перенос центра сертификации

alxmel

Участник

NanoSuit

Активный участник

LayLa

Участник

В основном все с водится к архивации центра сертификации и восстановлению

Чтобы архивировать центр сертификации

1 Откройте оснастку «Центр сертификации».
При создании архивной копии центра сертификации предприятия, щелкните Шаблоны сертификатов для центра сертификации и запишите приведенные имена шаблонов сертификатов.
Параметры шаблонов сертификатов хранятся в доменных службах Active Directory и не подлежат автоматической архивации. Понадобится вручную добавить необходимые шаблоны сертификатов в новый центр сертификации.

2 В оснастке «Центр сертификации» щелкните правой кнопкой мыши имя центра сертификации, выберите команду Все задачи, затем щелкните Архивация ЦС, чтобы открыть мастер архивации центра сертификации.

3 Нажмите кнопку Далее и установите флажки Закрытый ключ и сертификат ЦС и База данных сертификатов и ее журнал.
4 Укажите пустую папку или носитель для записи архива, затем нажмите кнопку Далее.
5 Введите пароль для архивного файла закрытого ключа центра сертификации, введите его второй раз для подтверждения.
6 Нажмите кнопку Далее, убедитесь, что отображаются параметры архивации Закрытый ключ и сертификат ЦС и Журнал выданных и ожидающих запросов, затем нажмите кнопку Готово.
7 Нажмите кнопку Пуск, выберите команду Выполнить, введите regedit и нажмите кнопку ОК.
8 Найдите и щелкните правой кнопкой следующий раздел реестра:

9 Выберите команду Экспорт.
10 Сохраните файл реестра в архивной папке центра сертификации, которая используется в мастере архивации центра сертификации.
11 Удалите центр сертификации со старого сервера, переименуйте старый сервер или окончательно отключите его от сети.
Перед началом процедуры восстановления, убедитесь, что папка %Systemroot% на целевом сервере, работающем под управлением операционной системы Windows Server 2008, соответствует папке %Systemroot% сервера, на котором была выполнена архивация.
Кроме того, место восстановления центра сертификации должно соответствовать месту архивации центра сертификации. Например, при архивации центра сертификации из папки D:\Winnt\System32\Certlog folder необходимо восстановить архив в ту же папку D:\Winnt\System32\Certlog. После восстановления архива можно переместить файлы базы данных центра сертификации в другое место.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы или наличие эквивалентных прав. Минимальным требованием для выполнения этой процедуры для центра сертификации предприятия является членство в группе Администраторы домена или наличие эквивалентных прав.

Чтобы восстановить центр сертификации на новом сервере из архива
1 Откройте Диспетчер серверов и щелкните Службы сертификации Active Directory. Дважды нажмите кнопку Далее .
2 На странице Выбор служб ролей установите флажок Центр сертификации и затем нажмите кнопку Далее.
3 На вкладке Задание типа установки щелкните Изолированный или Предприятие, а затем нажмите кнопку Далее.
4 На странице Задание типа ЦС выберите необходимый тип центра сертификации и нажмите кнопку Далее.
5 На странице Установка закрытого ключа последовательно щелкните Использовать существующий закрытый ключ, Выбрать сертификат и использовать связанный с ним закрытый ключ и нажмите кнопку Далее.
6 На странице Выбрать существующий сертификат выберите Импорт введите путь к файлу P12 в папке архива, введите пароль, который был указан в предыдущей процедуре для защиты архивного файла, и нажмите кнопку ОК.
7 В диалоговом окне Пара из открытого и закрытого ключей подтвердите выбор параметра Использовать существующие ключи .
8 Дважды нажмите кнопку Далее .
9 На странице Настройка базы данных сертификатов укажите то же местоположение базы данных сертификатов и журнала базы данных, что и на предыдущем компьютере центра сертификации. Нажмите кнопку Далее.
10 На странице Подтверждение параметров установки просмотрите все заданные параметры конфигурации. Если следует принять все эти параметры, нажмите кнопку Установить и дождитесь окончания установки.
11 Откройте оснастку «Службы», чтобы остановить службу сертификатов Active Directory.
12 Дважды щелкните файл реестра, который был сохранен во время архивации, чтобы импортировать значения реестра. Если путь, отображаемый при экспорте реестра из старого центра сертификации, отличается от нового пути, необходимо изменить параметры экспорта реестра соответствующим образом.
13 Откройте оснастку «Центр сертификации» щелкните правой кнопкой мыши имя центра сертификации, выберите команду Все задачи, затем щелкните Восстановление ЦС , чтобыоткрыть мастер архивации центра сертификации.
14 Нажмите кнопку Далее и установите флажки Закрытый ключ и сертификат ЦС и База данных сертификатов и ее журнал .
15 Введите местоположение папки архива и нажмите кнопку Далее.
16 Проверьте параметры архивации. Должны отображаться параметры Журнал выданных и ожидающих запросов.
17 Нажмите кнопку Готово, затем нажмите Да для перезапуска служб сертификатов Active Directory после восстановления базы данных центра сертификации.
18 При работе с центром сертификации предприятия восстановите шаблоны сертификатов из доменных служб Active Directory, которые были записаны туда во время выполнения предыдущей процедуры.

