Янв
15
2016

Миграция центра сертификации Microsoft на новый сервер

changes-w2k8r2-04Друзья, столкнулся с интересной задачей — перенести центра сертификации Microsoft на новый сервер. Ну для начала мы должны понимать, что сама по себе инфраструктура открытых ключей просто так не разворачивается, следовательно уже есть выданные сертификаты и пред настроенные шаблоны. Причина, по которой может возникнуть необходимость миграции может быть много, от аппаратных проблем с сервером до переноса сервера в виртуальную среду.

Диспозиция:

Сервер Windows Server 2008 R2 c установленной ролью Active Directory Certificate Service и наличием аппаратных проблем)

Новый сервер Windows Server 2012 R2.

Цель:

Перенос сервиса сертификации Active Directory на Windows Server 2012 R2.

Для начала подготовим резервную копию текущего центра сертификации. Для этого в оснастке Certificate Authority через

все задачи выбираем Архивация ЦС

cert_backup

Указываем архивирование всех элементов ЦС и путь для резервной копии

cert_backup2

Для защиты закрытого ключа и файла сертификата центра сертификации указываем пароль

cert_backup3

Архивация центра сертификации выполнена

cert_backup34

Кроме базы данных центра сертификации Microsoft необходимо выгрузить и настройки, которые хранятся в реестре.

Для этого нужно выгрузить ветку

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

reg export

Итог должен выглядеть так:

export

После проведения подобных манипуляция можно остановить службу сервера сертификатов и в последствии удалить центр сертификации со старого сервера. Данный процесс описывать большого смысла не имеет. Идем дальше.

В промежуточном результате мы имеем экспортированную конфигурацию служба сертификатов Active Directory и желание его «реанимировать» на новом сервере.

Продолжим, установим  cлужбу сертификатов Active Directory c необходимыми компонентами. Та этом вопросе останавливаться долго не будем, полагаю тут все просто:

Установка роли2

Установка роли3

Выбор необходимых ролей

Установка роли4

Непосредственно процесс установки

install new

После завершения установки диспетчер серверов автоматически предложит произвести первоначальную конфигурацию сервера сертификатов в соответствии с необходимыми требованиями. В нашем случае — это восстановление из действующей резервной копии.

Нажимаем «Настроить службы сертификатов Active Directory..»

new setup

 

 

 

 

 

 

 

 

 

 

В открывшемся окне выбираем учетную запись от имени которой будет производится настройка сервера. Роль должна входить в группу «Администраторы предприятия»

setup1

На следующем шаге указываем какие роли мы будем настраивать

setup2

setup3

В следующем окне выбираем “Корневой ЦС” в качестве типа ЦС и нажмите Далее для продолжения.

setup4

На следующем этапе мы указываем что это не новая установка, а миграция. Т.е. у нас уже есть зарезервированный закрытый ключ. Выбираем этот пункт и продолжаем.

setup5

На этом этапе указываем путь к выгруженному сертификату со старого центра сертификации и пароль указанный при экспорте к нему.

setup6

После импорта то мы увидим наш сертификат

setup7

На следующем этапе определяем путь к базе данных сертификата. Тут я оставил все как есть, по умолчанию. Далее.

setup8

Итоговая проверка всех указанных выше параметров для настройки

setup9

Процесс настройки завершен.

setup10

После настройки параметров ЦС, преступим у его восстановлению. На созданном сервере сертификатов выбираем «Восстановление ЦС»

sert restore

Выбираем элементы, и указываем путь к папке в которую произведен экспорт

reg export 2

На следующем этапе вводим пароль, который мы использовали для того, чтобы защитить закрытый ключ в процессе резервирования.

reg export 3

Восстановление завершено. Осталось только восстановить параметры, которые хранятся в реестре. Для этого как раз мы и экспортировали ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Для импорта открываем фай и добавляем его в реестр. Появится предупреждающее окно. Нажмите Да для восстановления ключа реестра.

regedit

Осталось проверить работу нового центра сертификации. Как видим, все выданные сертификаты перенесены.

finish

Новый Web сервер работает выдачи сертификатов работает.

finish2

Итог: Сервис сертификации Active Directory успешно перенесен на новый сервер, при этом как мы видели, произошла и миграции в рамках операционной системы 2008R2 -> 2012R2.

Поделиться в соц. сетях

Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
Опубликовать Вконтакте
Опубликовать в Яндекс

Мастерская IT решений © | 2013-2016 | При копировании или цитировании ссылка на сайт netolkoit.ru и автора обязательна!