Bagaimana memindahkan Otoritas Sertifikat ke server lain

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 298138 - Melihat produk di mana artikel ini berlaku.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini menjelaskan cara untuk memindahkan Otoritas Sertifikat (CA) ke server yang berbeda.

Sertifikasi otoritas (CAs) adalah pusat komponen infrastruktur tombol tekan umum (PKI) organisasi. CAs dikonfigurasi untuk ada selama banyak tahun atau dekade, selama waktu hardware yang host CA mungkin upgrade.

Catatan
  • Untuk memindahkan CA dari server yang menjalankan Windows 2000 Server ke server yang menjalankan Windows Server 2003, Anda harus upgrade CA server yang menjalankan Windows 2000 Server Windows Server 2003. Kemudian Anda dapat mengikuti langkah-langkah yang dijelaskan dalam artikel ini.
  • Pastikan bahwa % Systemroot % dari target server pertandingan % Systemroot % dari server dari mana sistem negara cadangan diambil.

    Anda harus mengubah path file CA ketika Anda menginstal komponen server CA sehingga mereka lokasi sesuai dengan cadangan. Sebagai contoh, jika Anda membuat cadangan dari map D:\Winnt\System32\Certlog, Anda harus memulihkan cadangan ke D:\Winnt\System32\Certlog folder. Anda tidak dapat gulung balik cadangan untuk map C:\Winnt\System32\Certlog. Setelah Anda memulihkan cadangan, Anda dapat memindahkan file database CA ke lokasi asali.

    Jika Anda mencoba untuk gulung balik cadangan, dan % Systemroot % cadangan dan target server tidak cocok, Anda mungkin menerima pesan galat berikut:
    Kembalikan gambar inkremental tidak dilakukan sebelum Anda melakukan pemulihan dari gambar penuh. Nama direktori tidak valid. 0X8007010B (WIN32/HTTP:267)
    Bergerak sertifikat layanan dari sistem operasi 32-bit untuk 64-bit sistem operasi atau sebaliknya mungkin gagal dengan salah satu pesan galat berikut:
    Data yang diharapkan tidak ada dalam direktori ini.
    Kembalikan gambar inkremental tidak dapat dilakukan sebelum melakukan pemulihan dari gambar penuh 0x8007010b (WIN32/HTTP:267)

    Database format perubahan dari versi 32-bit versi 64-bit menyebabkan tidak kompatibel, dan pemulihan diblokir. Ini menyerupai bergerak dari Windows 2000 untuk Windows Server 2003 CA. Namun, ada tidak ada jalan upgrade dari versi 32-bit Windows Server 2003 untuk versi 64-bit. Oleh karena itu, Anda tidak bisa bergerak yang ada 32-bit database ke database-64-bit pada komputer berbasis Windows Server 2003. Namun, Anda dapat meng-upgrade dari Windows Server 2003 CA (yang berjalan di Windows Server 2003 x 86) untuk Windows Server 2008 R2 CA (yang berjalan di Windows Server 2008 R2 x 64). Upgrade ini didukung.Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
    912309Cara meng-upgrade Windows Server 2003 dengan paket layanan 1 untuk Windows Server 2003 R2
  • X 64 versi berbasis Windows Server 2003 R2 CD2 hanya update versi 64-bit Windows Server 2003 yang didasarkan pada arsitektur EM64T atau pada arsitektur AMD64.

Membuat cadangan dan memulihkan sertifikasi otoritas bukti kunci dan database

Windows Server 2003

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana untuk mengubah registri. Namun, masalah serius mungkin muncul saat Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri apabila ada masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri pada Windows
  1. Perhatikan template sertifikat yang dikonfigurasi dalam sertifikat template folder snap-in Otoritas Sertifikat. Template sertifikat pengaturan disimpan di Direktori Aktif. Mereka yang tidak secara otomatis didukung. Anda harus secara manual mengkonfigurasi pengaturan template sertifikat CA baru untuk mempertahankan serangkaian template yang sama.

