Lync实验环境之证书颁发机构迁移

上篇顺利完成了Active Directory 域服务和 DNS 服务器迁移，此篇讲一下集成在域服务器上的证书颁发机构的迁移。

备份源服务器

一、备份 CA 模板列表（仅企业 CA 需要）

使用 Certutil.exe 记录 CA 模板列表

键入 certutil.exe –catemplates > c:\catemplates.txt，并按 Enter。

二、记录 CA 的 CSP 和签名算法。

使用 Certutil.exe 记录 CA 的 CSP

键入 certutil.exe –getreg ca\csp\* >c:\csp.txt，并按 Enter。

wKioL1YYp1zRxAvhAAA5A1bBtSM336.jpg

三、发布有效期延长的 CRL。

四、备份 CA 数据库和私钥

wKiom1YYqVSA2yGbAADOI3GmbhQ596.jpg

五、备份 CA 注册表设置

在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中，右键单击“Configuration”，然后单击“导出”。

六、从源服务器中删除 CA 角色服务

删除 CA 角色服务的操作不会从源服务器中删除 CA 数据库、私钥和证书。因此，如果迁移失败并且需要执行回滚，在源服务器上重新安装 CA 角色服务即可还原源 CA。

wKiom1YYsa_DnF1fAAF-PZe5q3Y910.jpg

七、原域控dc001重命名为dc003，把新的提升为主域控制器dc002重命名为dc001

具体操作参考上篇。

八、

将 CA 角色服务添加到目标服务器（现在名称是dc001)

wKioL1YYu8CQcjYFAAK48TTb85o746.jpg

wKiom1YYu6aTbUcaAAIdx50AWuM057.jpg

导入备份的源服务器CA证书并使用私钥

wKioL1YYu8LBFOljAAIPh3B7t7A760.jpg

wKioL1YYu8LC0kOOAAMCwkxrzmk057.jpg

wKiom1YYu6mB8xJaAAKp7IJTz54952.jpg

wKioL1YYu8PC815XAAMbrytzMaI040.jpg

wKiom1YYvE-wM05IAAKAqdQN12E363.jpg

在目标服务器上还原源 CA 数据库

wKiom1YYvlmA9TaoAADsIPJG4qE698.jpg

wKioL1YYvnPj_yrCAACZS7Rm2NA966.jpg

wKiom1YYvlmzPSroAAFJucoNXvw521.jpg

wKioL1YYvnPz_lRqAAFA8sI3b-Y073.jpg

在目标服务器上还原源 CA 注册表设置

验证 CA 注册表设置

找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration 项

验证以下设置中指定的位置对于目标服务器是否正确，并根据需要更改它们以指示 CA 数据库和日志文件的位置。

• DBDirectory
• DBLogDirectory
• DBSystemDirectory
• DBTempDirectory

验证DBSessionCount ，在“数值数据”中，确认是64

还原证书模板列表

键入 certutil -setcatemplates +<模板列表>，并按 Enter。

例如，certutil -setcatemplates +Administrator,User,DomainController。查看在备份 CA 模板列表过程中创建的模板的列表

certutil -setcatemplates +Administrator,User,DomainController,DirectoryEmailReplication,DomainControllerAuthentication,EFSRecovery,EFS,WebServer,Machine,SubCA

wKiom1YYwf-Dp2mvAAGSu20OB8k722.jpg

至此，CA证书颁发机构迁移完毕。

参考：https://technet.microsoft.com/zh-cn/library/ee126170(v=ws.10).aspx

http://wuyvzhang.blog.51cto.com/9992636/1659939