Babochkinbox

sysadmins; programmers; modding; pc

Перенос центра сертификации Windows Server 2012 наWindows Server 2016

Moving Certificate Services To Another Server 2012 on 2016

Problem

If you are retiring a CA Server, or there’s a problem with the server and you want to move Microsoft Certificate eServices to another server, the procedure is pretty straight forward.

BE AWARE: We are moving the CA Server, NOT the server name/FQDN, the two things are NOT the same, (you might have called them the same thing!) But a Certificate Authority has a name of its own, and that what we are going to move.

So the new server doesn’t have to have the same name? No, it can do if you really want, but that’s an added layer of complication I cant see the point of?

Here I’m moving from Server 2016 to Server 2016, but the process is pretty much identical all the way back to Server 2003.

Update Jun 2019: Used the same procedure today, to move from Server 2012R2 to Server 2019.

Solution

On the ‘Source‘ server, open the Certificate Services management console > Right click the CA NAME > All Tasks > Back up CA.

The backup wizard will open, Next > Tick BOTH options > Select a Backup Location > Next > Set a password (you will need this to set the new CA up!) > Next > Finish.

Now we need to take a backup of the Registry key that holds the information for this CA server. Run ‘regedit’ > Navigate to;

Export a copy of this key, (save it in the same folder that you backed up to earlier).

Now we need to uninstall CA Services from this server. Server Manager > Manage > Remove Roles and Services > Next.

REMOVE all the CA role services first! > Complete the Wizard, then launch the wizard again and select ‘Active Directory Certificate Services > At the pop-up select ‘Remove Features” > Next.

Next > Next > Next > Close.

Setup Certificate Services on the Target/New Server

Server Manager > Add Roles and Features > Next.

Next > Select ‘Active Directory Certificate Services’ > Add Features > Next.

For now let’s just stick the Certification Authority > Add the other role services later* > Next.

*Note: I’ve written about all these role services before, just use the search function, (above.) If you are unsure what they all do.

Warning > Configure Active Directory Certificate Services > Next.

Next > Enterprise CA (Unless it’s an offline non domain joined CA) > Root CA (unless it’s a subordinate CA!) > Next.

> Select ‘Use existing private key‘ > Select ‘Select a Certificate and use its associated private key‘ > Next > Import > Browse > In your backup folder locate the certificate (it will have a .p7b extension.) > Enter the password > OK > Select the Cert > Next.

Next > Next > Configure > Close.

Stop Certificate Services;

If your new server has a different hostname/FQDN open the registry file you exported above with Notepad, Locate and change the CAServerName entry to the name of the NEW server.

Right click the registry backup > Merge > Yes > OK.

Launch the Certificate Services management console > Right Click the CA NAME > All Tasks > Restore CA.

The restore wizard will start > Next > Browse to the folder with your backup in > Next > Enter the password you used (above) > Next > Finish.

You will be prompted to start the Certificate Services service > Yes.

Перемещение сертификационного органа на другой сервер

В этой статье описывается перемещение ЦС на другой сервер.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 298138

Эта статья относится к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр решений для окончания поддержки Windows 2000 — это отправная точка для планирования стратегии миграции из Windows 2000. Дополнительные сведения см. в политике жизненного циклаподдержки Майкрософт.

Аннотация

Центр сертификации (ЦС) — это центральный компонент инфраструктуры открытых ключей (PKI) организации. ЦС настроены на много лет или несколько десятков лет, в течение которых оборудование, в котором размещен ЦС, вероятно, обновляется.

