证书服务器迁移到R2Word下载.docx

证书服务器迁移到R2Word下载.docx

《证书服务器迁移到R2Word下载.docx》由会员分享，可在线阅读，更多相关《证书服务器迁移到R2Word下载.docx（16页珍藏版）》请在冰豆网上搜索。

3、使用Certutil.exe记录CA模板列表

（1）使用本地管理凭据登录到bj-ad-sms计算机。

（2）打开命令提示符窗口。

（3）键入certutil.exe-catemplates>

catemplates.txt，并按Enter。

（4）验证catemplates.txt文件是否包含模板列表，并将catemplates.txt文件，拷贝到C：

\windows\sysvol\sysvol

4、记录CA的签名算法和CSP

（1）使用本地管理凭据登录到bj-ad-sms。

（3）键入certutil.exegetregca\csp\*>

csp.txt，并按Enter。

（4）打开csp文件，截图如下：

（5）记录原始的CA将AIA和CRL数据发布到HTTPURLs以及客户端在验证证书链和CRL数据时可以访问HTTPURL，以便迁移后设置手动发布AIA和CRL数据带原始的web服务器或是添加一条DNS记录将指向原始的HTTPURL执行新的CA服务器的HTTPURL（这里源服务器和目标服务器的勾选项要一致）。

例如：

记录下图中ldap和http中的勾选项。

二、迁移证书颁发机构

1、备份源证书服务器CA数据库和私钥

（1）以域管理员身份，登录到源服务器。

（2）打开“证书颁发机构”管理单元。

（3）右键单击CA名称，指向“所有任务”，然后单击“备份CA”。

（4）在CA备份向导的“欢迎”页上，单击“下一步”。

（5）在“要备份的项目”页上，选中“私钥和CA证书”以及“证书数据库和证书数据库日志”复选框，指定备份位置例如D:

\CABACKUP，然后单击“下一步”。

（6）在“选择密码”页上，键入用于保护CA私钥的密码，并单击“下一步”。

（7）在“正在完成备份向导”页上，单击“完成”。

（8）备份完成后，验证所指定的位置中的以下文件：

①包含CA证书和私钥的CA名称.p12

②包含文件certbkxp.dat、edb#####.log和CA名称.edb的Database文件夹

（3）打开命令提示符窗口，并键入netstopcertsvc以停止“ActiveDirectory证书服务”服务。

（4）将所有备份文件复制到可从目标服务器中访问的位置（C：

\windows\sysvol\sysvol）。

2、备份源证书服务器CA注册表设置

（1）以域管理员登陆源服务器

（2）单击“开始”，指向“运行”，并键入regedit以打开注册表编辑器。

（3）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc中，右键单击“Configuration”，然后单击“导出”。

（4）指定C：

\windows\sysvol\sysvol位置存储和文件名为careg，然后单击“保存”。

3、备份源证书服务器CAPolicy.inf

（1）打开我的电脑，找到c:

\windows，没有找到CAPolicy.inf文件，直接搜索C盘也无CAPolicy.inf文件。

注意：

已经需要打开文件夹显示隐藏文件属性。

（2）说明用户没有自定义CAPolicy.inf，因此不需要备份这个文件。

4、从源服务器中删除CA角色服务

（1）以域管理员身份登录源服务器。

（2）打开控制面板，使用“添加/删除Windows组件”，卸载证书服务器。

（3）等卸载完成，后点击完成。

5、将CA角色服务添加到目标服务器

（1）以域管理员身份登录目标服务器

（2）打开管理工具---服务器管理器，添加角色

（3）添加AD证书服务，下一步

（4）选择证书颁发机构和证书颁发机构web注册，下一步

（5）选择企业，下一步。

（6）根CA，下一步

（7）在“设置私钥”页上，选择“使用现有私钥”和“选择一个证书并使用其关联私钥”。

（8）在“证书”列表中，单击导入的CA证书，然后单击“下一步”。

需要提前将源服务器中的cabackup文件夹和careg.reg,和catemplates.txt文件拷贝到本地C盘根目录。

（9）选择cabackup文件夹.p12文件，并输入备份时的密码，确定。

（10）选择chinalifereca，然后下一步

（11）在“配置证书数据库”页上，下一步。

（12）在“确认安装选择”页上查看消息，然后单击“安装”。

（13）安装完成，选择关闭。

6、在目标服务器上还原CA数据库

（1）以域管理登陆目标服务器

（2）打开管理工具---证书颁发机构

（3）右键单击包含CA名称的节点，指向“所有任务”，然后单击“还原CA”。

如果出现提示，请单击“确定”停止CA服务。

（4）在“欢迎”页上，单击“下一步”。

（5）在“要还原的项目”页上，选择“证书数据库和证书数据库日志”。

（6）单击“浏览”，选择C:

\cabackup\目录，按下一步。

（7）输入密码，下一步。

（8）点击完成

（9）单击“是”重新启动CA服务。

7、在目标CA上导入源CA注册表备份

（2）以管理员身份运行“命令提示符”。

（3）键入netstopcertsvc并按Enter。

（4）切换到存放careg.reg文件的目录，键入regimportcareg.reg，并按Enter。

需要提前将源服务器中的careg.reg,文件拷贝到本地C盘根目录。

8、编辑目标服务器CA注册表设置（注意:

如果源服务器和目标服务器名称相同，可以直接跳到10步骤）

（1）单击“开始”，在“搜索程序和文件”框中键入regedit.exe，并按Enter以打开注册表编辑器。

更改注册表前，先备份注册表。

（2）在控制台树中，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration项

（3）在详细信息窗格中，双击“DBSessionCount”。

（4）单击“十六进制”。

在“数值数据”中，键入64，然后单击“确定”。

（5）验证以下设置中指定的位置对于目标服务器是否正确，并根据需要更改它们以指示CA数据库和日志文件的位置。

①DBDirectory

②DBLogDirectory

③DBSystemDirectory

④DBTempDirectory

以上键值中目录位置要和安装CA时的路径一致，否则会出错误。

（6）在注册表编辑器的控制台树中，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration，并单击CA名称。

（7）通过将源服务器名称替换为目标服务器名称，修改以下注册表设置的值。

①CACertFileName

②ConfigurationDirectory（注意：

这个值，在configuration键值下面，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration）

②CAServerName

（8）通过将%1替换为目标服务器的完全限定的域名（例如“BJ-DC.test.local”），并将%2替换为目标服务器的NetBIOS名称（这里为“BJ-DC”），修改以下注册表设置的值

（HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration下面）。

②CACertPublicationURLs

②CRLPublicationURLs

9、验证目标CA上的证书扩展

（1）打开“证书颁发机构”管理单元。

（2）在控制台树中，单击CA的名称。

（3）在“操作”菜单上，单击“属性”，然后单击“扩展”选项卡。

请确认“选择扩展”设置为“CRL分发点（CDP）”。

（4）添加如下一条（如下图：

）：

“ldap:

///CN=<

CATruncatedName>

<

CRLNameSuffix>

CN=<

ServerShortName>

CN=CDP,CN=PublicKeyServices,CN=Services,<

ConfigurationContainer>

CDPObjectClass>

”

如果目标CA服务器和源CA服务器名称不同，必须有这条。

否则吊销服务器不正常。

（5）点击新添加的“ldap:

更改为下列选项。

（注意这里选项要与“一、准备源服务器4”中最后记录CRL和ATA设置一致）

（6）测试时可以将证书CRL发布间隔改为5年，增量改为4年

CRL发布间隔时间长短会对客户端访问证书的性能和证书安全有影响。

10、还原证书模板列表

（1）以域管理员登陆目标服务器。

（2）打开证书颁发机构---证书模板

（3）对比源服务器的备份CA模板列表

如果缺少某个模板，可以使用一下命令，单独添加

①以管理员身份打开命令提示符窗口。

③切换到C盘

④例如：

添加系统管理员模板（具体模块命令，可以参考（3）中文对照的英文）：

键入“certutil-setcatemplates+”Administrator””，并按Enter。

11、对AIA和CDP容器授予权限

（1）以域管理员登陆到目标服务器

（2）单击“开始”，指向“运行”，键入dssite.msc，打开AD站点和服务，然后单击“确定”。

（3）在控制台树中，单击顶部的节点。

（4）在“视图”菜单上，单击“显示服务节点”。

（5）在控制台树中，展开“服务（Services）”，展开“公钥服务（PublicKeyServices）”，然后单击“AIA”。

（6）在详细信息窗格中，右键单击源CA名称，然后单击“属性”。

（7）单击“安全性”选项卡，然后单击“添加”。

（8）单击“对象类型”，单击“计算机”，然后单击“确定”。

（9）键入目标服务器的名称，并单击“确定”。

（10）在“允许”列中，单击“完全控制”，并单击“应用”。

（11）如果源服务器名对象显示在“组或用户名”中，请单击源服务器的名称，然后单击“删除”，再单击“确定”。

（12）在控制台树中，展开“CDP”，然后单击源服务器的名称。

（13）在详细信息窗格中，右键单击列表顶部的“cRLDistributionPoint”项，然后单击“属性”。

（14）单击“安全性”选项卡，然后单击“添加”。

（15）单击“对象类型”，单击“计算机”，然后单击“确定”。

（16）键入目标服务器的名称，并单击“确定”。

（17）在“允许”列中，单击“完全控制”，并单击“应用”。

（18）如果源服务器名称对象显示在“组或用户名”中，请单击源服务器的名称，然后单击“删除”，再单击“确定”。

12、启动证书服务

1）以域管理员登陆目标服务器

2）打开管理工具---证书颁发机构，右键选择CA证书名称，所有任务，然后启动服务。

（4）验证迁移