码迷,mamicode.com
首页 > 其他好文 > 详细

Active Direcyory之证书颁发机构(CA服务器)升级

时间:2015-06-08 19:58:19      阅读:411      评论:0      收藏:0      [点我收藏+]

标签:windows

前几次给大家介绍过CA服务器的部署于使用,今天给大家介绍一下,CA服务器的升级

首先说一下,今天的实验环境,本次实验室CA的升级,从Windows server 2003升级到Windows server 2012,本次实验,需要三台服务器,一台是2003,安装CA,一台做域控制器,一台做升级后的CA服务器。

实验准备:

server01:域控制器(windows server 2012)

server02:升级后的CA服务器(windows server 2012)

server06:升级前的服务器(windows server 2003)

实验准备:搭建一个域环境,需要一台域控制器(server01),其它服务器都要在域环境中,做普通服务器即可

实验步骤:

1.  准备Windows 2003的CA环境

我们要先在server06上安装CA服务器,在安装CA之前,我们必须先安装IIS,否则CS服务器无法正常工作

打开控制面板,找到添加或删除程序

技术分享

选择添加或删除Windows组件,找到应用程序服务器

技术分享

双击打开,勾选IIS服务,点击确定

技术分享

完成安装

技术分享

下面我们来安装CA服务器,打开添加或删除程序,选择添加或删除Windows组件,找到证书服务

技术分享

勾选证书服务后,悔弹出如下图所示的提示框,我们选择是

技术分享

CA类型,我们选择企业根

技术分享

输入CA的公用名称

技术分享

这里是选择证书数据库,数据库日志和配置信息的位置,我们默认即可

技术分享

选择完位置后,会弹出下图所示的提示信息。选择是

技术分享

安装开始

技术分享

安装过程中,会有如下图所示的提示,询问是否现在启用 Active Sserver Page ,我们选择是

技术分享

安装完成

技术分享

2.测试CA服务器是否正常工作

我们新建一个Web站点,做测试用,右键单击测试用站点,选择属性

技术分享

选择目录安全性,选择下面的服务器证书,我们去向CA申请证书

技术分享

选择新建证书

技术分享

选择第一项,如下图

技术分享

这里输入的公用名称,是用于访问的名称,通过什么访问就输入什么,因为我们只是测试CA服务器,所以,我们就用IP地址访问测试网站,所以,这里就输入IP地址

技术分享

选择证书请求文件保存的位置,我们就把它放在C盘根目录下面即可

技术分享

完成证书申请

技术分享

找到刚才的文件,将里面的内容复制下来

技术分享

打开浏览器,输入  http://192.168.10.106/certsrv  选择申请一个证书

技术分享

选择攻击证书申请

技术分享

选择使用base64编码的········(偷个懒不打了),如下图

技术分享

将刚才复制的内容粘贴到保存的申请中,选择证书模板,点击提交

技术分享

因为我们是在域环境中,所以证书服务器会自动颁发证书,点击下载证书

技术分享

选择证书存放位置

技术分享

我们去证书服务器查看一下,单击颁发的证书,我们能看到刚才颁发的证书,证明证书服务器工作正常

技术分享

3.  备份证书数据库

单击开始,选择管理工具,证书颁发机构

技术分享

右键单击CA服务器名称,选择所有任务,备份CA

技术分享

选择要备份的项目,我们将这两项都选择上,单击浏览,选择备份的地址,这里选择的是我们新建的CABeiFen文件夹

技术分享

输入一个密码,用于访问私钥和CA证书文件,这个密码在后面需要用到,所以请记牢

技术分享

完成备份

技术分享    
4. 备份注册表

备份过证书,下面我们来备份注册表,很多朋友在做升级的时候,只备份CA,以为就可以了,结果在还原的时候,出现了很多问题,其实,就是因为没有备份注册表的原因

在server06(CA服务器)上运行Regedit,打开注册表,定位到                                                                 Local_Machine-SYSTEM-CurrentControlSet-Services-Certsvc-Configuration

技术分享

技术分享

右键单击 Congifuration,选择导出

技术分享

选择备份到我们刚才新建的CABeiFen文件夹,并输入名称,这里用的名称是 ZhuCeBiao

技术分享

4. 复制备份文件夹至到用于升级的CA服务器上

我们把CABeiFen文件共享

技术分享

在server02(用于升级的CA服务器)上通过访问共享,将文件夹复制到server02上

在server02中,打开Windows资源管理,输入  \\192.168.10.106  复制CABeiFen

技术分享

将文件夹粘贴到C盘跟目录下

技术分享

5. 在新CA服务器上安装CA服务

在server02上安装CA证书服务,打开服务器管理器,选择添加角色与功能

技术分享

勾选AD证书服务

技术分享

这里会询问时候添加AD证书服务所需的功能,选择添加功能

技术分享

勾选证书颁发机构和证书颁发机构Web注册

技术分享

这里选择添加功能

技术分享

因为CA服务器,需要IIS的支持,所以会添加IIS服务,这里我们选择默认,直接下一步

技术分享

开始安装,等待即可

技术分享

6. 简单配置新安装的CA服务器

安装完CA服务器后,我们单击小旗子,选择配置证书服务(CA)

技术分享

凭证以域管理员身份登陆

技术分享

勾选证书颁发机构和证书颁发机构Web注册

技术分享

CA类型选择企业

技术分享

选择 根

技术分享

在指定私钥类型时,选择使用现有私钥中第一个选项

技术分享

选择现有证书,我们选择导入

技术分享

单击浏览,查找证书

技术分享

选择我们刚才复制过来的文件夹,找到证书,名称是CA服务器的名称

技术分享

选择完证书后,我们输入密码,就是在备份时输入的密码,输入完成后,点击确定

技术分享

等待一会后,会出现一个证书,选择这个证书,并单击下一步

技术分享

选择证书数据库的位置,这里我们选择默认的位置即可

技术分享

确认配置

技术分享

配置完成

技术分享

7. 还原注册表

下面我们来还原注册表,双击注册表文件,会弹出提示,我们选择确定

技术分享

注册表还原完成

技术分享

8. 还原CA证书数据库

下面我们来还原证书数据库,打开server02的服务器管理器---选择证书颁发机构

技术分享

右键单击CA服务器名,选择所有任务,还原CA

技术分享

选择还原后,会提示你还原过程中,不能运行CA,是否停止CA服务器,选择是

技术分享

进入证书还原向导

技术分享

选择要还原的项目,这里我们全部勾选,单击浏览,选择还原位置,就是我们复制过来的文件夹

技术分享

输入访问密码,就是备份时输入的密码

技术分享

还原完成

技术分享

还原完成后,会弹出提示,询问是否启动CA服务器,选择是

技术分享

CA服务器正在启动中,等待即可

技术分享

启动成功后,我们单击颁发的证书,会看到我们刚才颁发的证书,证明我们的还原是成功的

技术分享

9. 卸载server06的CA服务器

单击开始,选择控制面板,单击添加或删除程序

技术分享

去掉证书服务的对勾

技术分享

开始卸载

技术分享

卸载完成

技术分享

呼呼,到现在为止,我们终于完成了CA服务器的升级。

今天就到这里吧,休息,休息~~~

本文出自 “张晓C” 博客,请务必保留此出处http://zhangcong.blog.51cto.com/10005154/1659662

Active Direcyory之证书颁发机构(CA服务器)升级

标签:windows

原文地址:http://zhangcong.blog.51cto.com/10005154/1659662

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!