如何迁移CA证书颁发机构服务器.docx
《如何迁移CA证书颁发机构服务器.docx》由会员分享,可在线阅读,更多相关《如何迁移CA证书颁发机构服务器.docx(12页珍藏版)》请在冰豆网上搜索。
如何迁移CA证书颁发机构服务器
前言
证书颁发机构(CA)是企业内部公钥基础结构(PKI)的核心组件。
尽管CA服务器可使用许多年甚至是几十年或更长,但是我们有可能遇到这样的场景需求:
1.CA服务器已经服役了相当长的时间,而在这段时间内作为CA服务器的硬件可能早已更新换代,所以有必要将CA服务器迁移到新的配置强劲的服务器上;
2.基于公司的某些具体策略需求,需要将企业内部的CA服务器迁移到另外的服务器上
基于这样的需求,我在这里向大家介绍一下如何将证书颁发机构(CA)迁移到其他服务器上。
注意:
要将CA从运行Windows2000Server的服务器迁移到运行WindowsServer2003的服务器,必须首先将运行Windows2000Server的CA服务器操作系统升级到WindowsServer2003。
然后,才能按照本文所述的步骤进行迁移操作。
演示环境
环境很简单,我就不画什么拓扑图了,简单交代一下就行了。
Old_CA :
CA(Windowsserver2003)
New_CA :
CA(Windowsserver2003)
操作步骤
1.如果你在证书颁发机构管理单元的“证书模板”文件夹中配置过自定义的证书模板,那么必须在新的CA服务器上手动配置证书模板设置以保持模板集相同。
打个比方,如果你曾经在老的CA服务器上自定义过一个证书模板用于某个特殊用途,若仍想让客户端在新的CA服务器上申请证书时仍能使用该模板的话,那么你需要再次在新的CA服务器上配置相同的证书模板。
因为有关证书模板的设置是存储在ActiveDirectory中。
这些信息不会按照本文的操作而自动备份。
注意:
“证书模板”文件夹仅存在于企业CA上。
独立CA不使用证书模板。
因此,此步不适用于独立CA。
如果你想将独立CA进行迁移操作,那么请跳过此步骤。
2.以下操作在老CA服务器上进行。
我们需要使用“证书颁发机构”管理单元备份CA数据库和私钥。
请按照下列步骤操作:
“运行”,输入certsrv.msc,打开“证书颁发机构”的管理单元。
在“证书颁发机构”的管理单元中右键单击CA a. 单击“开始”名称,单击“所有任务”,然后单击“备份CA”以启动证书颁发机构的备份向导。
如图1
b. 单击“下一步”,如图2.
c. 然后勾选“私钥和CA证书”和“证书数据库和证书数据库日志”。
然后使用一个空文件夹作为备份位置用来保存备份文件,请确保新服务器可以访问该备份文件夹。
如果指定的备份文件夹不存在,则证书颁发机构备份向导将创建它。
如图3
注意:
由于是第一次进行备份,所以图3中的“执行增量备份”为灰色不可选状态。
d 为了安全起见,请键入并确认CA私钥备份文件的密码。
如图4
e. 单击“下一步”,然后验证备份设置。
应当显示下列设置:
如图5
•私钥
•CA证书颁发的日志
•挂起的申请
f.单击“完成”成功完成对CA服务器的备份。
g.回到前面指定的CA备份目录C:
\CA_Bak,可以看到该目录下有个Database目录和一个p12文件,如图6
3. 另外,还需要备份老CA的注册表设置:
“运行”,键入regedit。
a. 在老CA服务器上单击“开始”
b. 找到下面的注册表子项,然后右键单击它:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration,选择“导出”,如图7,将注册表文件保存在前面定义的CA备份文件夹中C:
\CA_bak目录中。
“运行”,键入4在老CA服务器上单击“开始”sysocmgr/i:
sysoc.inf,在弹出的“Windows组件向导”中取消“证书服务”的勾选以删除老CA上的证书服务,如图8
5 重新命名旧CA服务器,或者将其永久与网络断开连接。
很重要的一步,不要忘记!
6 以下操作在新CA服务器上进行。
将新CA服务器的计算机名CA重命令为CA。
注意:
新CA服务器的计算机名称必须与旧服务器的计算机名称相同。
所以大家应该明白为什么我说前面的第5个步骤重命名老CA服务器的这一步很重要了吧。
一个是避免计算机名冲突,而另一个最重要的是CA服务器的私钥和证书是和计算机相挂钩的。
“运行”,键入7 在新CA服务器上单击“开始”sysocmgr/i:
sysoc.inf,在弹出的“Windows组件向导”中勾选“证书服务”,点击下一步,如图9,
8 根据需要选择CA的类型,这里我选择企业根CA
9 单击“用自定义设置生成密钥对和CA证书”,然后单击“下一步”,如图10
10 单击“导入”,如图11,键入备份文件夹中.P12文件的路径,再键入之前输入的密码,然后单击“确定”。
如图12
11 在“公钥/私钥对”对话框中,验证是否选中“使用现有密钥”。
如图12中红圈部分
12 接受“证书数据库设置”的默认设置,单击“下一步”,然后单击“完成”结束证书服务的安装。
“运行”,键入net13 停止证书服务。
在新CA服务器上单击“开始”stopcertsvc
14 找到在第3步中保存的注册表文件,然后双击该文件以导入注册表设置,如图13
15 接下来我们需要使用“证书颁发机构”管理单元来还原CA“运行”,输入certsrv.msc,打开“证书颁发机构”的管理单元。
在“证书颁发机构”的管理单元中右键单击CA数据库。
单击“开始”名称,单击“所有任务”,然后单击“还原CA”以启动证书颁发机构的还原份向导。
如图14
16 单击“下一步”,然后勾选“私钥和CA证书”和“证书数据库和证书数据库日志”。
并键入备份文件夹位置,然后单击“下一步”。
如图15
17 输入之前的密码。
点击下一步,如图16
18 单击“完成”,然后单击“是”以在还原CA数据库时重新启动证书服务。
如图17
19 根据需要然后在证书颁发机构管理单元中,手动添加或删除证书模板以便使存储在AD中的新老服务器的证书模板设置相同。
至此,CA服务器的迁移正式完成,比较简单,但是希望对朋友们有帮助。