CA服务器的升级 windows 2003升级至windows2012
准备环境:1、一台windows server 2003的CA环境,一台windows server 2012 的环境。两台机器均在同一个域环境下,我在这里将server01定义为域控制器,server02 为域成员服务器。
注意:windows server2003 在安装CA之前,需要安装IIS,但是在windows server 2012 安装CA时,如果之前没有安装IIS,系统会自动进行安装。
下面,让我们进入今天的实验。
首先我们在win2003 服务器上面安装IIs,打来控制面板-——添加或删除程序,如下图:
点击添加/删除windows组件,找到“应用程序服务器”双击进入将“IIS信息服务”勾选,如下图:
安装完成后,点击完成。
下一步,将操作系统光盘挂载,如图:
添加证书CA服务组件,出现提示框后,点击“是”,如下图:
两台机器处于域环境下,我们选择CA类型“企业根CA”,点击“下一步”,如图:
我为创建的CA起的名称为testCA,点击“下一步”,如图:
数据库的位置日志文件位置保持默认,点击“下一步”,如图:
点击“是“,停止INTERNET服务,如图:
向导完成后,点击“完成“,如图:
下一步我们在IIS管理器上创建 新的网站,如图:
弹出网站创建向导,点击“下一步“,如图:
我们为新的站点起名为“test”,点击“下一步”如图:
指定站点的根目录,点击“下一步”,如图:
我们根据个人的需求,分配给网站相应的访问权限,点击“下一步”,如图:
分配给网站IP,注意,在下图中的TCP端口号将80 更改为其他不常用的端口号,点击下一步,如图:
接下来,点击完成:
配置好网站信息后打开test站点,点击网站属性,如下图:
找到目录安全性——安全通信——服务器证书,如下图:
进入WEB服务器证书向导,点击“下一步”,如图:
选择新建证书,点击“下一步”,如图:
选择“现在准备证书请求,但稍后发送”,点击“下一步”,如下图:
证书请求的文件名我们保持默认,点击下一步,如图:
确认好文件摘要后,点击下一步继续,如图:
这里的公用名称指的是客户端访问的模式,如我们用IP地址访问,就输入一个CA证书服务器的IP地址,如下图:
完成证书向导后,我们点击完成。
下面我们来到资源管理器,找到请求证书的文件,将里面的内容复制,,如下图:
复制后,我们在浏览器中访问http://192.168.1.105/certsrv ,选择“申请一个证书“,如下图:
我们点击“高级证书申请“,如图:
下一步,我们选择“使用base64 编码提交申请“,如图;
将之前复制的请求申请文件内容复制到文本框中,点击“提交申请“,如图:
域的证书会自动颁发,工作组的证书则需要手动颁发。下面我们选择下载证书,如图:
这时我们就可来到证书颁发机构,查看颁发的证书,如图:
以上的实验操作完整的还原了windows server2003 环境下的CA状态,下面的操作,就是对于CA服务器的升级操作啦!!!!
在升级之前,我们要将CA进行备份处理,对于备份的处理还是很容易操作的,点击本地服务器——所有任务——备份,如图:
点击备份后,会弹出CA备份向导,跟着向导进行操作,点击下一步,如图:
下面我们要将CA数据库进行备份
注意这里要将两个备份选项都勾选上,并指定备份的位置,如下图:
我们需要设置一个密码来设置一个密钥,将来恢复CA时需要用到。
,点击“下一步“,如图:
下一步,点击完成,结束证书颁发机构的备份:
下面这步是最重要的一步,也是最为关键的一步,由于证书是写到注册表中的,所以我们将注册表进行备份,运行regedit,打开注册表编辑器,如下图:
我们定位到Local_Machine-SYSTEM-CurrentControlSet-Services-Certsrv-Configuration。如下图:
右键点击“导出”,将注册表键值导出为文件保存。
以上操作是对旧的CA服务器进行操作,我们需要将备份的CA数据库文件和注册表文件复制到新的CA服务器上面server01,如下图所示:
在新的服务器上我们首先要部署CA服务器,添加CA服务组件,由于之前我们已将讲过如何部署,在这里我就简单的说一下,如下图:
将CA证书服务勾选,点击下一步:
将证书颁发机构和证书颁发机构和WEB注册勾选,点击下一步。如图:
之前我们谈到,windows 2012 上在安装证书服务前如果没有安装IIs,系统会自动安装,如下图:
证书服务安装完成点击关闭:
下面我们需要将AD证书服务进行配置,如下图:
凭据我们以域管理员身份,默认点击下一步即可:
将证书颁发机构和证书颁发机构和WEB注册勾选,点击下一步。如图:
域环境下同样我们选择的还是企业CA,点击下一步:
CA类型我们选择“根CA”,点击下一步,如图:
之前我们创建过私钥,所以这里选择使用现有私钥,点击下一步,如图所示:
导入证书的文件位置就是CA数据库备份文件的位置,密码为创建的私钥,如图:
确认导入的证书后,点击下一步:
下面就开始配置AD证书服务,点击“配置“,如图:
配置成功后,如图所示,点击关闭:
接下来我们要在新的CA服务器上对注册表进行还原操作,很简单,双击注册表文件即可。如下图:
双击后会出现如下的提示框,我们点击“是“继续。如图:
如下图显示,注册已经被还原成功啦~~
注册表还原完成后,接下来我们要还原证书数据库,工具——证书颁发机构,在服务器上面右击——所有任务——还原CA。如下图:
弹出如下提示框,我们单击确定,如图:
进入证书还原向导,点击下一步:
还原的位置是证书数据库的备份位置,将还原的项目全部勾选,如下图:
输入私钥来还原证书,点击下一步。如图:
点击完成,关闭证书还原向导:
下面出现的提示显示还原操作已经完成,点击“是“,启动AD证书服务,如下图:
我们点开办法的证书,可以看到原来办法的证书在列。如图:
以上的操作就完成了CA证书服务器的升级2003—2012.下面我们就可以在旧的CA服务器上卸载证书服务了,将证书服务的对勾去掉,点击下一步即可。如下图:
由于整个升级的过程步骤较多,图片也很多,感谢大家愿意花费时间耐心观看,谢谢~~希望大家能够多多提出宝贵意见!!
原文地址:http://yuanquan.blog.51cto.com/9996673/1659346