Lync实验环境之证书颁发机构迁移
上篇顺利完成了Active Directory 域服务和 DNS 服务器迁移,此篇讲一下集成在域服务器上的证书颁发机构的迁移。备份源服务器
一、备份 CA 模板列表(仅企业 CA 需要)
使用 Certutil.exe 记录 CA 模板列表键入 certutil.exe –catemplates > c:\catemplates.txt,并按 Enter。
二、记录 CA 的 CSP 和签名算法。
使用 Certutil.exe 记录 CA 的 CSP键入 certutil.exe –getreg ca\csp\* >c:\csp.txt,并按 Enter。
三、发布有效期延长的 CRL。
四、备份 CA 数据库和私钥
五、备份 CA 注册表设置在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中,右键单击“Configuration”,然后单击“导出”。
六、从源服务器中删除 CA 角色服务
删除 CA 角色服务的操作不会从源服务器中删除 CA 数据库、私钥和证书。因此,如果迁移失败并且需要执行回滚,在源服务器上重新安装 CA 角色服务即可还原源 CA。
七、原域控dc001重命名为dc003,把新的提升为主域控制器dc002重命名为dc001
具体操作参考上篇。
八、
将 CA 角色服务添加到目标服务器(现在名称是dc001)
导入备份的源服务器CA证书并使用私钥
在目标服务器上还原源 CA 数据库
在目标服务器上还原源 CA 注册表设置
验证 CA 注册表设置
找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration 项
验证以下设置中指定的位置对于目标服务器是否正确,并根据需要更改它们以指示 CA 数据库和日志文件的位置。
[*]DBDirectory
[*]DBLogDirectory
[*]DBSystemDirectory
[*]DBTempDirectory
验证DBSessionCount ,在“数值数据”中,确认是64
还原证书模板列表键入 certutil -setcatemplates +<模板列表>,并按 Enter。
例如,certutil -setcatemplates +Administrator,User,DomainController。查看在备份 CA 模板列表过程中创建的模板的列表
1
certutil -setcatemplates +Administrator,User,DomainController,DirectoryEmailReplication,DomainControllerAuthentication,EFSRecovery,EFS,WebServer,Machine,SubCA
至此,CA证书颁发机构迁移完毕。
参考:https://technet.microsoft.com/zh-cn/library/ee126170(v=ws.10).aspx
页:
[1]