Udostępnij za pośrednictwem

Jak przenieść urząd certyfikacji na inny serwer

W tym artykule opisano sposób przenoszenia urzędu certyfikacji na inny serwer.

Oryginalny numer KB: 298138

Uwaga 16.

Ten artykuł dotyczy systemu Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. Wsparcie dla systemu Windows 2000 zakończyło się 13 lipca 2010 r. Centrum rozwiązań zakończenia wsparcia systemu Windows 2000 to punkt wyjścia do planowania strategii migracji z systemu Windows 2000. Wsparcie dla systemów Windows 2008 i 2008 R2 zakończyło się 14 stycznia 2020 r. Aby uzyskać więcej informacji, zobacz zasady świadczenia pomocy technicznej firmy Microsoft.

Podsumowanie

Urzędy certyfikacji to centralny składnik infrastruktury kluczy publicznych (PKI) organizacji. Urzędy certyfikacji są skonfigurowane tak, aby istniały przez wiele lat lub dziesięcioleci, w tym czasie sprzęt hostujący urząd certyfikacji jest prawdopodobnie uaktualniony.

Uwaga 16.

Aby przenieść urząd certyfikacji z serwera z systemem Windows 2000 Server na serwer z systemem Windows Server 2003, należy najpierw uaktualnić serwer urzędu certyfikacji z systemem Windows 2000 Server do systemu Windows Server 2003. Następnie możesz wykonać kroki opisane w tym artykule.

Upewnij się, że %Systemroot% serwera docelowego jest zgodny z %Systemroot% serwera, z którego jest wykonywana kopia zapasowa stanu systemu.

Należy zmienić ścieżkę plików urzędu certyfikacji podczas instalowania składników serwera urzędu certyfikacji, aby były zgodne z lokalizacją kopii zapasowej. Jeśli na przykład wykonasz kopię zapasową z folderu D:\Winnt\System32\Certlog , musisz przywrócić kopię zapasową do folderu D:\Winnt\System32\Certlog . Nie można przywrócić kopii zapasowej do folderu C:\Winnt\System32\Certlog . Po przywróceniu kopii zapasowej można przenieść pliki bazy danych urzędu certyfikacji do lokalizacji domyślnej.

Jeśli spróbujesz przywrócić kopię zapasową, a %Systemroot% kopii zapasowej i serwera docelowego nie są zgodne, może zostać wyświetlony następujący komunikat o błędzie:

Nie można wykonać przywracania obrazu przyrostowego przed wykonaniem przywracania z pełnego obrazu. Nazwa katalogu jest nieprawidłowa. 0x8007010b (WIN32/HTTP:267)

Przeniesienie usług certyfikatów z 32-bitowego systemu operacyjnego do 64-bitowego systemu operacyjnego lub odwrotnie może zakończyć się niepowodzeniem z jednym z następujących komunikatów o błędach:

Oczekiwane dane nie istnieją w tym katalogu.

Nie można wykonać przywracania obrazu przyrostowego przed wykonaniem przywracania z pełnego obrazu 0x8007010b (WIN32/HTTP:267)

Format bazy danych zmienia się z wersji 32-bitowej na 64-bitową, co powoduje niezgodności, a przywracanie jest blokowane. Przypomina to przejście z systemu Windows 2000 do urzędu certyfikacji systemu Windows Server 2003. Nie ma jednak ścieżki uaktualnienia z 32-bitowej wersji systemu Windows Server 2003 do wersji 64-bitowej. W związku z tym nie można przenieść istniejącej 32-bitowej bazy danych do 64-bitowej bazy danych na komputerze z systemem Windows Server 2003. Można jednak uaktualnić urząd certyfikacji systemu Windows Server 2003 (uruchomiony w systemie Windows Server 2003 x86) do systemu Windows Server 2008 R2 urzędu certyfikacji (w systemie Windows Server 2008 R2 x64). To uaktualnienie jest obsługiwane.

Wersja x64 systemu Windows Server 2003 R2 CD2 aktualizuje tylko 64-bitowe wersje systemu Windows Server 2003, które są oparte na architekturze EM64T lub architekturze AMD64.

Tworzenie kopii zapasowej i przywracanie kluczy urzędu certyfikacji i bazy danych

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

  1. Zwróć uwagę na szablony certyfikatów skonfigurowane w folderze Szablony certyfikatów w przystawce Urząd certyfikacji. Ustawienia szablonów certyfikatów są przechowywane w usłudze Active Directory. Nie są one tworzone automatycznie. Aby zachować ten sam zestaw szablonów, należy ręcznie skonfigurować ustawienia szablonów certyfikatów w nowym urzędzie certyfikacji.

