Active Direcyory之证书颁发机构(CA服务器)升级

前几次给大家介绍过CA服务器的部署于使用,今天给大家介绍一下,CA服务器的升级

首先说一下,今天的实验环境,本次实验室CA的升级,从Windows server 2003升级到Windows server 2012,本次实验,需要三台服务器,一台是2003,安装CA,一台做域控制器,一台做升级后的CA服务器。

实验准备:

server01:域控制器(windows server 2012)

server02:升级后的CA服务器(windows server 2012)

server06:升级前的服务器(windows server 2003)

实验准备:搭建一个域环境,需要一台域控制器(server01),其它服务器都要在域环境中,做普通服务器即可

实验步骤:

1.  准备Windows 2003的CA环境

我们要先在server06上安装CA服务器,在安装CA之前,我们必须先安装IIS,否则CS服务器无法正常工作

打开控制面板,找到添加或删除程序

选择添加或删除Windows组件,找到应用程序服务器

双击打开,勾选IIS服务,点击确定

完成安装

下面我们来安装CA服务器,打开添加或删除程序,选择添加或删除Windows组件,找到证书服务

勾选证书服务后,悔弹出如下图所示的提示框,我们选择是

CA类型,我们选择企业根

输入CA的公用名称

这里是选择证书数据库,数据库日志和配置信息的位置,我们默认即可

选择完位置后,会弹出下图所示的提示信息。选择是

安装开始

安装过程中,会有如下图所示的提示,询问是否现在启用 Active Sserver Page ,我们选择是

安装完成

2.测试CA服务器是否正常工作

我们新建一个Web站点,做测试用,右键单击测试用站点,选择属性

选择目录安全性,选择下面的服务器证书,我们去向CA申请证书

选择新建证书

选择第一项,如下图

这里输入的公用名称,是用于访问的名称,通过什么访问就输入什么,因为我们只是测试CA服务器,所以,我们就用IP地址访问测试网站,所以,这里就输入IP地址

选择证书请求文件保存的位置,我们就把它放在C盘根目录下面即可

完成证书申请

找到刚才的文件,将里面的内容复制下来

打开浏览器,输入  http://192.168.10.106/certsrv  选择申请一个证书

选择攻击证书申请

选择使用base64编码的········(偷个懒不打了),如下图

将刚才复制的内容粘贴到保存的申请中,选择证书模板,点击提交

因为我们是在域环境中,所以证书服务器会自动颁发证书,点击下载证书

选择证书存放位置

我们去证书服务器查看一下,单击颁发的证书,我们能看到刚才颁发的证书,证明证书服务器工作正常

3.  备份证书数据库

单击开始,选择管理工具,证书颁发机构

右键单击CA服务器名称,选择所有任务,备份CA

选择要备份的项目,我们将这两项都选择上,单击浏览,选择备份的地址,这里选择的是我们新建的CABeiFen文件夹

输入一个密码,用于访问私钥和CA证书文件,这个密码在后面需要用到,所以请记牢

完成备份

   
4. 备份注册表

备份过证书,下面我们来备份注册表,很多朋友在做升级的时候,只备份CA,以为就可以了,结果在还原的时候,出现了很多问题,其实,就是因为没有备份注册表的原因

在server06(CA服务器)上运行Regedit,打开注册表,定位到                                                                 Local_Machine-SYSTEM-CurrentControlSet-Services-Certsvc-Configuration

右键单击 Congifuration,选择导出

选择备份到我们刚才新建的CABeiFen文件夹,并输入名称,这里用的名称是 ZhuCeBiao

4. 复制备份文件夹至到用于升级的CA服务器上

我们把CABeiFen文件共享

在server02(用于升级的CA服务器)上通过访问共享,将文件夹复制到server02上

在server02中,打开Windows资源管理,输入  \\192.168.10.106  复制CABeiFen

将文件夹粘贴到C盘跟目录下

5. 在新CA服务器上安装CA服务

在server02上安装CA证书服务,打开服务器管理器,选择添加角色与功能

勾选AD证书服务

这里会询问时候添加AD证书服务所需的功能,选择添加功能

勾选证书颁发机构和证书颁发机构Web注册

这里选择添加功能

因为CA服务器,需要IIS的支持,所以会添加IIS服务,这里我们选择默认,直接下一步

开始安装,等待即可

6. 简单配置新安装的CA服务器

安装完CA服务器后,我们单击小旗子,选择配置证书服务(CA)

凭证以域管理员身份登陆

勾选证书颁发机构和证书颁发机构Web注册

CA类型选择企业

选择 根

在指定私钥类型时,选择使用现有私钥中第一个选项

选择现有证书,我们选择导入

单击浏览,查找证书

选择我们刚才复制过来的文件夹,找到证书,名称是CA服务器的名称

选择完证书后,我们输入密码,就是在备份时输入的密码,输入完成后,点击确定

等待一会后,会出现一个证书,选择这个证书,并单击下一步

选择证书数据库的位置,这里我们选择默认的位置即可

确认配置

配置完成

7. 还原注册表

下面我们来还原注册表,双击注册表文件,会弹出提示,我们选择确定

注册表还原完成

8. 还原CA证书数据库

下面我们来还原证书数据库,打开server02的服务器管理器---选择证书颁发机构

右键单击CA服务器名,选择所有任务,还原CA

选择还原后,会提示你还原过程中,不能运行CA,是否停止CA服务器,选择是

进入证书还原向导

选择要还原的项目,这里我们全部勾选,单击浏览,选择还原位置,就是我们复制过来的文件夹

输入访问密码,就是备份时输入的密码

还原完成

还原完成后,会弹出提示,询问是否启动CA服务器,选择是

CA服务器正在启动中,等待即可

启动成功后,我们单击颁发的证书,会看到我们刚才颁发的证书,证明我们的还原是成功的

9. 卸载server06的CA服务器

单击开始,选择控制面板,单击添加或删除程序

去掉证书服务的对勾

开始卸载

卸载完成

呼呼,到现在为止,我们终于完成了CA服务器的升级。

今天就到这里吧,休息,休息~~~

时间: 2024-10-14 02:17:14

Active Direcyory之证书颁发机构(CA服务器)升级的相关文章

Active Direcyory之证书颁发机构(CA服务器)

