上篇顺利完成了Active Directory 域服务和 DNS 服务器迁移,此篇讲一下集成在域服务器上的证书颁发机构的迁移。
一、备份 CA 模板列表(仅企业 CA 需要)
键入 certutil.exe –catemplates > c:\catemplates.txt,并按 Enter。
键入 certutil.exe –getreg ca\csp\* >c:\csp.txt,并按 Enter。
三、发布有效期延长的 CRL。
四、备份 CA 数据库和私钥
在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中,右键单击“Configuration”,然后单击“导出”。
六、从源服务器中删除 CA 角色服务
删除 CA 角色服务的操作不会从源服务器中删除 CA 数据库、私钥和证书。因此,如果迁移失败并且需要执行回滚,在源服务器上重新安装 CA 角色服务即可还原源 CA。
七、原域控dc001重命名为dc003,把新的提升为主域控制器dc002重命名为dc001
具体操作参考上篇。
八、
导入备份的源服务器CA证书并使用私钥
找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration 项
验证以下设置中指定的位置对于目标服务器是否正确,并根据需要更改它们以指示 CA 数据库和日志文件的位置。
DBDirectory
DBLogDirectory
DBSystemDirectory
DBTempDirectory
验证DBSessionCount ,在“数值数据”中,确认是64
键入 certutil -setcatemplates +<模板列表>,并按 Enter。
例如,certutil -setcatemplates +Administrator,User,DomainController。查看在备份 CA 模板列表过程中创建的模板的列表
certutil -setcatemplates +Administrator,User,DomainController,DirectoryEmailReplication,DomainControllerAuthentication,EFSRecovery,EFS,WebServer,Machine,SubCA
至此,CA证书颁发机构迁移完毕。
参考:https://technet.microsoft.com/zh-cn/library/ee126170(v=ws.10).aspx
http://wuyvzhang.blog.51cto.com/9992636/1659939
本文出自 “强生的博客” 博客,请务必保留此出处http://yangqs.blog.51cto.com/127876/1701572
原文:http://yangqs.blog.51cto.com/127876/1701572
