Geekly articles weekly

Échec de la migration de l'autorité de certification (CA) de Windows 2008R vers Windows 2012 R2

Bonjour, cher lecteur!

Je vais vous parler de mon cauchemar que j'ai vécu lors de la migration de CA de Windows 2008R2 vers Windows 2012 R2. Il y a beaucoup d'articles sur ce sujet sur Internet et il ne devrait pas y avoir de problèmes.

Malheureusement, je ne suis pas vraiment un administrateur Windows, je suis plus qu'un administrateur * nix, mais la tâche de migration de l'autorité de certification a été définie - cela doit être fait.

Sous la coupe, je vais vous dire comment j'ai suivi ce processus et que je n'ai pas reçu exactement HappyEnd à la fin.

Alors allons-y ...

Données sources:
Source - Windows 2008 R2 avec racine CA
Cible - Windows 2012R2

Le serveur Windows 2012R2 était déjà installé et configuré de manière minimale.

Initialement, le plan d'action était le suivant (actions raccourcies):

  1. Nous créons CA de sauvegarde + clé privée et la copions dans une sphère commune pour les deux ordinateurs
  2. Nous affichons la cible du domaine et changeons IP
  3. Création d'un instantané de serveur
  4. Changer l'IP sur la source
  5. Nous allons au nouveau serveur Windows 2012R2 sous l'administrateur - entrez-le dans le domaine avec le même nom et attribuez l'ancienne IP
  6. Mettez le rôle du service de certificats Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
  7. Nous indiquons qu'il s'agit d'Enterprise CA
  8. Restauration de CA + clé privée à partir d'une sauvegarde
  9. Fin heureuse

D'accord, il n'y a rien de compliqué. Et j'ai commencé la mise en œuvre. En fait, il n'y a eu aucun problème et tout s'est passé comme sur des roulettes ... Le service a démarré, les modèles de certificats sont apparus et les certificats eux-mêmes sont apparus. En général, tout va bien. Alors je me suis endormi. Le matin, il n'y a eu aucune plainte concernant le travail de CA, et j'ai donc pensé que tout fonctionnait bien et je me suis mis à d'autres tâches. Pour les résoudre, j'avais besoin d'un certificat. J'ai créé .csr et cliqué sur le lien vm_ca / certsvc pour signer et recevoir un certificat, et c'est là que l'erreur s'est produite. Malheureusement, je n'ai pas pris de capture d'écran, mais il a parlé de non-concordance des informations utilisateur et de certaines autres erreurs. Eh bien, ils ont navigué - je pensais. J'ai commencé à google, mais malheureusement je n'ai rien trouvé d'intelligible.

Dans la soirée, nous avons décidé de supprimer CA Windows 2012R2 et de tout réinstaller et avons fait une erreur, au lieu d'Enterprise CA, j'ai choisi l'option Standalone CA (j'ai déjà appris mon erreur plus tard). J'ai refait toutes les opérations ... tout s'est passé sans erreur - mais lorsque je sélectionne le dossier Modèles de certificats, j'obtiens Élément introuvable, bien que si vous sélectionnez Gérer, les modèles sont en place.

Je pensais qu'il n'y avait pas assez de droits pour ce modèle de certificat CN =, donc en utilisant ADSI Edit j'ai donné Read pour vm_ca $. CertSvc redémarré et ... résultat: élément introuvable.

Ensuite, j'ai été triste pendant 2 heures la nuit ... et CA ne fonctionne pas. Désactivez CA Windows 2012R2 et restaurez VM CA Windows 2008R2 à partir d'un instantané. Je renvoie le serveur à AD (car lorsque j'essaie d'entrer sous le compte de domaine, une erreur se produit dans la relation entre le serveur et AD).

Eh bien, je pense ... que tout ira bien maintenant, mais hélas ... ce sont toujours des modèles de certificats - je reçois l'élément introuvable. Je laisserai tout jusqu'au matin - car le matin du soir est plus sage.

Le matin, j'ai googlé, après avoir lu toutes sortes d'articles - je décide de réinstaller CA déjà sur l'ancien serveur dans l'espoir de résoudre le problème Element Not Found et d'émettre des certificats via le Web.

Le processus est assez simple:

  1. Nous célébrons le rôle de CA
  2. Nous sommes surchargés
  3. Nous attendons la fin du processus de suppression.
  4. Ajoutez le rôle CA (spécifiez CA, CA Web Enrollment, NDES, Online Responder)
  5. Nous indiquons que j'ai Enterprise CA et j'ai une clé privée
  6. Nous attendons la fin de l'installation et restaurons tout à partir de la sauvegarde que nous avons effectuée au tout début.
  7. Comme d'habitude, tout se passe bien - pas d'erreurs et le service a commencé

Le cœur baissé, je clique sur Modèles de certificats - et ... on m'a donné une liste - c'est déjà une petite victoire. Reste à vérifier le fonctionnement de l'émission d'un certificat via le Web. Je suis le lien: vm_ca / certsvc et je clique sur Demander un certificat puis sur la demande de certificat avancée ... Je spécifie la demande .csr et je prépare le certificat. Je donne ... Il s'est avéré restaurer CA.

Conclusions:

  1. Assurez-vous de sauvegarder et d'instantané
  2. Documentez vos actions - cela vous aidera à tout récupérer ou à trouver l'erreur plus rapidement

PS Je dois encore réessayer la migration CA de Windows 2008R vers Windows 2012R2.

Source: https://habr.com/ru/post/fr448402/

More articles:


All Articles