Geekly articles weekly

Migrasi sertifikat otoritas (CA) gagal dari Windows 2008R ke Windows 2012 R2

Selamat siang, pembaca yang budiman!

Saya akan memberi tahu Anda tentang mimpi buruk yang saya alami saat memigrasi CA dari Windows 2008R2 ke Windows 2012 R2. Ada banyak artikel tentang hal ini di internet dan seharusnya tidak ada masalah.

Sayangnya, saya bukan Admin Windows, saya lebih dari admin * nix, tetapi tugas migrasi CA telah diatur - itu harus dilakukan.

Di bawah potongan, saya akan memberi tahu Anda bagaimana saya menjalani proses ini dan akhirnya tidak menerima HappyEnd.

Jadi ayo pergi ...

Sumber data:
Sumber - Windows 2008 R2 dengan Root CA
Target - Windows 2012R2

Server Windows 2012R2 sudah diinstal dan dikonfigurasi secara minimal.

Awalnya, rencana tindakan adalah sebagai berikut (tindakan singkat):

  1. Kami membuat Backup CA + Private Key dan menyalinnya ke ruang yang sama untuk kedua komputer
  2. Kami menampilkan target dari domain dan mengubah IP
  3. Membuat snapshot server
  4. Ubah IP pada sumbernya
  5. Kami pergi ke server Windows 2012R2 baru di bawah administrator - masukkan ke domain dengan nama yang sama dan tetapkan IP lama
  6. Masukkan peran Layanan Sertifikat Direktori Aktif (CA, Pendaftaran Web CA, NDES, Responden Online)
  7. Kami mengindikasikan bahwa ini adalah Enterprise CA
  8. Mengembalikan CA + Kunci Pribadi dari cadangan
  9. Selamat berakhir

Setuju baik, tidak ada yang rumit. Dan saya mulai implementasi. Bahkan, tidak ada masalah dan semuanya berjalan seperti jarum jam ... Layanan dimulai, Template Sertifikat muncul dan sertifikat itu sendiri muncul. Secara umum, semuanya OK. Jadi saya pergi tidur. Di pagi hari, tidak ada keluhan tentang pekerjaan CA, jadi saya pikir semuanya bekerja, dan mulai mengerjakan tugas-tugas lain. Dalam proses penyelesaiannya, saya membutuhkan sertifikat. Saya membuat .csr dan mengklik tautan vm_ca / certsvc untuk menandatangani dan menerima sertifikat, dan di sinilah kesalahan terjadi. Sayangnya, saya tidak mengambil tangkapan layar, tetapi berbicara tentang ketidakcocokan informasi pengguna dan beberapa kesalahan lainnya. Yah, mereka berlayar - saya pikir. Saya mulai menggunakan google, tetapi sayangnya saya tidak menemukan sesuatu yang dapat dimengerti.

Di malam hari, kami memutuskan untuk menghapus CA Windows 2012R2 dan menginstal semuanya lagi dan membuat kesalahan, alih-alih Enterprise CA saya memilih opsi Standalone CA (Saya sudah mempelajari kesalahan saya nanti). Saya melakukan semua operasi lagi ... semuanya berjalan tanpa kesalahan - tetapi ketika saya memilih folder Template Sertifikat, saya mendapatkan Elemen tidak ditemukan, walaupun jika saya memilih Kelola, maka template sudah ada.

Saya berpikir bahwa tidak ada hak yang cukup untuk CN ini = Templat Sertifikat, jadi menggunakan ADSI Edit saya memberi Baca untuk vm_ca $. CertSvc dan ... hasil yang dimulai kembali: Elemen tidak ditemukan.

Kemudian saya sedih selama 2 jam di malam hari ... dan CA tidak bekerja. Matikan CA Windows 2012R2 dan pulihkan VM CA Windows 2008R2 dari snapshot. Saya mengembalikan server ke AD (karena ketika saya mencoba masuk di bawah akun domain, terjadi kesalahan dalam hubungan antara server dan AD).

Yah, saya pikir ... semuanya sekarang akan baik-baik saja, tapi sayangnya ... masih Template Sertifikat - Saya mendapatkan Elemen tidak ditemukan. Saya akan meninggalkan semuanya sampai pagi - untuk pagi lebih bijaksana daripada malam.

Di pagi hari saya mencari di Google, setelah membaca semua jenis artikel - saya memutuskan untuk menginstal ulang CA sudah di server lama dengan harapan menyelesaikan masalah Elemen Tidak Ditemukan dan mengeluarkan sertifikat melalui Web.

Prosesnya cukup sederhana:

  1. Kami merayakan peran CA
  2. Kami kelebihan beban
  3. Kami sedang menunggu proses penghapusan selesai.
  4. Tambahkan peran CA (sebutkan CA, Pendaftaran Web CA, NDES, Responder Online)
  5. Kami menunjukkan bahwa saya memiliki Enterprise CA dan saya memiliki kunci pribadi
  6. Kami menunggu instalasi untuk menyelesaikan dan mengembalikan semuanya dari cadangan yang kami lakukan di awal.
  7. Seperti biasa, semuanya berjalan lancar - tidak ada kesalahan dan layanan dimulai

Dengan hati yang tenggelam, saya mengklik Template Sertifikat - dan ... Saya diberi daftar - ini sudah merupakan kemenangan kecil. Tetap memverifikasi operasi mengeluarkan sertifikat melalui Web. Saya mengikuti tautan: vm_ca / certsvc dan klik pada Permintaan Sertifikat dan kemudian permintaan sertifikat lanjutan ... Saya menentukan permintaan .csr dan saya mendapatkan sertifikat siap. Saya berikan ... Ternyata mengembalikan CA.

Kesimpulan:

  1. Pastikan untuk mencadangkan dan memotret
  2. Dokumentasikan tindakan Anda - ini akan membantu untuk mendapatkan semuanya kembali atau menemukan kesalahan lebih cepat

PS Saya masih harus mencoba lagi migrasi CA dari Windows 2008R ke Windows 2012R2.

Source: https://habr.com/ru/post/id448402/

More articles:


All Articles