- 为什么要迁移证书服务器?
通常是证书相关的服务器要进行系统升级,比如原来证书服务与DC共存于一台服务器,现在DC要升级到新的版本,这个时候需要把证书服务迁移到其他服务器,此时建议把证书服务迁移到一台独立的证书服务专用的虚拟机中,不再与DC共存。
- 如何迁移?
最权威的步骤当然是按照微软官方指南:https://technet.microsoft.com/zh-cn/library/ee126170(v=ws.10).aspx。不过,步骤太多,可能看得你晕头转向,实际上每个企业环境不同,不一定非要根据这个指南完成所有步骤,微软这个指南是适合所有场景,在大多数情况下,是可以大大简化下面的步骤的,可以简化到只要红框中的几步,所花时间也就10分钟左右。
下面对上面一些重要的红框做些说明,关于具体操作请参见微软文档,此不赘述。
先说第一个红框:备份CA数据库和私钥:
为什么要备份CA的私钥,这样保证迁移后根证书不会变,如果根证书变了,想想很多终端要重新导入根证书,迁移就没有意义了。
为什么要备份CA数据库,其实不备CA数据库问题不大,不像私钥那么重要,但有一个问题,比如有个邮件证书要到期了,需要续订,那如果不恢复备份,证书颁发机构里面没有记录肯定是续订不了的,所以备份还是要恢复,只是注册表就不用恢复了。
下图是备份的结果:
另外注意就是在新服务器上部署证书服务时,要选择使用现有私钥,如下图,以便让上面的备份生效。
时间: 2024-10-20 00:50:12