Чтобы переместить ЦС с сервера под управлением Windows 2000 Server на сервер под управлением Windows Server 2003, необходимо сначала обновить сервер ЦС под управлением Windows 2000 Server до Windows Server 2003. Затем можно следовать шагам, описанным в этой статье.

Убедитесь, что %Systemroot% целевого сервера соответствует %Systemroot% сервера, с которого сделана резервная копия состояния системы.

При установке компонентов сервера ЦС необходимо изменить путь к файлам ЦС, чтобы они совпадали с расположением резервной копии. Например, при резервном копировании из папки D: Winnt System32 Certlog необходимо восстановить резервную копию в папку \ \ \ D: \ Winnt \ System32 \ Certlog. Резервное копирование невозможно восстановить в папку C: \ Winnt \ System32 \ Certlog. После восстановления резервной копии можно переместить файлы базы данных ЦС в расположение по умолчанию.

Если попытаться восстановить резервную копию, а %Systemroot% резервной копии и целевой сервер не совпадают, может появиться следующее сообщение об ошибке:

Восстановление добавоального изображения невозможно выполнить до восстановления из полного образа. Недопустимое имя каталога. 0x8007010b (WIN32/HTTP:267)

При перемещении служб сертификатов из 32-битной операционной системы в 64-битную операционную систему или наоборот может возникнуть ошибка с одним из следующих сообщений об ошибке:

Ожидаемые данные не существуют в этом каталоге.

Восстановление добавного изображения невозможно выполнить перед восстановлением из полного образа 0x8007010b (WIN32/HTTP:267)

Изменение формата базы данных с 32-битной версии на 64-битную вызывает несовместимость, и восстановление блокируется. Это похоже на переход с Windows 2000 на Windows Server 2003 CA. Однако нет пути обновления с 32-битной версии Windows Server 2003 до 64-битной версии. Таким образом, нельзя переместить существующую 32-битную базу данных в 64-битную базу данных на компьютере с Windows Server 2003. Однако можно обновить windows Server 2003 CA (работающий в Windows Server 2003 x86) до Windows Server 2008 R2 ca (работает на Windows Server 2008 R2 x64). Это обновление поддерживается.

64-х версия Windows Server 2003 R2 CD2 обновляет только 64-битные версии Windows Server 2003, основанные на архитектуре EM64T или архитектуре AMD64.

Back up and restore the certification authority keys and database in Windows Server 2003

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой теме.

Обратите внимание на шаблоны сертификатов, настроенные в папке «Шаблоны сертификатов» в оснастке «Сертификация». Параметры шаблонов сертификатов хранятся в Active Directory. Они не будут автоматически списаными. Необходимо вручную настроить параметры шаблонов сертификатов в новом ЦС для поддержания того же набора шаблонов.

Папка «Шаблоны сертификатов» существует только в корпоративном ЦС. Автономные ЦС не используют шаблоны сертификатов. Поэтому этот шаг не применяется к отдельному ЦС.

Используйте оснастку «ЦС» для базы данных ЦС и закрытого ключа. Для этого выполните следующие действия:

1. В оснастке «ЦС» щелкните правой кнопкой мыши имя ЦС, выберите «Все задачи» и выберите «Резервное копирование ЦС», чтобы запустить мастер резервного копирования.
2. Нажмите кнопку «Далее» и выберите «Закрытый ключ» и сертификат ЦС.
3. Щелкните журнал базы данных сертификатов и базы данных сертификатов.
4. Используйте пустую папку в качестве места резервного копирования. Убедитесь, что новый сервер может получить доступ к папке резервной копии.
5. Нажмите кнопку Далее. Если указанная папка резервного копирования не существует, мастер резервного копирования для сертификации создает ее.
6. Введите и подтвердит пароль для файла резервной копии закрытого ключа ЦС.
7. Нажмите кнопку«Далее» и проверьте параметры резервного копирования. Должны отображаться следующие параметры:
   • Закрытый ключ и сертификат ЦС
   • Выданные запросы журнала и ожидающих запросов
8. Нажмите кнопку Готово.

Сохраните параметры реестра для этого ЦС. Для этого выполните следующие действия:

1. Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите regedit и нажмите кнопку ОК.
2. Найдите и щелкните правой кнопкой мыши следующий подраздел реестра:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
3. Нажмите кнопку Экспорт.
4. Сохраните файл реестра в папке резервной копии ЦС, определенной на шаге 2d.

