V rámci interní sítě je provozována jedna Microsoft Certifikační Autorita.
Historicky je instalovaná v prostředí MS Windows Server 2008.
No a nyní přišel čas ji přenést do nového prostředí MS Windows Server 2012 R2
Jak se tedy dá přenést interní certifikační autorita z prostředí MS Windows 2008 do prostředí MS Windows 2012 R2 ?
1. MS Windows Server 2008
- provést zálohu seznamu šablony certifikátů
certutil.exe –catemplates > catemplates.txt
- provést zálohu CSP a signature algorithm CA (Certifikační Autority)
certutil.exe –getreg ca\csp\* > csp.txt
- provést zálohu databáze certifikátů a privátního klíče CA
Certutil.exe –backupdb c:\temp.ca
Certutil.exe –backupkey c:\temp.cazde je důležité nezapomenout (poznamenat si a bezpečně uložit po dobu migrace) heslo !!!
- po exportu databáze provést okamžité zastavení CA (nutno zajistit aby CA nemohla vydávat další certifikáty)
net stop certsvc
- provést zálohu registrů CA
reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration ca.reg - provést zálohu souboru CAPolicy.inf
Soubor se nachází v adresáři %SystemRoot% (tedy obvykle v c:\Windows)
Pokud nepoužíváte svůj vlastní CAPolicy.inf, tak tento soubor neexistuje.
- Provést odinstalaci role Certifikační autority (ve Správci Serveru)
2. MS Windows Server 2012 R2
- provést instalaci a konfiguraci virtuálního počítačů
- provést instalaci role Certifikační Autority a jednotlivých služeb dle potřeby
např. v Poweshellu takto:
Add-windowsfeature ADCS-Cert-Authority
Add-WindowsFeature Adcs-Enroll-Web-pol
Add-WindowsFeature Adcs-Enroll-Web-Svc
Add-WindowsFeature Adcs-Web-Enrollment
Add-WindowsFeature Adcs-Device-Enrollment
Add-WindowsFeature Adcs-Online-Cert
a vypíše seznam instalovaných služeb role ADCS:
Get-Command -Module AdcsDeployment
- ve Správci serveru dokončíme konfiguraci pro služby rolí
- konfigurace služby Certifikační autorita (Certification Authority)- Certifikační autorita rozlehlé sítě- Kořenová certifikační autorita- Použít existující privátní klíč- Vybrat certifikát a použít jeho přidružený privátní klíč- DALŠÍ - a pak - IMPORT
- konfigurace služby Webová žádost o certifikát u certifikační autority
(Certification Authority Web Enrollmet)
- Další ... Konfigurovat - konfigurace služby Online respondér (Online Responder)
- Další ... Konfigurovat - konfigurace služby Zápisu síťových zařízení (Network Device Enrollment Service)
- nejprve vytvořit doménový účet a přidat ho do lokální skupiny IIS_IUSRS
- Další ... Konfigurovat
- zadat název autority pro registraci
- zadat volitelné údaje
- zadat délku klíče minimálně 2048 - konfiguraci služby webová služba Zápis certifikátů (Certificate Enrollment Web Service)
- vybereme Název CA
- Další ... Konfigurovat- zvolíme typ ověřování: Uživatelské jméno a heslo - webová služba Zásady zápisu certifikátů (Certificate Enrollment Policy Web Service)
zvolit typ ověřování (doporučení: zvolit uživatelské jméno a heslo) - obnovit ze zálohy privátní klíč CA
- obnovit ze zálohy certifikáty CA
- obnovit registry
net stop certsvc
reg import jméno_souboru - webová služba pro vydání certifikátu ... komunikace by měla být zabezpečena (zašifrována) HTTPS
je tedy nutno přenést certifikát nebo získat nový pro zašifrování komunikace mezi serverem a klientem
Žádné komentáře:
Okomentovat