    Uwaga 16.

    Folder Szablony certyfikatów istnieje tylko w urzędzie certyfikacji przedsiębiorstwa. Autonomiczne urzędy certyfikacji nie używają szablonów certyfikatów. W związku z tym ten krok nie ma zastosowania do autonomicznego urzędu certyfikacji.

  2. Użyj przystawki Urząd certyfikacji, aby utworzyć kopię zapasową bazy danych urzędu certyfikacji i klucza prywatnego. W tym celu wykonaj następujące kroki:

    1. W przystawce Urząd certyfikacji kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji, kliknij pozycję Wszystkie zadania, a następnie kliknij polecenie Utwórz kopię zapasową urzędu certyfikacji, aby uruchomić Kreatora tworzenia kopii zapasowej urzędu certyfikacji.
    2. Kliknij przycisk Dalej, a następnie kliknij pozycję Klucz prywatny i certyfikat urzędu certyfikacji.
    3. Kliknij pozycję Baza danych certyfikatów i dziennik bazy danych certyfikatów.
    4. Użyj pustego folderu jako lokalizacji kopii zapasowej. Upewnij się, że można uzyskać dostęp do folderu kopii zapasowej przez nowy serwer.
    5. Kliknij przycisk Dalej. Jeśli określony folder kopii zapasowej nie istnieje, Kreator kopii zapasowej urzędu certyfikacji utworzy go.
    6. Wpisz , a następnie potwierdź hasło do pliku kopii zapasowej klucza prywatnego urzędu certyfikacji.
    7. Kliknij przycisk Dalej, a następnie sprawdź ustawienia kopii zapasowej. Powinny zostać wyświetlone następujące ustawienia:
      • Klucz prywatny i certyfikat urzędu certyfikacji
      • Wystawione żądania dziennika i oczekujące
    8. Kliknij przycisk Zakończ.

  3. Zapisz ustawienia rejestru dla tego urzędu certyfikacji. W tym celu wykonaj następujące kroki:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz regedit w polu Otwórz, a następnie kliknij przycisk OK.
    2. Zlokalizuj i kliknij prawym przyciskiem myszy następujący podklucz rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Kliknij przycisk wyeksportować.
    4. Zapisz plik rejestru w folderze kopii zapasowej urzędu certyfikacji zdefiniowanym w kroku 2d.

    Uwaga 16.

    Domyślnie usługi certyfikatów Active Directory (AD CS) są konfigurowane z rozszerzeniami punktu dystrybucji listy odwołania certyfikatów (CRL), które zawierają nazwę hosta komputera urzędu certyfikacji w ścieżce. Oznacza to, że wszystkie certyfikaty wystawione przez urząd certyfikacji przed migracją mogą zawierać ścieżki weryfikacji certyfikatu ze starą nazwą hosta. Te ścieżki mogą nie być już prawidłowe po migracji. Aby uniknąć błędów sprawdzania odwołania, nowy urząd certyfikacji musi być skonfigurowany do publikowania list CRL do starych (przed migracją) ścieżek i nowych ścieżek. Jeśli musisz trwale usunąć stary urząd certyfikacji, możesz dodać drugą nazwę komputera do nowego urzędu certyfikacji. Przed wykonaniem tej czynności stara nazwa komputera musi być dostępna w usłudze Active Directory. W tym momencie można dodać punkty dystrybucji listy CRL do nowego urzędu certyfikacji.

  4. Sprawdź punkt dystrybucji listy CRL w starym urzędzie certyfikacji. Te ustawienia należy skonfigurować w nowym urzędzie certyfikacji.

    1. Otwórz cmd.exe w starym urzędzie certyfikacji.
    2. Wprowadź pkiview.
    3. Wyeksportuj konfigurację.

  5. Usuń usługi certyfikatów ze starego serwera.

    Uwaga 16.

    Ten krok usuwa obiekty z usługi Active Directory. Nie wykonuj tego kroku poza kolejnością. Jeśli usunięcie źródłowego urzędu certyfikacji zostanie wykonane po zainstalowaniu docelowego urzędu certyfikacji (krok 7 w tej sekcji), docelowy urząd certyfikacji stanie się bezużyteczny.

  6. Zmień nazwę starego serwera lub trwale odłącz go od sieci.

  7. Zainstaluj usługi certyfikatów na nowym serwerze. W tym celu należy wykonać następujące czynności:

    Uwaga 16.

    Nowy serwer musi mieć taką samą nazwę komputera jak stary serwer.

