Поделиться через

Перемещение центра сертификации на другой сервер

В этой статье описывается перемещение центра сертификации (ЦС) на другой сервер.

Исходный номер базы знаний: 298138

Примечание.

Эта статья относится к Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. Поддержка Windows 2000 закончилась 13 июля 2010 г. Центр решений Windows 2000 — это отправная точка для планирования стратегии миграции из Windows 2000. Поддержка Windows 2008 и 2008 R2 закончилась 14 января 2020 г. Дополнительные сведения см. в политике жизненного цикла службы поддержки Майкрософт.

Итоги

Центры сертификации (ЦС) являются центральным компонентом инфраструктуры открытых ключей (PKI) организации. ЦС настроены на существование в течение многих лет или десятилетий, в течение которого оборудование, на котором размещается ЦС, вероятно, обновляется.

Примечание.

Чтобы переместить ЦС с сервера под управлением Windows 2000 Server на сервер под управлением Windows Server 2003, необходимо сначала обновить сервер ЦС под управлением Windows 2000 Server до Windows Server 2003. Затем вы можете выполнить действия, описанные в этой статье.

Убедитесь, что %Systemroot% целевого сервера соответствует %Systemroot% сервера, из которого выполняется резервное копирование состояния системы.

При установке компонентов сервера ЦС необходимо изменить путь к файлам ЦС, чтобы они соответствовали расположению резервной копии. Например, при резервном копировании из папки D:\Winnt\System32\Certlog необходимо восстановить резервную копию в папку D:\Winnt\System32\Certlog . Резервное копирование невозможно восстановить в папке C:\Winnt\System32\Certlog . После восстановления резервной копии можно переместить файлы базы данных ЦС в расположение по умолчанию.

Если вы пытаетесь восстановить резервную копию, а %Systemroot% резервного копирования и целевой сервер не совпадают, может появиться следующее сообщение об ошибке:

Восстановление добавочного образа невозможно выполнить перед выполнением восстановления из полного образа. Недопустимое имя каталога. 0x8007010b (WIN32/HTTP:267)

Перемещение служб сертификатов из 32-разрядной операционной системы в 64-разрядную операционную систему или наоборот может завершиться ошибкой с одним из следующих сообщений об ошибках:

Ожидаемые данные не существуют в этом каталоге.

Восстановление добавочного образа невозможно выполнить перед выполнением восстановления из полного образа 0x8007010b (WIN32/HTTP:267)

Изменение формата базы данных с 32-разрядной версии на 64-разрядную версию приводит к несовместимости, а восстановление блокируется. Это напоминает переход с Windows 2000 на ЦС Windows Server 2003. Однако путь обновления от 32-разрядной версии Windows Server 2003 до 64-разрядной версии отсутствует. Таким образом, нельзя переместить 32-разрядную базу данных в 64-разрядную базу данных на компьютере под управлением Windows Server 2003. Однако вы можете обновить ЦС Windows Server 2003 (работает в Windows Server 2003 x86) до Центра сертификации Windows Server 2008 R2 (работает в Windows Server 2008 R2 x64). Это обновление поддерживается.

Версия Windows Server 2003 R2 CD2 на основе x64 обновляет только 64-разрядные версии Windows Server 2003, основанные на архитектуре EM64T или архитектуре AMD64.

Резервное копирование и восстановление ключей центра сертификации и базы данных

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

  1. Обратите внимание на шаблоны сертификатов, настроенные в папке "Шаблоны сертификатов" в оснастке центра сертификации. Параметры шаблонов сертификатов хранятся в Active Directory. Они не создаются автоматически. Необходимо вручную настроить параметры шаблонов сертификатов в новом ЦС, чтобы сохранить тот же набор шаблонов.

    Примечание.

    Папка "Шаблоны сертификатов" существует только в корпоративном ЦС. Автономные ЦС не используют шаблоны сертификатов. Поэтому этот шаг не применяется к автономному ЦС.

  2. Используйте оснастку центра сертификации для резервного копирования базы данных ЦС и закрытого ключа. Для этого выполните следующие шаги.

