перенос центра сертификации
alxmel
Участник
NanoSuit
Участник
LayLa
Участник
В основном все с водится к архивации центра сертификации и восстановлению
Чтобы архивировать центр сертификации
1 Откройте оснастку «Центр сертификации».
При создании архивной копии центра сертификации предприятия, щелкните Шаблоны сертификатов для центра сертификации и запишите приведенные имена шаблонов сертификатов.
Параметры шаблонов сертификатов хранятся в доменных службах Active Directory и не подлежат автоматической архивации. Понадобится вручную добавить необходимые шаблоны сертификатов в новый центр сертификации.
2 В оснастке «Центр сертификации» щелкните правой кнопкой мыши имя центра сертификации, выберите команду Все задачи, затем щелкните Архивация ЦС, чтобы открыть мастер архивации центра сертификации.
3 Нажмите кнопку Далее и установите флажки Закрытый ключ и сертификат ЦС и База данных сертификатов и ее журнал.
4 Укажите пустую папку или носитель для записи архива, затем нажмите кнопку Далее.
5 Введите пароль для архивного файла закрытого ключа центра сертификации, введите его второй раз для подтверждения.
6 Нажмите кнопку Далее, убедитесь, что отображаются параметры архивации Закрытый ключ и сертификат ЦС и Журнал выданных и ожидающих запросов, затем нажмите кнопку Готово.
7 Нажмите кнопку Пуск, выберите команду Выполнить, введите regedit и нажмите кнопку ОК.
8 Найдите и щелкните правой кнопкой следующий раздел реестра:
9 Выберите команду Экспорт.
10 Сохраните файл реестра в архивной папке центра сертификации, которая используется в мастере архивации центра сертификации.
11 Удалите центр сертификации со старого сервера, переименуйте старый сервер или окончательно отключите его от сети.
Перед началом процедуры восстановления, убедитесь, что папка %Systemroot% на целевом сервере, работающем под управлением операционной системы Windows Server 2008, соответствует папке %Systemroot% сервера, на котором была выполнена архивация.
Кроме того, место восстановления центра сертификации должно соответствовать месту архивации центра сертификации. Например, при архивации центра сертификации из папки D:\Winnt\System32\Certlog folder необходимо восстановить архив в ту же папку D:\Winnt\System32\Certlog. После восстановления архива можно переместить файлы базы данных центра сертификации в другое место.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы или наличие эквивалентных прав. Минимальным требованием для выполнения этой процедуры для центра сертификации предприятия является членство в группе Администраторы домена или наличие эквивалентных прав.
Чтобы восстановить центр сертификации на новом сервере из архива
1 Откройте Диспетчер серверов и щелкните Службы сертификации Active Directory. Дважды нажмите кнопку Далее .
2 На странице Выбор служб ролей установите флажок Центр сертификации и затем нажмите кнопку Далее.
3 На вкладке Задание типа установки щелкните Изолированный или Предприятие, а затем нажмите кнопку Далее.
4 На странице Задание типа ЦС выберите необходимый тип центра сертификации и нажмите кнопку Далее.
5 На странице Установка закрытого ключа последовательно щелкните Использовать существующий закрытый ключ, Выбрать сертификат и использовать связанный с ним закрытый ключ и нажмите кнопку Далее.
6 На странице Выбрать существующий сертификат выберите Импорт введите путь к файлу P12 в папке архива, введите пароль, который был указан в предыдущей процедуре для защиты архивного файла, и нажмите кнопку ОК.
7 В диалоговом окне Пара из открытого и закрытого ключей подтвердите выбор параметра Использовать существующие ключи .
8 Дважды нажмите кнопку Далее .
9 На странице Настройка базы данных сертификатов укажите то же местоположение базы данных сертификатов и журнала базы данных, что и на предыдущем компьютере центра сертификации. Нажмите кнопку Далее.
10 На странице Подтверждение параметров установки просмотрите все заданные параметры конфигурации. Если следует принять все эти параметры, нажмите кнопку Установить и дождитесь окончания установки.
