如何迁移CA证书颁发机构服务器.docx

如何迁移CA证书颁发机构服务器.docx

《如何迁移CA证书颁发机构服务器.docx》由会员分享，可在线阅读，更多相关《如何迁移CA证书颁发机构服务器.docx（12页珍藏版）》请在冰豆网上搜索。

如何迁移CA证书颁发机构服务器

前言

证书颁发机构（CA）是企业内部公钥基础结构（PKI）的核心组件。

尽管CA服务器可使用许多年甚至是几十年或更长，但是我们有可能遇到这样的场景需求：

1.CA服务器已经服役了相当长的时间，而在这段时间内作为CA服务器的硬件可能早已更新换代，所以有必要将CA服务器迁移到新的配置强劲的服务器上；

2.基于公司的某些具体策略需求，需要将企业内部的CA服务器迁移到另外的服务器上

基于这样的需求，我在这里向大家介绍一下如何将证书颁发机构（CA）迁移到其他服务器上。

注意：

要将CA从运行Windows2000Server的服务器迁移到运行WindowsServer2003的服务器，必须首先将运行Windows2000Server的CA服务器操作系统升级到WindowsServer2003。

然后，才能按照本文所述的步骤进行迁移操作。

演示环境

环境很简单，我就不画什么拓扑图了，简单交代一下就行了。

Old_CA  :

CA（Windowsserver2003）

New_CA  :

CA（Windowsserver2003）

操作步骤

1.如果你在证书颁发机构管理单元的“证书模板”文件夹中配置过自定义的证书模板，那么必须在新的CA服务器上手动配置证书模板设置以保持模板集相同。

打个比方，如果你曾经在老的CA服务器上自定义过一个证书模板用于某个特殊用途，若仍想让客户端在新的CA服务器上申请证书时仍能使用该模板的话，那么你需要再次在新的CA服务器上配置相同的证书模板。

因为有关证书模板的设置是存储在ActiveDirectory中。

这些信息不会按照本文的操作而自动备份。

注意：

“证书模板”文件夹仅存在于企业CA上。

独立CA不使用证书模板。

因此，此步不适用于独立CA。

如果你想将独立CA进行迁移操作，那么请跳过此步骤。

2.以下操作在老CA服务器上进行。

我们需要使用“证书颁发机构”管理单元备份CA数据库和私钥。

请按照下列步骤操作：

 “运行”,输入certsrv.msc，打开“证书颁发机构”的管理单元。

在“证书颁发机构”的管理单元中右键单击CA a.  单击“开始”名称，单击“所有任务”，然后单击“备份CA”以启动证书颁发机构的备份向导。

如图1

  b.  单击“下一步”，如图2.

  c.  然后勾选“私钥和CA证书”和“证书数据库和证书数据库日志”。

然后使用一个空文件夹作为备份位置用来保存备份文件，请确保新服务器可以访问该备份文件夹。

如果指定的备份文件夹不存在，则证书颁发机构备份向导将创建它。

如图3

注意：

由于是第一次进行备份，所以图3中的“执行增量备份”为灰色不可选状态。

d  为了安全起见，请键入并确认CA私钥备份文件的密码。

如图4

e.  单击“下一步”，然后验证备份设置。

应当显示下列设置：

如图5

•私钥

•CA证书颁发的日志

•挂起的申请  

f.单击“完成”成功完成对CA服务器的备份。

g.回到前面指定的CA备份目录C:

\CA_Bak，可以看到该目录下有个Database目录和一个p12文件，如图6

3.  另外，还需要备份老CA的注册表设置：

“运行”，键入regedit。

a.  在老CA服务器上单击“开始”

b.  找到下面的注册表子项，然后右键单击它：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration，选择“导出”，如图7，将注册表文件保存在前面定义的CA备份文件夹中C:

\CA_bak目录中。

“运行”，键入4在老CA服务器上单击“开始”sysocmgr/i:

sysoc.inf，在弹出的“Windows组件向导”中取消“证书服务”的勾选以删除老CA上的证书服务，如图8

5  重新命名旧CA服务器，或者将其永久与网络断开连接。

很重要的一步，不要忘记！

6  以下操作在新CA服务器上进行。

将新CA服务器的计算机名CA重命令为CA。

注意：

新CA服务器的计算机名称必须与旧服务器的计算机名称相同。

所以大家应该明白为什么我说前面的第5个步骤重命名老CA服务器的这一步很重要了吧。

一个是避免计算机名冲突，而另一个最重要的是CA服务器的私钥和证书是和计算机相挂钩的。

“运行”，键入7  在新CA服务器上单击“开始”sysocmgr/i:

sysoc.inf，在弹出的“Windows组件向导”中勾选“证书服务”，点击下一步，如图9，

8  根据需要选择CA的类型，这里我选择企业根CA

9  单击“用自定义设置生成密钥对和CA证书”，然后单击“下一步”，如图10

10  单击“导入”，如图11，键入备份文件夹中.P12文件的路径，再键入之前输入的密码，然后单击“确定”。

如图12

11  在“公钥/私钥对”对话框中，验证是否选中“使用现有密钥”。

如图12中红圈部分

12  接受“证书数据库设置”的默认设置，单击“下一步”，然后单击“完成”结束证书服务的安装。

“运行”，键入net13  停止证书服务。

在新CA服务器上单击“开始”stopcertsvc

14  找到在第3步中保存的注册表文件，然后双击该文件以导入注册表设置，如图13

15  接下来我们需要使用“证书颁发机构”管理单元来还原CA“运行”,输入certsrv.msc，打开“证书颁发机构”的管理单元。

在“证书颁发机构”的管理单元中右键单击CA数据库。

单击“开始”名称，单击“所有任务”，然后单击“还原CA”以启动证书颁发机构的还原份向导。

如图14

16  单击“下一步”，然后勾选“私钥和CA证书”和“证书数据库和证书数据库日志”。

并键入备份文件夹位置，然后单击“下一步”。

如图15

17  输入之前的密码。

点击下一步，如图16

18  单击“完成”，然后单击“是”以在还原CA数据库时重新启动证书服务。

如图17

19  根据需要然后在证书颁发机构管理单元中，手动添加或删除证书模板以便使存储在AD中的新老服务器的证书模板设置相同。

至此，CA服务器的迁移正式完成，比较简单，但是希望对朋友们有帮助。