标签:windows
前几次给大家介绍过CA服务器的部署于使用,今天给大家介绍一下,CA服务器的升级
首先说一下,今天的实验环境,本次实验室CA的升级,从Windows server 2003升级到Windows server 2012,本次实验,需要三台服务器,一台是2003,安装CA,一台做域控制器,一台做升级后的CA服务器。
实验准备:
server01:域控制器(windows server 2012)
server02:升级后的CA服务器(windows server 2012)
server06:升级前的服务器(windows server 2003)
实验准备:搭建一个域环境,需要一台域控制器(server01),其它服务器都要在域环境中,做普通服务器即可
实验步骤:
1. 准备Windows 2003的CA环境
我们要先在server06上安装CA服务器,在安装CA之前,我们必须先安装IIS,否则CS服务器无法正常工作
打开控制面板,找到添加或删除程序
选择添加或删除Windows组件,找到应用程序服务器
双击打开,勾选IIS服务,点击确定
完成安装
下面我们来安装CA服务器,打开添加或删除程序,选择添加或删除Windows组件,找到证书服务
勾选证书服务后,悔弹出如下图所示的提示框,我们选择是
CA类型,我们选择企业根
输入CA的公用名称
这里是选择证书数据库,数据库日志和配置信息的位置,我们默认即可
选择完位置后,会弹出下图所示的提示信息。选择是
安装开始
安装过程中,会有如下图所示的提示,询问是否现在启用 Active Sserver Page ,我们选择是
安装完成
2.测试CA服务器是否正常工作
我们新建一个Web站点,做测试用,右键单击测试用站点,选择属性
选择目录安全性,选择下面的服务器证书,我们去向CA申请证书
选择新建证书
选择第一项,如下图
这里输入的公用名称,是用于访问的名称,通过什么访问就输入什么,因为我们只是测试CA服务器,所以,我们就用IP地址访问测试网站,所以,这里就输入IP地址
选择证书请求文件保存的位置,我们就把它放在C盘根目录下面即可
完成证书申请
找到刚才的文件,将里面的内容复制下来
打开浏览器,输入 http://192.168.10.106/certsrv 选择申请一个证书
选择攻击证书申请
选择使用base64编码的········(偷个懒不打了),如下图
将刚才复制的内容粘贴到保存的申请中,选择证书模板,点击提交
因为我们是在域环境中,所以证书服务器会自动颁发证书,点击下载证书
选择证书存放位置
我们去证书服务器查看一下,单击颁发的证书,我们能看到刚才颁发的证书,证明证书服务器工作正常
3. 备份证书数据库
单击开始,选择管理工具,证书颁发机构
右键单击CA服务器名称,选择所有任务,备份CA
选择要备份的项目,我们将这两项都选择上,单击浏览,选择备份的地址,这里选择的是我们新建的CABeiFen文件夹
输入一个密码,用于访问私钥和CA证书文件,这个密码在后面需要用到,所以请记牢
完成备份
备份过证书,下面我们来备份注册表,很多朋友在做升级的时候,只备份CA,以为就可以了,结果在还原的时候,出现了很多问题,其实,就是因为没有备份注册表的原因
在server06(CA服务器)上运行Regedit,打开注册表,定位到 Local_Machine-SYSTEM-CurrentControlSet-Services-Certsvc-Configuration
右键单击 Congifuration,选择导出
选择备份到我们刚才新建的CABeiFen文件夹,并输入名称,这里用的名称是 ZhuCeBiao
4. 复制备份文件夹至到用于升级的CA服务器上
我们把CABeiFen文件共享
在server02(用于升级的CA服务器)上通过访问共享,将文件夹复制到server02上
在server02中,打开Windows资源管理,输入 \\192.168.10.106 复制CABeiFen
将文件夹粘贴到C盘跟目录下
5. 在新CA服务器上安装CA服务
在server02上安装CA证书服务,打开服务器管理器,选择添加角色与功能
勾选AD证书服务
这里会询问时候添加AD证书服务所需的功能,选择添加功能
勾选证书颁发机构和证书颁发机构Web注册
这里选择添加功能
因为CA服务器,需要IIS的支持,所以会添加IIS服务,这里我们选择默认,直接下一步
开始安装,等待即可
6. 简单配置新安装的CA服务器
安装完CA服务器后,我们单击小旗子,选择配置证书服务(CA)
凭证以域管理员身份登陆
勾选证书颁发机构和证书颁发机构Web注册
CA类型选择企业
选择 根
在指定私钥类型时,选择使用现有私钥中第一个选项
选择现有证书,我们选择导入
单击浏览,查找证书
选择我们刚才复制过来的文件夹,找到证书,名称是CA服务器的名称
选择完证书后,我们输入密码,就是在备份时输入的密码,输入完成后,点击确定
等待一会后,会出现一个证书,选择这个证书,并单击下一步
选择证书数据库的位置,这里我们选择默认的位置即可
确认配置
配置完成
7. 还原注册表
下面我们来还原注册表,双击注册表文件,会弹出提示,我们选择确定
注册表还原完成
8. 还原CA证书数据库
下面我们来还原证书数据库,打开server02的服务器管理器---选择证书颁发机构
右键单击CA服务器名,选择所有任务,还原CA
选择还原后,会提示你还原过程中,不能运行CA,是否停止CA服务器,选择是
进入证书还原向导
选择要还原的项目,这里我们全部勾选,单击浏览,选择还原位置,就是我们复制过来的文件夹
输入访问密码,就是备份时输入的密码
还原完成
还原完成后,会弹出提示,询问是否启动CA服务器,选择是
CA服务器正在启动中,等待即可
启动成功后,我们单击颁发的证书,会看到我们刚才颁发的证书,证明我们的还原是成功的
9. 卸载server06的CA服务器
单击开始,选择控制面板,单击添加或删除程序
去掉证书服务的对勾
开始卸载
卸载完成
呼呼,到现在为止,我们终于完成了CA服务器的升级。
今天就到这里吧,休息,休息~~~
本文出自 “张晓C” 博客,请务必保留此出处http://zhangcong.blog.51cto.com/10005154/1659662
Active Direcyory之证书颁发机构(CA服务器)升级
标签:windows
原文地址:http://zhangcong.blog.51cto.com/10005154/1659662