环境:
源服务器:Windows2003,域控制器,证书服务器 目标服务器:Windows2008 R2,域控制器。
备注:将源服务器证书服务器迁移到目标服务器上,要求更改目标服务器名称与源服务器名称不相同。 一、准备源服务器 1、 源服务器安装补丁
源服务器安装windows2003 SP2补丁。 2、备份 CA 模板列表
(1)以域管理员身份登录到bj-ad-sms服务器. (2)打开“证书颁发机构”管理单元。
(3) 在控制台树中,展开“证书颁发机构”,并单击“证书模板”。
(4) 通过抓取屏幕截图或将列表键入到文本文件中来记录证书模板的列表。
3、使用 Certutil.exe 记录 CA 模板列表 (1)使用本地管理凭据登录到 bj-ad-sms计算机。 (2)打开命令提示符窗口。
(3)键入certutil.exe -catemplates > catemplates.txt,并按 Enter。
(4)验证 catemplates.txt 文件是否包含模板列表,并将catemplates.txt文件,拷贝到C:\windows\sysvol\sysvol 4、记录 CA 的签名算法和 CSP
(1)使用本地管理凭据登录到 bj-ad-sms。 (2)打开命令提示符窗口。
(3)(3)键入 certutil.exe getreg ca\csp\* > csp.txt,并按 Enter。
(3) 打开csp文件,
(4)记录原始的CA将AIA和CRL数据发布到HTTP URLs以及客户端在验证证书链和CRL数据时可以访问HTTP URL,以便迁移后设置手动发布AIA和CRL数据带原始的web服务器或是添加一条DNS记录将指向原始的HTTP URL执行新的CA服务器的HTTP URL(这里源服务器和目标服务器的勾选项要一致)。例如:记录下图中ldap和http中的勾选项。
二、迁移证书颁发机构
1、备份源证书服务器 CA 数据库和私钥 (1) 以域管理员身份,登录到源服务器。 (2) 打开“证书颁发机构”管理单元。
(3) 右键单击CA名称,指向“所有任务”,然后单击“备份 CA”。
(4) 在 CA 备份向导的“欢迎”页上,单击“下一步”。
(5)在“要备份的项目”页上,选中“私钥和 CA 证书”以及“证书数据库和证书数据库日志”复选框,指定备份位置例如D:\CABACKUP,然后单击“下一步”。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024