    1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите пункт "Все задачи", а затем нажмите кнопку "Резервное копирование ЦС ", чтобы запустить мастер резервного копирования центра сертификации.
    2. Нажмите кнопку "Далее", а затем нажмите кнопку "Закрытый ключ" и сертификат ЦС.
    3. Щелкните "База данных сертификатов" и журнал базы данных сертификатов.
    4. Используйте пустую папку в качестве расположения резервного копирования. Убедитесь, что папка резервного копирования может получить доступ к новому серверу.
    5. Нажмите кнопку Далее. Если указанная папка резервного копирования не существует, мастер резервного копирования центра сертификации создает ее.
    6. Введите и подтвердите пароль для файла резервного копирования закрытого ключа ЦС.
    7. Нажмите кнопку "Далее", а затем проверьте параметры резервного копирования. Должны отображаться следующие параметры:
      • Закрытый ключ и сертификат ЦС
      • Выданные журналы и ожидающие запросы
    8. Нажмите кнопку Готово.

  3. Сохраните параметры реестра для этого ЦС. Для этого выполните следующие шаги.

    1. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите regedit в поле "Открыть" и нажмите кнопку "ОК".
    2. Найдите и щелкните правой кнопкой мыши следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Щелкните Экспорт.
    4. Сохраните файл реестра в папке резервного копирования ЦС, определенной на шаге 2d.

    Примечание.

    По умолчанию службы сертификатов Active Directory (AD CS) настраиваются с расширениями точек отзыва сертификатов (CRL), которые включают имя узла компьютера ЦС в путь. Это означает, что все сертификаты, выданные ЦС перед миграцией, могут содержать пути проверки сертификатов со старым именем узла. Эти пути больше не могут быть допустимыми после миграции. Чтобы избежать ошибок проверки отзыва, новый ЦС должен быть настроен для публикации списков отзыва в старых (предварительных миграциях) путей и новых путей. Если вам нужно окончательно удалить старый ЦС, можно добавить в новый ЦС второе имя компьютера. Прежде чем это сделать, старое имя компьютера должно быть доступно в Active Directory. На этом этапе можно добавить точки распространения CRL в новый ЦС.

  4. Проверьте точку распространения CRL в старом ЦС. Эти параметры необходимо настроить в новом ЦС.

    1. Откройте cmd.exe в старом ЦС.
    2. Введите pkiview.
    3. Экспорт конфигурации.

  5. Удалите службы сертификатов с старого сервера.

    Примечание.

    Этот шаг удаляет объекты из Active Directory. Не выполняйте этот шаг вне порядка. Если удаление исходного ЦС выполняется после установки целевого ЦС (шаг 7 в этом разделе), целевой ЦС станет непригодным для использования.

  6. Переименуйте старый сервер или окончательно отключите его от сети.

  7. Установите службы сертификатов на новом сервере. Для этого требуется выполнить следующие шаги.

    Примечание.

    Новый сервер должен иметь то же имя компьютера, что и старый сервер.

    1. В панель управления дважды щелкните "Добавить или удалить программы".
    2. Нажмите кнопку "Добавить и удалить компоненты Windows", щелкните "Службы сертификатов" в мастере компонентов Windows и нажмите кнопку "Далее".
    3. В диалоговом окне "Тип ЦС" щелкните соответствующий тип ЦС.
    4. Нажмите кнопку "Использовать настраиваемые параметры", чтобы создать пару ключей и сертификат ЦС, а затем нажмите кнопку "Далее".
    5. Нажмите кнопку " Импорт", введите путь к элементу . P12-файл в папке резервного копирования введите пароль, выбранный на шаге 2f, и нажмите кнопку "ОК".
    6. В диалоговом окне "Пара открытых и закрытых ключей" убедитесь, что установлен флажок "Использовать существующие ключи".
    7. Нажмите кнопку " Далее" два раза.
    8. Примите параметры базы данных сертификатов по умолчанию, нажмите кнопку "Далее", а затем нажмите кнопку "Готово", чтобы завершить установку служб сертификатов.

    Внимание

    Если новый сервер имеет другое имя компьютера, выполните следующие действия:

    1. В панель управления дважды щелкните "Добавить или удалить программы".
    2. Нажмите кнопку "Добавить и удалить компоненты Windows", щелкните "Службы сертификатов" в мастере компонентов Windows и нажмите кнопку "Далее".
    3. В диалоговом окне "Тип ЦС" щелкните соответствующий тип ЦС.
    4. Нажмите кнопку "Использовать настраиваемые параметры", чтобы создать пару ключей и сертификат ЦС, а затем нажмите кнопку "Далее".
    5. Нажмите кнопку " Импорт", введите путь к элементу . P12-файл в папке резервного копирования введите пароль, выбранный на шаге 2f, и нажмите кнопку "ОК".
    6. В диалоговом окне "Пара открытых и закрытых ключей" убедитесь, что установлен флажок "Использовать существующие ключи".
    7. Нажмите кнопку " Далее" два раза.
    8. Примите параметры базы данных сертификатов по умолчанию, нажмите кнопку "Далее", а затем нажмите кнопку "Готово", чтобы завершить установку служб сертификатов.
    9. Измените ранее экспортируемый раздел реестра на шаге 3 следующим образом:
      1. Щелкните правой кнопкой мыши экспортируемый ключ.
      2. Изменить.
      3. Замените значение CAServerName новым именем сервера.
      4. Сохранить и закрыть.