    1. W Panel sterowania kliknij dwukrotnie pozycję Dodaj lub Usuń programy.
    2. Kliknij przycisk Dodaj/Usuń składniki systemu Windows, kliknij pozycję Usługi certyfikatów w Kreatorze składników systemu Windows, a następnie kliknij przycisk Dalej.
    3. W oknie dialogowym Typ urzędu certyfikacji kliknij odpowiedni typ urzędu certyfikacji.
    4. Kliknij pozycję Użyj ustawień niestandardowych, aby wygenerować parę kluczy i certyfikat urzędu certyfikacji, a następnie kliknij przycisk Dalej.
    5. Kliknij przycisk Importuj, wpisz ścieżkę . Plik P12 w folderze kopii zapasowej wpisz hasło wybrane w kroku 2f, a następnie kliknij przycisk OK.
    6. W oknie dialogowym Para kluczy publicznych i prywatnych sprawdź, czy zaznaczono pole wyboru Użyj istniejących kluczy.
    7. Kliknij przycisk Dalej dwa razy.
    8. Zaakceptuj ustawienia domyślne ustawień bazy danych certyfikatów, kliknij przycisk Dalej, a następnie kliknij przycisk Zakończ , aby ukończyć instalację usług certyfikatów.

    Ważne

    Jeśli nowy serwer ma inną nazwę komputera, wykonaj następujące kroki:

    1. W Panel sterowania kliknij dwukrotnie pozycję Dodaj lub Usuń programy.
    2. Kliknij przycisk Dodaj/Usuń składniki systemu Windows, kliknij pozycję Usługi certyfikatów w Kreatorze składników systemu Windows, a następnie kliknij przycisk Dalej.
    3. W oknie dialogowym Typ urzędu certyfikacji kliknij odpowiedni typ urzędu certyfikacji.
    4. Kliknij pozycję Użyj ustawień niestandardowych, aby wygenerować parę kluczy i certyfikat urzędu certyfikacji, a następnie kliknij przycisk Dalej.
    5. Kliknij przycisk Importuj, wpisz ścieżkę . Plik P12 w folderze kopii zapasowej wpisz hasło wybrane w kroku 2f, a następnie kliknij przycisk OK.
    6. W oknie dialogowym Para kluczy publicznych i prywatnych sprawdź, czy zaznaczono pole wyboru Użyj istniejących kluczy.
    7. Kliknij przycisk Dalej dwa razy.
    8. Zaakceptuj ustawienia domyślne ustawień bazy danych certyfikatów, kliknij przycisk Dalej, a następnie kliknij przycisk Zakończ , aby ukończyć instalację usług certyfikatów.
    9. Zmodyfikuj wcześniej wyeksportowany klucz rejestru w kroku 3 w następujący sposób:
      1. Kliknij prawym przyciskiem myszy wyeksportowany klucz.
      2. Edytuj.
      3. Zastąp wartość CAServerName nową nazwą serwera.
      4. Zapisz i zamknij.

  8. Zatrzymaj usługę usług certyfikatów.

  9. Znajdź plik rejestru zapisany w kroku 3, a następnie kliknij go dwukrotnie, aby zaimportować ustawienia rejestru. Jeśli ścieżka wyświetlana w eksporcie rejestru ze starego urzędu certyfikacji różni się od nowej ścieżki, należy odpowiednio dostosować eksport rejestru. Domyślnie nowa ścieżka to C:\Windows w systemie Windows Server 2003.

  10. Użyj przystawki Urząd certyfikacji, aby przywrócić bazę danych urzędu certyfikacji. W tym celu wykonaj następujące kroki:

    1. W przystawce Urząd certyfikacji kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji, kliknij pozycję Wszystkie zadania, a następnie kliknij polecenie Przywróć urząd certyfikacji.

      Zostanie uruchomiony Kreator przywracania urzędu certyfikacji.

    2. Kliknij przycisk Dalej, a następnie kliknij pozycję Klucz prywatny i certyfikat urzędu certyfikacji.

    3. Kliknij pozycję Baza danych certyfikatów i dziennik bazy danych certyfikatów.

    4. Wpisz lokalizację folderu kopii zapasowej, a następnie kliknij przycisk Dalej.

    5. Sprawdź ustawienia kopii zapasowej. Powinny zostać wyświetlone ustawienia Wystawiony dziennik i Oczekujące żądania.

    6. Kliknij przycisk Zakończ, a następnie kliknij przycisk Tak , aby ponownie uruchomić usługi certyfikatów po przywróceniu bazy danych urzędu certyfikacji.