11 Откройте оснастку «Службы», чтобы остановить службу сертификатов Active Directory.
12 Дважды щелкните файл реестра, который был сохранен во время архивации, чтобы импортировать значения реестра. Если путь, отображаемый при экспорте реестра из старого центра сертификации, отличается от нового пути, необходимо изменить параметры экспорта реестра соответствующим образом.
13 Откройте оснастку «Центр сертификации» щелкните правой кнопкой мыши имя центра сертификации, выберите команду Все задачи, затем щелкните Восстановление ЦС , чтобыоткрыть мастер архивации центра сертификации.
14 Нажмите кнопку Далее и установите флажки Закрытый ключ и сертификат ЦС и База данных сертификатов и ее журнал .
15 Введите местоположение папки архива и нажмите кнопку Далее.
16 Проверьте параметры архивации. Должны отображаться параметры Журнал выданных и ожидающих запросов.
17 Нажмите кнопку Готово, затем нажмите Да для перезапуска служб сертификатов Active Directory после восстановления базы данных центра сертификации.
18 При работе с центром сертификации предприятия восстановите шаблоны сертификатов из доменных служб Active Directory, которые были записаны туда во время выполнения предыдущей процедуры.
Перенос центра сертификации Windows 2008 — 2012
Доброго времени суток.
При переносе центра сертификации с Windows Server 2008 R2 standart на Windows Server 2012 R2 standart добавление роли происходит без проблем но при конфигурировании возникла проблема с выбором варианта установки, недоступен режим ЦС предприятия (Enterprise). Данная проблема возникает когда у пользователя недостаточно прав, но в моем случае права у пользователя были установлены как «Администратор предприятия». При повторной конфигурации ЦС был выбран пользователь с правами «Администратор домена» и также без результата. Попытался вернуть все назад как было (откатится на старый сервер), и тут также не удается выбрать Enterprise. Попытался поднять ЦС на нескольких других серверах в сети без результата. Добавил компонент на контроллер домена и там такая же картина.
PS: контроллер домена на Windows server 2003 R2 standart.
Подскажите в какую сторону двигаться, чтобы поднять ЦС уже хотя бы на любом сервере в AD?
Центр сертификации Windows Server 2008
Доброго времени суток. Вопрос следующий: есть клиентское приложение которое шифрует файл.
Работа с БД центра сертификации винды
Вопрос, корректный PS скрипт, точнее фильтр, выводящий из БД CA серты у которых срок жизни.
Получить информацию о сертификате из центра сертификации
Добрый день. Мне необходимо получить информацию о сертификате зная доменное имя пользователя. Т.е.
Windows 8 + Windows server (2008-2012)
Добры вечер. Имеется следующий вопрос: В ближ. будущем у меня появиться ноутбук. Параметры: .
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.
Обновление Windows Server 2008 на Windows Server 2012 без каких-либо потерь конфигурации сервера
Добрый день товарищи! Подскажите можно ли как нибудь обновиться до версии 2012 без каких либо.
Общие папки в Диспетчере серверов Windows 2012, расшаренные на Server 2008
Добрый день! Имееются в домене 2 КД: Server 2012 и Server 2008, на котором лежат общие ресурсы. .
Какая наиболее хорошая и гибкая версия Windows server 2003, 2008, 2012
Какая наиболее хорошая и гибкая версия Windows server 2003, 2008, 2012? И есть ли Windows server.
Перенос сайта на Windows Server 2008
Есть написанный сайт с помощью Денвера, его нужно перенести на windows server 2008 и что бы всем в.
Информационный портал по безопасности
Информационный портал по безопасности » Админитстрирование » Системное администрирование » Шаг за шагом: Миграция Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2
Шаг за шагом: Миграция Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2
Автор: admin от 7-04-2015, 14:44, посмотрело: 1 495
Как вы уже должны знать, поддержка Windows Server 2003 и Windows Server 2003 R2 заканчивается 14 июля 2015 года. Зная это, ИТ профессионалы либо уже провели миграцию, либо этот процесс должен находиться в самом разгаре. В этой статье будут описаны шаги, необходимые для миграции Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2.