  8. Остановите службу служб сертификатов.

  9. Найдите файл реестра, сохраненный на шаге 3, и дважды щелкните его, чтобы импортировать параметры реестра. Если путь, отображаемый в экспорте реестра из старого ЦС, отличается от нового пути, необходимо соответствующим образом настроить экспорт реестра. По умолчанию новый путь — C:\Windows в Windows Server 2003.

  10. Используйте оснастку центра сертификации для восстановления базы данных ЦС. Для этого выполните следующие шаги.

    1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите пункт "Все задачи" и щелкните " Восстановить ЦС".

      Запускается мастер восстановления центра сертификации.

    2. Нажмите кнопку "Далее", а затем нажмите кнопку "Закрытый ключ" и сертификат ЦС.

    3. Щелкните "База данных сертификатов" и журнал базы данных сертификатов.

    4. Введите расположение папки резервного копирования и нажмите кнопку "Далее".

    5. Проверьте параметры резервного копирования. Должны отображаться параметры выданных журналов и ожидающих запросов.

    6. Нажмите кнопку "Готово" и нажмите кнопку "Да" , чтобы перезапустить службы сертификатов при восстановлении базы данных ЦС.

    Во время процесса восстановления ЦС может появиться следующая ошибка, если папка резервного копирования ЦС не имеет правильного формата структуры папок:

    ---------------------------
    Службы сертификации Microsoft
    ---------------------------

    Ожидаемые данные не существуют в этом каталоге.
    Выберите другой каталог. Недопустимое имя каталога. 0x8007010b (WIN32/HTTP: 267)

    Правильная структура папок выглядит следующим образом:

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    Где C:\Ca_Backup — это папка, выбранная на этапе резервного ЦС на шаге 2.

  11. В оснастке центра сертификации вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать параметры шаблонов сертификатов, которые вы указали на шаге 1.

Примечание.

Если возникли проблемы с публикацией новых шаблонов или пользовательских шаблонов, выполните приведенные ниже действия.

  1. Из контроллера домена в лесу, где вы перенесли роль ЦС, запустите ADI Edit.
  2. Щелкните правой кнопкой мыши команду ADSI Edit —> Connect to —> In Select a well known Naming Context select Configuration (Конфигурация —> ОК).
  3. Перейдите к CN=Configuration | CN=Services | Службы открытого ключа CN=| CN=Enrollment Services.
  4. Щелкните правой кнопкой мыши ЦС в правой области, из которой вы хотите зарегистрировать, и щелкните "Свойства". Найдите атрибут флагов и убедитесь, что для него задано значение 10.
  5. Если это не так, установите для него значение 10 и подождите или вручную принудите репликацию Active Directory.
  6. Закройте ADI Edit и с сервера ЦС убедитесь, что теперь вы можете опубликовать новые шаблоны.

Резервное копирование и восстановление ключей центра сертификации и базы данных в Windows 2000 Server

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

  1. Обратите внимание на шаблоны сертификатов, настроенные в папке "Шаблоны сертификатов" в оснастке центра сертификации. Параметры шаблонов сертификатов хранятся в Active Directory. Они не создаются автоматически. Необходимо вручную настроить параметры шаблонов сертификатов в новом ЦС, чтобы сохранить тот же набор шаблонов.

    Примечание.

    Папка "Шаблоны сертификатов" существует только в корпоративном ЦС. Автономные ЦС не используют шаблоны сертификатов. Поэтому этот шаг не применяется к автономному ЦС.

  2. Используйте оснастку центра сертификации для резервного копирования базы данных ЦС и закрытого ключа. Для этого выполните следующие шаги.