今天给大家带来的是CA服务器,全称是证书颁发机构,那么,哪里需要用到AC服务器呢?这里就要说一下https了,https(全称:Hyper Text Transfer Protocol over Secure Socket Layer)简单讲是HTTP的安全版. 今天的示例有两个: 示例一: 部署企业内部CA服务器 示例二: 实现安全的WEB站点 先给大家说一下今天的实验环境,两台服务器server01,server02,server01为域控制器,CA服务器,DNS服务器,server02为W

linux下简单自建证书颁发机构-CA

CA机构的搭建 1.CA简介: ca:Certificate Authority,证书颁发机构,也叫证书授权中心.CA主要职责是颁发和管理数字证书.其中心任务是颁发数字证书,并履行用户身份认证的责任.现阶段主要作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任. 2.公司自建CA实现架构: 1.使用openssl程序完成搭建: 2.需要构建角色: 1.CA服务器: 2.客户端pc: 3.电商web服务器: 3.构建CA的过程: CA服务器上操作: [[email protec

什么是证书颁发机构(CA)

数字证书颁发机构(简称CA)是值得信赖的第三方实体颁发数字证书机构并管理为最终用户数据加密的公共密钥和证书.CA的责任是确保公司或用户收到有效的身份认证是唯一证书. 数字证书颁发机构的工作原理 作为公共密钥基础设施(PKI)的一部分,CA在签发数字证书之前使用合格信息源(QIS)来检查申请人提供的数据.CA机构还与第三方合作机构具有紧密的合作关系,如信用报告机构.对申请人的业务以及身份进行认证.CA是数据安全和电子商务领域的关键组成部分,确保交易双方的真实身份. CA的客户群体包括服务器管理员和

CA机构介绍(Certificate Authority 域名SSL证书颁发机构)

SSL证书机构即CA机构的全称为Certificate Authority证书认证中心,只有通过WebTrust国际安全审计认证,根证书才能预装到主流浏览器,成为全球可信的ssl证书颁发机构. HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 .HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SS

2.域控制器及证书颁发机构

安装域控制器部分: 1.修改计算机名称IP地址 2.安装AD DNS 角色 运行服务器向导 3.配置AD域 (选定域名,推荐公网内网一致) 安装配置证书颁发机构部分: 1.运行服务器向导,安装以下证书角色 证书颁发机构 证书颁发机构Web注册 2.配置证书颁发机构,企业根CA 3.配置证书颁发机构WEB注册 4.修改证书颁发机构属性,添加CRL部分访问方式(http 建议使用非80端口,如果要使用80端口,请和运营商确认是否需要备案开通 ) 5.修改证书颁发机构属性,添加证书AIA部分访问方式(

构建自己的证书颁发服务(CA)

本文原创自 http://blog.csdn.net/voipmaker  转载注明出处. 本系列文章分为三篇,主要介绍构建自己的证书颁发服务,生成证书请求,以及通过自己构建的CA给生成的证书请求签名并最终应用到服务. 通过构建自己的证书服务,可以给自己的应用证书签名,无需购买商业证书颁发机构的签名,但自己授权的不利之处是客户端需要导入你的root证书后才能信任证书. 下面为在centos上构建自己的CA过程 1. 构建相关目录和文件 #mkdir /home/cg/myca #cd /home

如何在Windows中查询证书颁发机构已颁发的证书

有时候需要看一下证书颁发机构已经颁发出去的证书,看看某个用户或者某个计算机获取过的证书有哪些.通常可以在证书颁发机构的MMC中查看.对于测试环境或者刚开始用的CA来说,这样查看挺简单的.但是对于用了一段时间,颁发了上千张证书的CA来说,就无法直接查看了,需要用到view菜单里的filter.可以根据证书的各个字段来做筛选,图片中我筛选了contoso\dc-232$申请的证书. 这里再介绍另一个基于Powershell的命令,Get-CertificationAuthority来筛选我们需要的信

ssl证书颁发机构有哪几家?

合信ssl证书 首先签发的主流机构:Symantec.Thawte.GeoTrust.GlobalSign等.目前网站用的这几种证书较多,前三种国内都是权威机构颁发的.前两种都是可以在便宜SSL申请的. 其次还包含DigiCert,Symantec,Entrust,Geotrust,Thawte,Rapid,Comodo,Godaddy等等,均可在环度网信申请. 而证书管理机构是CA,CA是PKI系统中通信双方都信任的实体,被称为可信第三方(Trusted Third Party,简称TTP).

CA服务器的升级 2003—2012

CA服务器的升级 windows 2003升级至windows2012 准备环境:1.一台windows server 2003的CA环境,一台windows server 2012 的环境.两台机器均在同一个域环境下,我在这里将server01定义为域控制器,server02 为域成员服务器. 注意:windows server2003 在安装CA之前,需要安装IIS,但是在windows server 2012 安装CA时,如果之前没有安装IIS,系统会自动进行安装. 下面,让我们进入今天的