CA服务器的升级 2003—2012

???紵

　　CA服务器的升级 windows 2003升级至windows2012
　　准备环境：1、一台windows server 2003的CA环境，一台windows server 2012 的环境。两台机器均在同一个域环境下，我在这里将server01定义为域控制器，server02 为域成员服务器。
　　注意：windows server2003 在安装CA之前，需要安装IIS，但是在windows server 2012 安装CA时，如果之前没有安装IIS，系统会自动进行安装。
　　下面，让我们进入今天的实验。
　　首先我们在win2003 服务器上面安装IIs，打来控制面板-——添加或删除程序，如下图：

　　点击添加/删除windows组件，找到“应用程序服务器”双击进入将“IIS信息服务”勾选，如下图：

　　安装完成后，点击完成。

　　下一步，将操作系统光盘挂载，如图：

　　添加证书CA服务组件，出现提示框后，点击“是”，如下图：

　　两台机器处于域环境下，我们选择CA类型“企业根CA”，点击“下一步”，如图：

　　我为创建的CA起的名称为testCA，点击“下一步”，如图：

　　数据库的位置日志文件位置保持默认，点击“下一步”，如图：

　　点击“是“，停止INTERNET服务，如图：

　　向导完成后，点击“完成“，如图：

　　下一步我们在IIS管理器上创建 新的网站，如图:

　　弹出网站创建向导，点击“下一步“，如图：

　　我们为新的站点起名为“test”，点击“下一步”如图：

　　指定站点的根目录，点击“下一步”，如图：

　　我们根据个人的需求，分配给网站相应的访问权限，点击“下一步”，如图：

　　分配给网站IP，注意，在下图中的TCP端口号将80 更改为其他不常用的端口号，点击下一步，如图：

　　接下来，点击完成：

　　配置好网站信息后打开test站点，点击网站属性，如下图：

　　找到目录安全性——安全通信——服务器证书，如下图：

　　进入WEB服务器证书向导，点击“下一步”，如图：

　　选择新建证书，点击“下一步”，如图：

　　选择“现在准备证书请求，但稍后发送”，点击“下一步”，如下图：

　　证书请求的文件名我们保持默认，点击下一步，如图：

　　确认好文件摘要后，点击下一步继续，如图：

　　这里的公用名称指的是客户端访问的模式，如我们用IP地址访问，就输入一个CA证书服务器的IP地址，如下图：

　　完成证书向导后，我们点击完成。

　　下面我们来到资源管理器，找到请求证书的文件，将里面的内容复制，，如下图：

　　复制后，我们在浏览器中访问http://192.168.1.105/certsrv ，选择“申请一个证书“，如下图：

　　我们点击“高级证书申请“，如图：

　　下一步，我们选择“使用base64 编码提交申请“，如图;

　　将之前复制的请求申请文件内容复制到文本框中，点击“提交申请“，如图：

　　域的证书会自动颁发，工作组的证书则需要手动颁发。下面我们选择下载证书，如图：

　　这时我们就可来到证书颁发机构，查看颁发的证书，如图：

　　以上的实验操作完整的还原了windows server2003 环境下的CA状态，下面的操作，就是对于CA服务器的升级操作啦！！！！
　　在升级之前，我们要将CA进行备份处理，对于备份的处理还是很容易操作的，点击本地服务器——所有任务——备份，如图：

　　点击备份后，会弹出CA备份向导，跟着向导进行操作，点击下一步，如图：

　　下面我们要将CA数据库进行备份
　　注意这里要将两个备份选项都勾选上，并指定备份的位置，如下图：

　　我们需要设置一个密码来设置一个密钥，将来恢复CA时需要用到。
　　，点击“下一步“，如图：

　　下一步，点击完成，结束证书颁发机构的备份：

　　下面这步是最重要的一步，也是最为关键的一步，由于证书是写到注册表中的，所以我们将注册表进行备份，运行regedit，打开注册表编辑器，如下图：

　　我们定位到Local_Machine-SYSTEM-CurrentControlSet-Services-Certsrv-Configuration。如下图：

　　右键点击“导出”，将注册表键值导出为文件保存。

　　以上操作是对旧的CA服务器进行操作，我们需要将备份的CA数据库文件和注册表文件复制到新的CA服务器上面server01，如下图所示：

　　在新的服务器上我们首先要部署CA服务器，添加CA服务组件，由于之前我们已将讲过如何部署，在这里我就简单的说一下，如下图：

　　将CA证书服务勾选，点击下一步：

　　将证书颁发机构和证书颁发机构和WEB注册勾选，点击下一步。如图：

　　之前我们谈到，windows 2012 上在安装证书服务前如果没有安装IIs，系统会自动安装，如下图：

　　证书服务安装完成点击关闭：

　　下面我们需要将AD证书服务进行配置，如下图：

　　凭据我们以域管理员身份，默认点击下一步即可：

　　将证书颁发机构和证书颁发机构和WEB注册勾选，点击下一步。如图：

　　域环境下同样我们选择的还是企业CA，点击下一步：

　　CA类型我们选择“根CA”，点击下一步，如图：

　　之前我们创建过私钥，所以这里选择使用现有私钥，点击下一步，如图所示：

　　导入证书的文件位置就是CA数据库备份文件的位置，密码为创建的私钥，如图：

　　确认导入的证书后，点击下一步：

　　下面就开始配置AD证书服务，点击“配置“，如图：

　　配置成功后，如图所示，点击关闭：

　　接下来我们要在新的CA服务器上对注册表进行还原操作，很简单，双击注册表文件即可。如下图：

　　双击后会出现如下的提示框，我们点击“是“继续。如图：

　　如下图显示，注册已经被还原成功啦~~

　　注册表还原完成后，接下来我们要还原证书数据库，工具——证书颁发机构,在服务器上面右击——所有任务——还原CA。如下图：

　　弹出如下提示框，我们单击确定，如图：

　　进入证书还原向导，点击下一步：

　　还原的位置是证书数据库的备份位置，将还原的项目全部勾选，如下图：

　　输入私钥来还原证书，点击下一步。如图：

　　点击完成，关闭证书还原向导：

　　下面出现的提示显示还原操作已经完成，点击“是“，启动AD证书服务，如下图：

　　我们点开办法的证书，可以看到原来办法的证书在列。如图:

　　以上的操作就完成了CA证书服务器的升级2003—2012.下面我们就可以在旧的CA服务器上卸载证书服务了，将证书服务的对勾去掉，点击下一步即可。如下图：

　　由于整个升级的过程步骤较多，图片也很多，感谢大家愿意花费时间耐心观看，谢谢~~希望大家能够多多提出宝贵意见！！