    1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите пункт "Все задачи", а затем нажмите кнопку "Резервное копирование ЦС ", чтобы запустить мастер резервного копирования центра сертификации.
    2. Нажмите кнопку "Далее", а затем нажмите кнопку "Закрытый ключ" и сертификат ЦС.
    3. Щелкните "Журнал выданных сертификатов" и ожидающий очереди запросов на сертификат.
    4. Используйте пустую папку в качестве расположения резервного копирования. Убедитесь, что папка резервного копирования может получить доступ к новому серверу.
    5. Нажмите кнопку Далее. Если указанная папка резервного копирования не существует, мастер резервного копирования центра сертификации создает ее.
    6. Введите и подтвердите пароль для файла резервного копирования закрытого ключа ЦС.
    7. Нажмите кнопку "Далее" два раза, а затем проверьте параметры резервного копирования. Должны отображаться следующие параметры:
      • Закрытый ключ и сертификат ЦС
      • Выданные журналы и ожидающие запросы
    8. Нажмите кнопку Готово.

  3. Сохраните параметры реестра для этого ЦС. Для этого выполните следующие шаги.

    1. Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите regedit и нажмите кнопку ОК.
    2. Найдите и щелкните правой кнопкой мыши следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Щелкните "Конфигурация" и выберите пункт "Экспорт файла реестра" в меню "Реестр ".
    4. Сохраните файл реестра в папке резервного копирования ЦС, определенной на шаге 2d.

  4. Проверьте точку распространения CRL в старом ЦС. Эти параметры необходимо настроить в новом ЦС.

    1. Откройте cmd.exe в старом ЦС.
    2. Введите pkiview.
    3. Экспорт конфигурации.

  5. Удалите службы сертификатов с старого сервера.

    Примечание.

    Этот шаг удаляет объекты из Active Directory. Не выполняйте этот шаг вне порядка. Если удаление исходного ЦС выполняется после установки целевого ЦС (шаг 7 в этом разделе), целевой ЦС станет непригодным для использования.

  6. Переименуйте старый сервер или окончательно отключите его от сети.

  7. Установите службы сертификатов на новом сервере. Для этого требуется выполнить следующие шаги.

    Примечание.

    Новый сервер должен иметь то же имя компьютера, что и старый сервер.

    1. В панель управления дважды щелкните "Добавить и удалить программы".
    2. Нажмите кнопку "Добавить и удалить компоненты Windows", щелкните "Службы сертификатов" в мастере компонентов Windows и нажмите кнопку "Далее".
    3. В диалоговом окне "Тип центра сертификации" щелкните соответствующий тип ЦС.
    4. Нажмите кнопку "Дополнительные параметры" и нажмите кнопку "Далее".
    5. В диалоговом окне "Пара открытых и закрытых ключей" нажмите кнопку "Использовать существующие ключи" и нажмите кнопку "Импорт".
    6. Введите путь к объекту . P12-файл в папке резервного копирования введите пароль, выбранный на шаге 2f, и нажмите кнопку "ОК".
    7. Нажмите кнопку "Далее", введите описание ЦС при необходимости и нажмите кнопку "Далее".
    8. Примите параметры расположения хранилища данных по умолчанию, нажмите кнопку "Далее", а затем нажмите кнопку "Готово", чтобы завершить установку служб сертификатов.

  8. Остановите службу служб сертификатов.

  9. Найдите файл реестра, сохраненный на шаге 3, и дважды щелкните его, чтобы импортировать параметры реестра.

  10. Используйте оснастку центра сертификации для восстановления базы данных ЦС. Для этого выполните следующие шаги.

    1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите пункт "Все задачи" и щелкните " Восстановить ЦС".

      Запускается мастер восстановления центра сертификации.

    2. Нажмите кнопку "Далее", а затем нажмите кнопку "Выданный журнал сертификатов" и "Ожидающая очередь запроса сертификата".

    3. Введите расположение папки резервного копирования и нажмите кнопку "Далее".

    4. Проверьте параметры резервного копирования. Должны отображаться следующие параметры:

      • Выданный журнал
      • Ожидающие запросы

    5. Нажмите кнопку "Готово" и нажмите кнопку "Да" , чтобы перезапустить службы сертификатов при восстановлении базы данных ЦС.

  11. В оснастке центра сертификации вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать параметры шаблонов сертификатов, которые вы указали на шаге 1.

Дополнительная информация

Дополнительные сведения о сценариях обновления и миграции для Windows Server 2003 и Windows Server 2008 см. в техническом документе "Руководство по обновлению и миграции служб сертификатов Active Directory". Сведения о техническом документе см . в руководстве по обновлению и миграции служб сертификатов Active Directory.