Active Direcyory之证书颁发机构（CA服务器）升级

124q31

前几次给大家介绍过CA服务器的部署于使用，今天给大家介绍一下，CA服务器的升级
首先说一下，今天的实验环境，本次实验室CA的升级，从Windows server 2003升级到Windows server 2012，本次实验，需要三台服务器，一台是2003，安装CA，一台做域控制器，一台做升级后的CA服务器。
实验准备：
server01：域控制器（windows server 2012）
server02：升级后的CA服务器（windows server 2012）
server06：升级前的服务器（windows server 2003）
实验准备：搭建一个域环境，需要一台域控制器（server01），其它服务器都要在域环境中，做普通服务器即可
实验步骤：
1.  准备Windows 2003的CA环境
我们要先在server06上安装CA服务器，在安装CA之前，我们必须先安装IIS，否则CS服务器无法正常工作
打开控制面板，找到添加或删除程序

选择添加或删除Windows组件，找到应用程序服务器

双击打开，勾选IIS服务，点击确定

完成安装

下面我们来安装CA服务器，打开添加或删除程序，选择添加或删除Windows组件，找到证书服务

勾选证书服务后，悔弹出如下图所示的提示框，我们选择是

CA类型，我们选择企业根

输入CA的公用名称

这里是选择证书数据库，数据库日志和配置信息的位置，我们默认即可

选择完位置后，会弹出下图所示的提示信息。选择是

安装开始

安装过程中，会有如下图所示的提示，询问是否现在启用 Active Sserver Page ，我们选择是

安装完成

2.测试CA服务器是否正常工作
我们新建一个Web站点，做测试用，右键单击测试用站点，选择属性

选择目录安全性，选择下面的服务器证书，我们去向CA申请证书

选择新建证书

选择第一项，如下图

这里输入的公用名称，是用于访问的名称，通过什么访问就输入什么，因为我们只是测试CA服务器，所以，我们就用IP地址访问测试网站，所以，这里就输入IP地址

选择证书请求文件保存的位置，我们就把它放在C盘根目录下面即可

完成证书申请

找到刚才的文件，将里面的内容复制下来

打开浏览器，输入  http://192.168.10.106/certsrv  选择申请一个证书

选择攻击证书申请

选择使用base64编码的········（偷个懒不打了），如下图

将刚才复制的内容粘贴到保存的申请中，选择证书模板，点击提交

因为我们是在域环境中，所以证书服务器会自动颁发证书，点击下载证书

选择证书存放位置

我们去证书服务器查看一下，单击颁发的证书，我们能看到刚才颁发的证书，证明证书服务器工作正常

3.  备份证书数据库
单击开始，选择管理工具，证书颁发机构

右键单击CA服务器名称，选择所有任务，备份CA

选择要备份的项目，我们将这两项都选择上，单击浏览，选择备份的地址，这里选择的是我们新建的CABeiFen文件夹

输入一个密码，用于访问私钥和CA证书文件，这个密码在后面需要用到，所以请记牢

完成备份
     
4. 备份注册表
备份过证书，下面我们来备份注册表，很多朋友在做升级的时候，只备份CA，以为就可以了，结果在还原的时候，出现了很多问题，其实，就是因为没有备份注册表的原因
在server06（CA服务器）上运行Regedit，打开注册表，定位到                                                                 Local_Machine-SYSTEM-CurrentControlSet-Services-Certsvc-Configuration


右键单击 Congifuration，选择导出

选择备份到我们刚才新建的CABeiFen文件夹，并输入名称，这里用的名称是 ZhuCeBiao

4. 复制备份文件夹至到用于升级的CA服务器上
我们把CABeiFen文件共享

在server02（用于升级的CA服务器）上通过访问共享，将文件夹复制到server02上
在server02中，打开Windows资源管理，输入  \192.168.10.106  复制CABeiFen

将文件夹粘贴到C盘跟目录下

5. 在新CA服务器上安装CA服务
在server02上安装CA证书服务，打开服务器管理器，选择添加角色与功能

勾选AD证书服务

这里会询问时候添加AD证书服务所需的功能，选择添加功能

勾选证书颁发机构和证书颁发机构Web注册

这里选择添加功能

因为CA服务器，需要IIS的支持，所以会添加IIS服务，这里我们选择默认，直接下一步

开始安装，等待即可

6. 简单配置新安装的CA服务器
安装完CA服务器后，我们单击小旗子，选择配置证书服务（CA）

凭证以域管理员身份登陆

勾选证书颁发机构和证书颁发机构Web注册

CA类型选择企业

选择 根

在指定私钥类型时，选择使用现有私钥中第一个选项

选择现有证书，我们选择导入

单击浏览，查找证书

选择我们刚才复制过来的文件夹，找到证书，名称是CA服务器的名称

选择完证书后，我们输入密码，就是在备份时输入的密码，输入完成后，点击确定

等待一会后，会出现一个证书，选择这个证书，并单击下一步

选择证书数据库的位置，这里我们选择默认的位置即可

确认配置

配置完成

7. 还原注册表
下面我们来还原注册表，双击注册表文件，会弹出提示，我们选择确定

注册表还原完成

8. 还原CA证书数据库
下面我们来还原证书数据库，打开server02的服务器管理器---选择证书颁发机构

右键单击CA服务器名，选择所有任务，还原CA

选择还原后，会提示你还原过程中，不能运行CA，是否停止CA服务器，选择是

进入证书还原向导

选择要还原的项目，这里我们全部勾选，单击浏览，选择还原位置，就是我们复制过来的文件夹

输入访问密码，就是备份时输入的密码

还原完成

还原完成后，会弹出提示，询问是否启动CA服务器，选择是

CA服务器正在启动中，等待即可

启动成功后，我们单击颁发的证书，会看到我们刚才颁发的证书，证明我们的还原是成功的

9. 卸载server06的CA服务器
单击开始，选择控制面板，单击添加或删除程序

去掉证书服务的对勾

开始卸载

卸载完成

呼呼，到现在为止，我们终于完成了CA服务器的升级。
今天就到这里吧，休息，休息~~~