Falha na migração da Autoridade de Certificação (CA) do Windows 2008R para o Windows 2012 R2

Boa tarde, querido leitor!

Vou falar sobre o meu pesadelo que experimentei ao migrar a CA do Windows 2008R2 para o Windows 2012 R2. Existem muitos artigos sobre esse assunto na internet e não deveria ter havido nenhum problema.

Infelizmente, não sou realmente um administrador do Windows, sou mais do que um administrador * nix, mas a tarefa de migração da CA foi definida - ela precisa ser concluída.

De acordo com o corte, vou contar como passei por esse processo e não recebi exatamente o HappyEnd no final.

Então vamos lá ...

Dados de origem:
Origem - Windows 2008 R2 com CA raiz
Alvo - Windows 2012R2

O servidor Windows 2012R2 já estava instalado e configurado minimamente.

Inicialmente, o plano de ação era o seguinte (ações abreviadas):

1. Criamos a chave privada de CA + de backup e a copiamos para uma esfera comum nos dois computadores
2. Exibimos o alvo do domínio e alteramos o IP
3. Fazendo uma captura instantânea do servidor
4. Mude o IP na fonte
5. Vamos para o novo servidor Windows 2012R2 sob o administrador - insira-o no domínio com o mesmo nome e atribui o IP antigo
6. Coloque a função do Serviço de Certificados do Active Directory (CA, Inscrição na Web da CA, NDES, Respondente Online)
7. Indicamos que essa é a CA corporativa
8. Restaurando CA + Chave Privada do Backup
9. Final feliz

Concordo bem, não há nada complicado. E eu comecei a implementação. De fato, não houve problemas e tudo correu como um relógio ... O serviço foi iniciado, os modelos de certificado apareceram e os próprios certificados apareceram. Em geral, está tudo bem. Então eu fui dormir. De manhã, não houve queixas sobre o trabalho da CA. Por isso, pensei que tudo estava funcionando e me dediquei a outras tarefas. No processo de resolvê-los, eu precisava de um certificado. Criei .csr e cliquei no link vm_ca / certsvc para assinar e receber um certificado, e foi aí que ocorreu o erro. Infelizmente, não tirei uma captura de tela, mas falava sobre informações de incompatibilidade do usuário e alguns outros erros. Bem, eles navegaram - pensei. Comecei a pesquisar no Google, mas infelizmente não encontrei nada inteligível.

À noite, decidimos remover o CA Windows 2012R2, instalar tudo novamente e cometer um erro. Em vez da CA corporativa, escolhi a opção CA autônoma (já aprendi sobre o meu erro mais tarde). Fiz todas as operações novamente ... tudo correu sem erros - mas quando seleciono a pasta Modelos de Certificado, recebo o Elemento não encontrado, embora, se eu selecionar Gerenciar, os modelos estejam no lugar.

Eu pensei que não havia direitos suficientes para esse CN = Modelos de Certificado, então, usando o ADSI Edit, dei Read para vm_ca $. Reiniciado CertSvc e ... result: Elemento não encontrado.

Então fiquei triste por duas horas à noite ... e a CA não funciona. Desative o CA Windows 2012R2 e restaure o VM CA Windows 2008R2 a partir do instantâneo. Devolvo o servidor ao AD (porque quando tento entrar na conta do domínio, ocorre um erro no relacionamento entre o servidor e o AD).

Bem, acho que ... tudo ficará bem agora, mas, infelizmente ... ainda são modelos de certificado - recebo o elemento não encontrado. Vou deixar tudo até a manhã - pois a manhã da noite é mais sábia.

De manhã, pesquisei no Google, depois de ler todos os tipos de artigos - decido reinstalar a CA já no servidor antigo, na esperança de resolver o problema do elemento não encontrado e emitir certificados pela Web.

O processo é bastante simples:

1. Celebramos o papel da CA
2. Estamos sobrecarregados
3. Estamos aguardando a conclusão do processo de remoção.
4. Adicione a função de autoridade de certificação (especifique CA, Inscrição na Web da CA, NDES, Respondente Online)
5. Indicamos que eu tenho uma autoridade de certificação corporativa e uma chave privada
6. Estamos aguardando a instalação terminar e restaurar tudo, desde o backup que fizemos no início.
7. Como sempre, tudo corre bem - sem erros e o serviço foi iniciado

Com o coração apertado, clico em Modelos de certificado - e ... recebi uma lista - essa já é uma pequena vitória. Resta verificar a operação de emissão de um certificado via Web. Sigo o link: vm_ca / certsvc e clico em Solicitar um certificado e, em seguida, em um pedido avançado de certificado ... Especifico a solicitação .csr e preparo o certificado. Eu desisto ... Acabou por restaurar CA.

Conclusões:

1. Certifique-se de fazer backup e captura instantânea
2. Documente suas ações - isso ajudará a recuperar tudo ou encontrar o erro mais rapidamente

PS Ainda preciso tentar novamente a migração da CA do Windows 2008R para o Windows 2012R2.