    Podczas procesu przywracania urzędu certyfikacji może wystąpić następujący błąd, jeśli folder kopii zapasowej urzędu certyfikacji nie ma poprawnego formatu struktury folderów:

    ---------------------------
    Usługi certyfikatów firmy Microsoft
    ---------------------------

    Oczekiwane dane nie istnieją w tym katalogu.
    Wybierz inny katalog. Nazwa katalogu jest nieprawidłowa. 0x8007010b (WIN32/HTTP: 267)

    Prawidłowa struktura folderów jest następująca:

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    Gdzie C:\Ca_Backup to folder wybrany podczas fazy tworzenia kopii zapasowej urzędu certyfikacji w kroku 2.

  11. W przystawce Urząd certyfikacji ręcznie dodaj lub usuń szablony certyfikatów, aby zduplikować ustawienia szablonów certyfikatów zanotowane w kroku 1.

Uwaga 16.

Jeśli wystąpią problemy z publikowaniem nowych szablonów lub niestandardowych, wykonaj poniższe kroki.

  1. Z kontrolera domeny w lesie, w którym zmigrowana rola urzędu certyfikacji rozpoczyna edycję ADSI.
  2. Kliknij prawym przyciskiem myszy pozycję Edytuj ADSI —> Połącz z —> w obszarze Wybierz dobrze znany kontekst nazewnictwa wybierz pozycję Konfiguracja —> ok.
  3. Przejdź do folderu CN=Configuration | CN=Services | CN=Public Key Services | CN=Enrollment Services.
  4. Kliknij prawym przyciskiem myszy urząd certyfikacji w okienku po prawej stronie, z którego chcesz się zarejestrować, i kliknij polecenie Właściwości. Znajdź atrybut flagi i sprawdź, czy ustawiono go na 10.
  5. Jeśli tak nie jest, ustaw ją na 10 i poczekaj lub ręcznie wymuś replikację usługi Active Directory.
  6. Zamknij narzędzie ADSI Edit i z serwera urzędu certyfikacji upewnij się, że możesz teraz opublikować nowe szablony.

Tworzenie kopii zapasowej i przywracanie kluczy urzędu certyfikacji i bazy danych w systemie Windows 2000 Server

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

  1. Zwróć uwagę na szablony certyfikatów skonfigurowane w folderze Szablony certyfikatów w przystawce Urząd certyfikacji. Ustawienia szablonów certyfikatów są przechowywane w usłudze Active Directory. Nie są one tworzone automatycznie. Aby zachować ten sam zestaw szablonów, należy ręcznie skonfigurować ustawienia szablonów certyfikatów w nowym urzędzie certyfikacji.

    Uwaga 16.

    Folder Szablony certyfikatów istnieje tylko w urzędzie certyfikacji przedsiębiorstwa. Autonomiczne urzędy certyfikacji nie używają szablonów certyfikatów. W związku z tym ten krok nie ma zastosowania do autonomicznego urzędu certyfikacji.

  2. Użyj przystawki Urząd certyfikacji, aby utworzyć kopię zapasową bazy danych urzędu certyfikacji i klucza prywatnego. W tym celu wykonaj następujące kroki:

    1. W przystawce Urząd certyfikacji kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji, kliknij pozycję Wszystkie zadania, a następnie kliknij polecenie Utwórz kopię zapasową urzędu certyfikacji, aby uruchomić Kreatora tworzenia kopii zapasowej urzędu certyfikacji.
    2. Kliknij przycisk Dalej, a następnie kliknij pozycję Klucz prywatny i certyfikat urzędu certyfikacji.
    3. Kliknij pozycję Wystawiony dziennik certyfikatów i oczekująca kolejka żądań certyfikatu.
    4. Użyj pustego folderu jako lokalizacji kopii zapasowej. Upewnij się, że można uzyskać dostęp do folderu kopii zapasowej przez nowy serwer.
    5. Kliknij przycisk Dalej. Jeśli określony folder kopii zapasowej nie istnieje, Kreator kopii zapasowej urzędu certyfikacji utworzy go.
    6. Wpisz , a następnie potwierdź hasło do pliku kopii zapasowej klucza prywatnego urzędu certyfikacji.
    7. Kliknij przycisk Dalej dwa razy, a następnie sprawdź ustawienia kopii zapasowej. Powinny zostać wyświetlone następujące ustawienia:
      • Klucz prywatny i certyfikat urzędu certyfikacji
      • Wystawione żądania dziennika i oczekujące
    8. Kliknij przycisk Zakończ.