Удалите службы сертификатов со старого сервера.

На этом этапе объекты удаляются из Active Directory. Не выполышать этот шаг по порядку. Если удаление исходных ЦС выполняется после установки целевого ЦС (шаг 6 в этом разделе), целевой ЦС станет непригодным для работы.

Переименуем старый сервер или окончательно отключите его от сети.

Установите службы сертификатов на новом сервере. Для этого выполните указанные ниже действия.

Новый сервер должен иметь то же имя компьютера, что и старый сервер.

1. В окне «Панель управления» дважды щелкните значок Установка и удаление программ.
2. Нажмите кнопку «Добавить или удалить компоненты Windows», выберите «Службы сертификатов» в мастере компонентов Windows и нажмите кнопку «Далее».
3. В диалоговом окне «Тип ЦС» щелкните соответствующий тип ЦС.
4. Щелкните «Использовать пользовательские параметры» для создания пары ключей и сертификата ЦС, а затем нажмите кнопку «Далее».
5. Нажмите кнопку «Импорт» и введите путь к . P12-файл в папке резервной копии введите пароль, выбранный на шаге 2f, и нажмите кнопку «ОК».
6. В диалоговом окне «Пара открытых и закрытых ключей» убедитесь, что проверка использования существующих ключей проверена.
7. Дважды нажмите кнопку Далее.
8. Примите параметры базы данных сертификатов по умолчанию, нажмите кнопку «Далее» и нажмите кнопку «Готово», чтобы завершить установку служб сертификатов.

Остановите службы сертификатов.

Найдите файл реестра, сохраненный на шаге 3, и дважды щелкните его, чтобы импортировать параметры реестра. Если путь, показанный в экспорте реестра из старого ЦС, отличается от нового, необходимо соответствующим образом настроить экспорт реестра. По умолчанию новый путь C: \ Windows в Windows Server 2003.

Используйте оснастку «ЦС» для восстановления базы данных ЦС. Для этого выполните следующие действия:

В оснастке «ЦС» щелкните правой кнопкой мыши имя ЦС, выберите «Все задачи» и выберите «Восстановить ЦС».

Запускается мастер восстановления для сертификации.

Нажмите кнопку «Далее» и выберите «Закрытый ключ» и сертификат ЦС.

Щелкните журнал базы данных сертификатов и базы данных сертификатов.

Введите расположение папки резервной копии и нажмите кнопку «Далее».

Проверьте параметры резервного копирования. Должны отображаться параметры «Выданный журнал» и «Ожидающих запросов».

Нажмите кнопку «Готово» и нажмите кнопку «Да», чтобы перезапустить службы сертификатов при восстановлении базы данных ЦС.

Читайте также:  Драйвер блютуз для linux

В процессе восстановления ЦС может возникнуть следующая ошибка, если папка резервного копирования ЦС не имеет правильного формата структуры папок:

Ожидаемые данные не существуют в этом каталоге.
Выберите другой каталог. Недопустимое имя каталога. 0x8007010b (WIN32/HTTP: 267)

Правильная структура папок:

• В: \ Ca_Backup \ CA_NAME.p12
• C: \ Ca_Backup \ Database \ certbkxp.dat
• C: \ Ca_Backup \ Database \ edb####.log
• C: \ Ca_Backup \ Database \ CA_NAME.edb

Где C: Ca_Backup папка, выбранная на этапе резервного \ копирования ЦС на шаге 2.

В оснастке «Сертификация» вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать параметры шаблонов сертификатов, которые вы указали на шаге 1.

Back up and restore the certification authority keys and database in Windows 2000 Server

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой теме.

Обратите внимание на шаблоны сертификатов, настроенные в папке «Шаблоны сертификатов» в оснастке «Сертификация». Параметры шаблонов сертификатов хранятся в Active Directory. Они не будут автоматически списаными. Необходимо вручную настроить параметры шаблонов сертификатов в новом ЦС для поддержания того же набора шаблонов.

Папка «Шаблоны сертификатов» существует только в корпоративном ЦС. Автономные ЦС не используют шаблоны сертификатов. Поэтому этот шаг не применяется к отдельному ЦС.