Для демонстрации будут использованы следующие установки:
| Имя сервера | Операционная система | Роли сервера |
|---|---|---|
| canitpro-casrv.canitpro.local | Windows Server 2003 R2 Enterprise x86 | AD CS (Enterprise Certificate Authority ) |
| CANITPRO-DC2K12.canitpro.local | Windows Server 2012 R2 x64 |
Шаг 1. Резервная копия конфигурации и базы данных центра сертификации Windows Server 2003
Заходим в Windows Server 2003 под учетной записью из группы локальных администраторов.
Выбираем Start – Administrative Tools – Certificate Authority
Щелкаем правой кнопкой мыши по узлу сервера. Выбираем All Tasks, затем Back up CA
Откроется “Certification Authority Backup Wizard” и нажимаем “Next” для продолжения.
В следующем окне выбираете те пункты, которые подсвечены, чтобы указать нужные настройки и нажмите “Browse” для того, чтобы указать место сохранения резервной копии. Нажмите “Next” для продолжения.
Далее вам будет предложено ввести пароль для того, чтобы защитить закрытый ключ и файл сертификата центра сертификации. После того, как введете пароль, нажмите “Next”.
В следующем окне будет запрошено подтверждение. Если все в порядке – нажмите “Finish” для завершения процесса.
Шаг 2. Резервирование параметров реестра центра сертификации
Нажмите Start, затем Run. Напечатайте regedit и нажмите ОК.
Затем откройте HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvc
Щелкните правой кнопкой мыши по ключу “Configuration” и выберите “Export”
В следующем окне укажите путь, по которому вы хотите сохранить резервный файл и укажите его имя. Затем нажмите “Save”, чтобы закончить резервирование.
Теперь у нас есть резервные файлы центра сертификации и мы можем переместить эти файлы на новый сервер Windows Server 2012 R2.
Шаг 3. Удаление службы центра сертификации с Windows Server 2003
Теперь, когда готовы резервные файлы и прежде, чем настроить службы сертификации на новом Windows Server 2012 R2, мы можем удалить службы центра сертификации с Windows Server 2003. Для этого нужно проделать следующие шаги.
Щёлкаем Start > Control Panel > Add or Remove Programs
Затем выбираем “Add/Remove Windows Components”
В следующем окне уберите галочку с пункта “Certificate Services” и нажмите “Next” для продолжения
После завершения процесса, вы увидите подтверждение и можете нажать “Finish”
На этом этапе мы закончили работу со службами центра сертификации на Windows Server 2003 и следующим шагом будем настраивать и конфигурировать центра сертификации на Windows Server 2012 R2.
Шаг 4. Установка служб сертификации на Windows Server 2012 R2
Зайдите на Windows Server 2012 R2 под учетной записью или администратора домена, или локального администратора.
Перейдите в Server Manager > Add roles and features.
Запустится “Add roles and features”, нажмите “Next” для продолжения.
В следующем окне выберите “Role-based or Feature-based installation”, нажмите “Next” для продолжения.
Из списка доступных серверов выберите ваш, и нажмите “Next” для продолжения.
В следующем окне выберите роль “Active Directory Certificate Services”, установите все сопутсвующие компоненты и нажмите “Next”.
В следующих двух окнах нажимайте “Next”. После этого вы увидите варианты выбора служб для установки. Мы выбираем Certificate Authority и Certification Authority Web Enrollment и нажимаем “Next” для продолжения.
Для установки Certification Authority Web Enrollment необходимо установить IIS. Поэтому в следующих двух окнах посмотрите краткое описание роли, выберите нужные компоненты и нажмите “Next”.
Далее вы увидите окно подтверждения. Если все в порядке, нажмите “Install” для того, чтобы начать процесс установки.
После того, как установка завершена, вы можете закрывать мастер установки и переходить к следующему шагу.
Шаг 5. Настройка AD CS
В этом шаге мы рассмотрим как настроить и восстановить те файлы резервирования, которые мы создали.
