CA备份
即使你不打算对CA做迁移,你也应该对CA做一个备份,CA的备份与我们通常所进行的备份时不同的,CA的备份需要通过以下的步骤实现:
如果你正准备备份一个企业CA,在CA控制台中点击证书模板,然后记录下证书模板中列出的名称。这些模板都是存储在AD域中的,所以你不需要对它们进行备份。你必须要清楚的知道进行迁移的模板有哪些是由CA发布的,因为你必须在迁移之后手动的添加这些模板。
在CA控制台,右键点击CA名称,选择"所有任务",然后点击"备份CA"打开CA备份向导,在备份向导中,你需要选择备份CA的私钥,CA证书,证书数据库以及证书数据库日志。你还可以指定一个合适的备份内容的存放位置,考虑到安全性因素,最好设定密码对CA私钥进行保护。
在完成备份之后,你应该打开注册表编辑器,找到并导出以下的注册表的子键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
注意:我们推荐将该注册表键值的导出文件保存到CA备份的文件夹中。
- 做完上面的操作后,一旦你想将CA迁移到其他的电脑,你需要将CA从旧的服务器上卸载,然后将旧 服务器重命名或断开它的网络连接。
CA还原
CA的还原通常是在必须修复当前CA或需要迁移到其他服务器时进行的。
还原CA需按照以下步骤操作:
在目标计算机上安装AD CS角色。选择安装独立CA或者企业CA,这取决于你需要迁移的CA的类型。当你见到"指定私钥类型"页面时,点击"使用现有私钥",然后选中"选择一个证书并使用其关联私钥",这样可以让你在新的CA服务器上继续使用原来旧服务器的证书。
在"现有证书"页面,点击导入,输入备份CA时生成.p12文件的存储路径,接着输入备份时设定的密码,然后点击确认,当你被提示"公钥和私钥秘钥对"时,确保选中了现有秘钥,如果你想使用相同的根CA证书,这个步骤非常关键。
当你进入到"证书数据库"页面,指定一个和旧服务器相同的存放位置去存放证书数据库和证书数据库日志,这些步骤都完成后,点击"配置",等待安装向导的执行完毕。
安装完成后,打开AD CS服务的服务插件,还原旧服务器的设置。
找到备份时导出的注册表文件,然后双击将它导入到注册表中。
还原了注册表设置后,打开CA管理控制台,右键点击CA名称,点击"所有任务",接着点击"还原CA",这时会出现CA还原向导,在向导中你可以选择"私钥和CA证书"和"证书数据库和证书数据库日志",这里是为了指定你想要还原的对象。下一步就输入一个备份文件夹位置并确认还原的设置没有问题。还原设置中"颁发日志"和"挂起申请"应该是"显示"。
当还原完成后,选择重启AD CS服务。
如果你还原的是企业CA,你需要确认之前记录的AD域中保存的证书模板在新的CA上能够看到,并且是可用的。
原文地址:http://blog.51cto.com/seawind/2059715