Используйте оснастку «ЦС» для базы данных ЦС и закрытого ключа. Для этого выполните следующие действия:

1. В оснастке «ЦС» щелкните правой кнопкой мыши имя ЦС, выберите «Все задачи» и выберите «Резервное копирование ЦС», чтобы запустить мастер резервного копирования.
2. Нажмите кнопку «Далее» и выберите «Закрытый ключ» и сертификат ЦС.
3. Щелкните журнал выданного сертификата и очередь ожидающих запросов сертификатов.
4. Используйте пустую папку в качестве места резервного копирования. Убедитесь, что новый сервер может получить доступ к папке резервной копии.
5. Нажмите кнопку Далее. Если указанная папка резервного копирования не существует, мастер резервного копирования для сертификации создает ее.
6. Введите и подтвердит пароль для файла резервной копии закрытого ключа ЦС.
7. Нажмите кнопку «Далее» два раза, а затем проверьте параметры резервного копирования. Должны отображаться следующие параметры:
   • Закрытый ключ и сертификат ЦС
   • Выданные запросы журнала и ожидающих запросов
8. Нажмите кнопку Готово.

Сохраните параметры реестра для этого ЦС. Для этого выполните следующие действия:

1. Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите regedit и нажмите кнопку ОК.
2. Найдите и щелкните правой кнопкой мыши следующий подкомедий реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
3. Щелкните «Конфигурация» и выберите «Экспорт файла реестра» в меню реестра.
4. Сохраните файл реестра в папке резервной копии ЦС, определенной на шаге 2d.

Удалите службы сертификатов со старого сервера.

На этом этапе объекты удаляются из Active Directory. Не выполышать этот шаг по порядку. Если удаление исходных ЦС выполняется после установки целевого ЦС (шаг 6 в этом разделе), целевой ЦС станет непригодным для работы.

Переименуем старый сервер или окончательно отключите его от сети.

Установите службы сертификатов на новом сервере. Для этого выполните указанные ниже действия.

Новый сервер должен иметь то же имя компьютера, что и старый сервер.

1. На панели управления дважды щелкните Установка и удаление программ.
2. Нажмите кнопку «Добавить или удалить компоненты Windows», выберите «Службы сертификатов» в мастере компонентов Windows и нажмите кнопку «Далее».
3. В диалоговом окне «Тип ЦС» щелкните соответствующий тип ЦС.
4. Нажмите кнопку «Дополнительные параметры» и нажмите кнопку «Далее».
5. В диалоговом окне «Пара открытых и закрытых ключей» щелкните «Использовать существующие ключи», а затем нажмите кнопку «Импорт».
6. Введите путь к . P12-файл в папке резервной копии введите пароль, выбранный на шаге 2f, и нажмите кнопку «ОК».
7. Нажмите кнопку «Далее», при необходимости введите описание ЦС и нажмите кнопку «Далее».
8. Примите параметры расположения хранилища данных по умолчанию, нажмите кнопку «Далее» и нажмите кнопку «Готово», чтобы завершить установку служб сертификатов.

Остановите службы сертификатов.

Найдите файл реестра, сохраненный на шаге 3, и дважды щелкните его, чтобы импортировать параметры реестра.

Используйте оснастку «ЦС» для восстановления базы данных ЦС. Для этого выполните следующие действия:

В оснастке «ЦС» щелкните правой кнопкой мыши имя ЦС, выберите «Все задачи» и выберите «Восстановить ЦС».

Запускается мастер восстановления для сертификации.

Нажмите кнопку «Далее», а затем щелкните «Выданный журнал сертификата» и очередь ожидающих запросов сертификатов.

Введите расположение папки резервной копии и нажмите кнопку «Далее».

Проверьте параметры резервного копирования. Должны отображаться следующие параметры:

• Выданный журнал
• Ожидающих запросов

Нажмите кнопку «Готово» и нажмите кнопку «Да», чтобы перезапустить службы сертификатов при восстановлении базы данных ЦС.

В оснастке «Сертификация» вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать параметры шаблонов сертификатов, которые вы указали на шаге 1.

Дополнительные сведения

Дополнительные сведения о сценариях обновления и миграции для Windows Server 2003 и Windows Server 2008 см. в документе «Руководство по обновлению и миграции служб сертификатов Active Directory». Чтобы увидеть этот документ, см. руководство по обновлению и миграции служб сертификатов Active Directory.