  3. Zapisz ustawienia rejestru dla tego urzędu certyfikacji. W tym celu wykonaj następujące kroki:

    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg regedit w polu Otwórz, a następnie kliknij przycisk OK.
    2. Znajdź i kliknij prawym przyciskiem myszy następujący podklucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Kliknij pozycję Konfiguracja, a następnie kliknij pozycję Eksportuj plik rejestru w menu Rejestr.
    4. Zapisz plik rejestru w folderze kopii zapasowej urzędu certyfikacji zdefiniowanym w kroku 2d.

  4. Sprawdź punkt dystrybucji listy CRL w starym urzędzie certyfikacji. Te ustawienia należy skonfigurować w nowym urzędzie certyfikacji.

    1. Otwórz cmd.exe w starym urzędzie certyfikacji.
    2. Wprowadź pkiview.
    3. Wyeksportuj konfigurację.

  5. Usuń usługi certyfikatów ze starego serwera.

    Uwaga 16.

    Ten krok usuwa obiekty z usługi Active Directory. Nie wykonuj tego kroku poza kolejnością. Jeśli usunięcie źródłowego urzędu certyfikacji zostanie wykonane po zainstalowaniu docelowego urzędu certyfikacji (krok 7 w tej sekcji), docelowy urząd certyfikacji stanie się bezużyteczny.

  6. Zmień nazwę starego serwera lub trwale odłącz go od sieci.

  7. Zainstaluj usługi certyfikatów na nowym serwerze. W tym celu należy wykonać następujące czynności:

    Uwaga 16.

    Nowy serwer musi mieć taką samą nazwę komputera jak stary serwer.

    1. W Panel sterowania kliknij dwukrotnie pozycję Dodaj/Usuń programy.
    2. Kliknij przycisk Dodaj/Usuń składniki systemu Windows, kliknij pozycję Usługi certyfikatów w Kreatorze składników systemu Windows, a następnie kliknij przycisk Dalej.
    3. W oknie dialogowym Typ urzędu certyfikacji kliknij odpowiedni typ urzędu certyfikacji.
    4. Kliknij pozycję Opcje zaawansowane, a następnie kliknij przycisk Dalej.
    5. W oknie dialogowym Para kluczy publicznych i prywatnych kliknij pozycję Użyj istniejących kluczy, a następnie kliknij przycisk Importuj.
    6. Wpisz ścieżkę obiektu . Plik P12 w folderze kopii zapasowej wpisz hasło wybrane w kroku 2f, a następnie kliknij przycisk OK.
    7. Kliknij przycisk Dalej, wpisz opis urzędu certyfikacji, jeśli jest to odpowiednie, a następnie kliknij przycisk Dalej.
    8. Zaakceptuj ustawienia domyślne Lokalizacja przechowywania danych, kliknij przycisk Dalej, a następnie kliknij przycisk Zakończ , aby ukończyć instalację usług certyfikatów.

  8. Zatrzymaj usługę usług certyfikatów.

  9. Znajdź plik rejestru zapisany w kroku 3, a następnie kliknij go dwukrotnie, aby zaimportować ustawienia rejestru.

  10. Użyj przystawki Urząd certyfikacji, aby przywrócić bazę danych urzędu certyfikacji. W tym celu wykonaj następujące kroki:

    1. W przystawce Urząd certyfikacji kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji, kliknij pozycję Wszystkie zadania, a następnie kliknij polecenie Przywróć urząd certyfikacji.

      Zostanie uruchomiony Kreator przywracania urzędu certyfikacji.

    2. Kliknij przycisk Dalej, a następnie kliknij pozycję Wystawiony dziennik certyfikatów i oczekujące na kolejkę żądań certyfikatu.

    3. Wpisz lokalizację folderu kopii zapasowej, a następnie kliknij przycisk Dalej.

    4. Sprawdź ustawienia kopii zapasowej. Powinny zostać wyświetlone następujące ustawienia:

      • Wystawiony dziennik
      • Oczekujące żądania

    5. Kliknij przycisk Zakończ, a następnie kliknij przycisk Tak , aby ponownie uruchomić usługi certyfikatów po przywróceniu bazy danych urzędu certyfikacji.

  11. W przystawce Urząd certyfikacji ręcznie dodaj lub usuń szablony certyfikatów, aby zduplikować ustawienia szablonów certyfikatów zanotowane w kroku 1.

Więcej informacji

Aby uzyskać więcej informacji na temat scenariuszy uaktualniania i migracji dla systemów Windows Server 2003 i Windows Server 2008, zobacz oficjalny dokument "Przewodnik uaktualniania i migracji usług certyfikatów Active Directory". Aby zapoznać się z białym dokumentem, zobacz Active Directory Certificate Services Upgrade and Migration Guide (Przewodnik po uaktualnianiu i migracji usług certyfikatów Active Directory).