Зайдите на сервере с правами Enterprise Administrator
Перейдите в Server Manager > AD CS
C правой стороны на панели вы увидите всплывающее окно, как на скриншоте и нажмите “More”
Откроется окно, в котором вам нужно нажать “Configure Active Directory Certification Service…”
Откроется окно мастера настройки роли, в котором появится возможность изменить учетную запись. Т.к. мы уже вошли в систему с учетной записью Enterprise Administrator, то мы оставим то, что указано по умолчанию и нажмем “Next”
В следующем окне спросят, каким службы мы хотим настроить. Выберите Certificate Authority и Certification Authority Web Enrollment и нажимаем “Next” для продолжения.
Это будет Enterprise CA, поэтому в следующем окне выберите в качестве типа установки Enterprise CA и нажмите “Next” для продолжения.
В следующем окне выберите “Root CA” в качестве типа CA и нажмите “Next” для продолжения.
Следующая настройка очень важна. Если бы это была новая установка, то мы могли бы просто создать новый закрытый ключ. Но так как это процесс миграции, у нас уже есть зарезервированный закрытый ключ. Поэтому здесь выберите вариант, который отмечен на скриншоте и нажмите “Next” для продолжения.
В следующем окне нажмите кнопку “Import”.
Здесь у нас появляется возможность выбрать тот ключ, который мы зарезервировали с Windows Server 2003. Указываем путь к этому ключу и вводим пароль, который мы использовали. Затем нажимаем OK.
Далее, если импорт прошел успешно, то мы увидим наш сертификат. Выбираем его и нажимаем “Next” для продолжения.
В следующем окне мы можем определить путь к базе данных сертификата. Я оставил то, что указано по умолчанию и нажимаю “Next” для продолжения.
В следующем окне будет предоставлена вся информация для настройки. Если все нормально, то нажимаем “Configuration” для запуска процесса.
После того, как процесс завершен, закрываем мастера конфигурации.
Шаг 6. Восстановление зарезервированного CA
Теперь мы переходим к наиболее важной части всего процесса миграции, в которой мы восстановим зарезервированный в Windows Server 2003 CA.
Открываем Server Manager > Tools > Certification Authority
Щелкаете правой кнопкой мыши по имени сервера и выбираете All Tasks > Restore CA
Далее появится предупреждение о том, что служба сертификатов должна быть установлена для продолжения. Нажмите ОК.
Запустится Certification Authority Restore Wizard, нажмите “Next” для продолжения.
В следующем окне укажите путь к папке, в которой находится резервная копия. Затем выберите теже настройки, что и я на скриншоте. Нажмите “Next” для продолжения.
В следующем окне вы можете ввести пароль, который мы использовали для того, чтобы защитить закрытый ключ в процессе резервирования. После ввода, нажмите “Next” для продолжения.
В следующем окне нажмите “Finish” для завершения процесса импорта.
После успешного завершения процесса, система спросит, можно ли запустить центр сертификации. Запустите службу.
Шаг 7. Восстановление информации в реестре
Во время создания резервной копии CA мы также создали резервную копию ключа реестра. Теперь нужно ее восстановить. Для этого откройте папку, которая содержит зарезервированный ключ реестра. Щелкните по нему дважды левой кнопкой мыши.
Появится предупреждающее окно. Нажмите “Yes” для восстановления ключа реестра.
По окончании вы получите подтверждение об успешном восстановлении.
Шаг 8. Перевыпуск шаблона сертификата
Мы завершили процесс миграции, и сейчас нужно перевыпустить сертификаты. У меня были настройки шаблона в окружении Windows Server 2003, который назывался “PC Certificate”, с помощью которого выпускались сертификаты для компьютеров, включенных в домен. Теперь посмотрим, как я перевыпущу шаблон.
Открывает консоль Certification Authority
Щелкаем правой кнопкой мышки по Certificate Templates Folder > New > Certificate Template to Reissue.
Из списка шаблонов сертификатов выберите подходящий шаблон сертификата и нажмите ОК.