy-Lo 2009年5月14日 上午 09:30
    2009年5月14日 上午 06:53
  • 那一篇是For Windows Server 2008 AD CS.......
    Jammy羅濟棠

    請問這一篇是不是說可以在 Windows Server 2003 上改 CAServerName 的值?

    http://download.microsoft.com/download/c/f/c/cfcbff04-97ca-4fca-9e8c-3a9c90a2a2e2/Domain-Rename-Procedure.doc

    其實 CA Server 一但公布到 AD 裡, 在 end user 或 web server 線上申請憑證的時候, 沒有人會去注意 CA Server 是哪一台? 因為憑證不是和主機名稱綁在一起, 大家可以去看憑證裡 Issued by 和 Issuer 的內容是什麼.

    老實說, 玩微軟的系統這麼多年, 我發現解決問題的方法永遠不只一種, 除了 KB 之外, 我還會去找其他人嘗試過的方法, 畢竟全世界有這麼多人在用微軟的系統, 有問題的應該不只我一個!

    但是, 說別人的方法不是官方作法, 言下之意就是 "只有按照官方作法就不會出事", 這種論調實在是難以苟同!

    對了, 我發現樓主把底下這一篇文章的 "解答" 取消了! 不知道像 Stanley 碰到的問題, 微軟的官方作法是什麼?

    http://social.technet.microsoft.com/Forums/zh-TW/exchangezhcht/thread/573eb537-24b5-44b1-87c2-9b11ef10612e






     

    嗯嗯~那就應該是我個人見識太淺薄了,真是受教了!!感謝您的提點,看問題要從多方面下手才行!!
    喔~對了,我不是官方,所以不知道官方的作法會是什麼..你所提的用Script的方法或許是個不錯的Idea.

    Jammy羅濟棠
    2009年5月14日 上午 09:30