Migrace se neprovádí u těchto rolí:
- CA Web Enrollment
- Online Responder
- Network Device Enrollment
- Certificate Enrollment Web Services
1. Záloha CA a privátního klíče + zastavení CA
Na starém serveru s CA
GUI:
Spustit certsrv.msc - Všechny úkoly - Zálohovat CA - Vybrat Privátní klíč a databázi
Všechny úkoly - Zastavit CA
PowerShell:
Backup-CARoleService –path <BackupDirectory>
Stop-service certsvc
CMD:
Certutil.exe –backupdb <BackupDirectory>
Certutil.exe –backupkey <BackupDirectory>
Certutil.exe –backupkey <BackupDirectory>
net stop certsvc
Zastavením CA zabráníme vzniku (respektive ztrátě) dalších certifikátů.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc Zastavením CA zabráníme vzniku (respektive ztrátě) dalších certifikátů.
2. Záloha registrů
Na starém serveru s CA.
REGEDIT - Na starém serveru s CA.
- CONFIGURATION
- EXPORT ... a uložíme do souboru
certutil.exe -f -restoredb <CA Database Backup Directory>
Net start certsvc
CMD:
reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration <output file>.reg
reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration <output file>.reg
3. Záloha CAPolicy.inf
Na starém serveru s CA
Pokud se používá CAPolicy.inf tak ho zkopírujeme a uložíme pro pozdější použití
Na starém serveru s CA
Pokud se používá CAPolicy.inf tak ho zkopírujeme a uložíme pro pozdější použití
CAPolicy.inf je v adresáři %SystemRoot% (obvykle v C:\Windows)
4. Odinstalace CA
Na starém serveru s CA odinstalovat roli AD CS
Na starém serveru s CA odinstalovat roli AD CS
5. Odstranění starého serveru
z domény.
6. Nový server s CA - předpoklady
Instalace nového serveru MS Windows 2012R2
Musí být v doméně.
Instalace nového serveru MS Windows 2012R2
Musí být v doméně.
Musí mít instalovanou roli ADCS.
7. Obnova konfigurace CA
Na serveru, kde bude nová CA spustíme SERVER MANAGER - Zvolíme konfigurace ADCS
Na serveru, kde bude nová CA spustíme SERVER MANAGER - Zvolíme konfigurace ADCS
Zvolíme CA - Použijeme existující privátní klíč - IMPORT
Restart serveru
Import registrů
Restart serveru
8. Obnova databáze CA
na serveru, kde bude nová CA.
GUI:
zastavíme CA
certsrv.msc - ALL TASK - IMPORT CA
zastavíme CA
certsrv.msc - ALL TASK - IMPORT CA
spustíme CA
PowerShell:
Stop-service certsvc
Restore-CARoleService –path < CA Database Backup Directory> -DatabaseOnly - Force Start-service certsvcCMD:
Net stop certsvcStop-service certsvc
Restore-CARoleService –path < CA Database Backup Directory> -DatabaseOnly - Force Start-service certsvcCMD:
certutil.exe -f -restoredb <CA Database Backup Directory>
Net start certsvc
9. Obnova registrů CA
na serveru, kde bude nová CA.
Poklepat na soubor s exportovanými registry.
Nastavení jsou uloženy v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
10. Práva - AIA
Přesuneme se na server s AD DC
Když se nový server jmenuje jinak, je nutno:
Spustit Active Directory Sites and Services (dssite.msc)
View menu - Show services nodeSpustit Active Directory Sites and Services (dssite.msc)
Jméno CA - Vlastnosti - Security TAB - ADD - jméno CA - Plný přístup povolit
Smazat neplatnou CA
11. Práva - CDP
Přesuneme se na server s AD DC.
Spustit Active Directory Sites and Services (dssite.msc)
Přejedeme na jméno CA
cRLDistributionPoint - Vlastnosti - Security TAB - ADD - Počítače - Plný přístup povolit
Smazat neplatnou CA
12. RESTART
restart serveru s AD DC
restart serveru s AD CS
a zkontrolujeme funkčnost CA.
Následně můžeme instalovat další požadované role CA.
Poznámka:
V tomto návodu není řešeno obnovení šablon
Žádné komentáře:
Okomentovat