    Catatan Template sertifikat folder yang ada hanya pada suatu perusahaan CA. Stand-alone CAs tidak menggunakan sertifikat template. Oleh karena itu, langkah ini tidak sahih untuk CA berdiri sendiri.
  2. Menggunakan snap-in Otoritas Sertifikat cadangan CA database dan bukti kunci privat. Untuk melakukannya, ikuti langkah berikut:
    1. Dalam Otoritas Sertifikat snap-in, klik kanan-atas nama CA, klik Semua tugas, lalu klik Membuat cadangan CA untuk memulai Wisaya Cadangan otoritas sertifikasi.
    2. Klik Berikutnya, lalu klik bukti kunci pribadi dan CA sertifikat.
    3. Klik Sertifikat database dan log database sertifikat.
    4. Menggunakan folder kosong sebagai lokasi cadangan. Pastikan bahwa folder cadangan dapat diakses oleh server baru.
    5. Klik Berikutnya. Jika tidak ada cadangan folder tertentu, Wisaya Cadangan otoritas sertifikasi menciptakan itu.
    6. Ketik dan kemudian Konfirmasikan Sandi untuk CA swasta bukti kunci berkas cadangan.
    7. Klik Berikutnya, kemudian verifikasi pengaturan cadangan. Pengaturan berikut harus ditampilkan:
      • bukti kunci pribadi dan sertifikat CA
      • Dikeluarkan Log dan menunggu permintaan
    8. Klik Menyelesaikan.
  3. Simpan pengaturan registri untuk CA ini. Untuk melakukannya, ikuti langkah berikut:
    1. Klik Mulai, klik Menjalankan, jenis Regedit dalam Terbuka kotak, dan kemudian klik Oke.
    2. Temukan dan kemudian klik kanan-atas subkunci registri berikut:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Klik Ekspor.
    4. Simpan berkas registri di CA folder cadangan yang Anda tetapkan dalam langkah 2.
  4. Hapus Layanan sertifikat dari server lama.

    Catatan Langkah ini menghapus objek dari Direktori Aktif. Tidak melakukan langkah ini rusak. Jika penghapusan sumber CA dilakukan setelah instalasi target CA (Langkah 6 dalam bagian ini), target CA akan menjadi tidak dapat digunakan.
  5. Mengubah nama server lama, atau secara permanen memutuskan dari jaringan.
  6. Menginstal sertifikat layanan pada server baru. Untuk melakukannya, ikuti langkah berikut.

    Catatan Server baru harus memiliki nama komputer yang sama sebagai server lama.
    1. Di Panel Kontrol, klik ganda Tambah atau Hapus Program.
    2. Klik Menambahkan/menghapus komponen Windows, klik Sertifikat layanan Wisaya Komponen Windows, dan kemudian klik Berikutnya.
    3. Dalam CA jenis kotak dialog, klik CA sesuai jenis.
    4. Klik Menggunakan pengaturan khusus untuk menghasilkan pasangan bukti kunci dan sertifikat CA, lalu klik Berikutnya.
    5. Klik Impor, ketik lintasan.P12 file dalam folder cadangan, ketik sandi yang Anda pilih pada langkah 2f, dan kemudian klik Oke.
    6. Dalam Publik dan swasta bukti kunci pasangan kotak dialog, memverifikasi bahwa Menggunakan tombol tekan yang ada dicentang.
    7. Klik Berikutnya dua kali.
    8. Menerima pengaturan default pengaturan Database sertifikat, klik Berikutnya, lalu klik Menyelesaikan untuk melengkapi instalasi sertifikat layanan.
  7. Menghentikan layanan sertifikat layanan.
  8. Cari berkas registri yang Anda simpan di langkah 3, dan kemudian klik ganda untuk mengimpor pengaturan registri. Jika garis jatuh berseri yang akan ditampilkan dalam registri ekspor dari CA lama berbeda dari garis jatuh berseri baru, Anda harus menyesuaikan ekspor registri Anda sesuai. secara asali, garis jatuh berseri baru adalah C:\Windows pada Windows Server 2003.
  9. Gunakan snap-in sertifikasi otoritas untuk memulihkan CA database. Untuk melakukannya, ikuti langkah berikut:
    1. Dalam Otoritas Sertifikat snap-in, klik kanan-atas nama CA, klik Semua tugas, lalu klik Memulihkan CA.

      Wisaya Pemulihan sertifikasi otoritas dimulai.
    2. Klik Berikutnya, lalu klik bukti kunci pribadi dan CA sertifikat.
    3. Klik Sertifikat database dan log database sertifikat.
    4. Ketik lokasi folder cadangan, dan kemudian klik Berikutnya.
    5. Pastikan pengaturan cadangan. The Dikeluarkan Log dan Permintaan tertunda pengaturan harus ditampilkan.
    6. Klik Menyelesaikan, lalu klik Ya untuk me-restart sertifikat layanan ketika CA database dipulihkan.

    Catatan Anda akan menerima galat berikut selama proses CA pemulihan jika folder cadangan CA tidak dalam format struktur folder yang benar:
    ---------------------------
    Microsoft sertifikat layanan
    ---------------------------
    Data yang diharapkan tidak ada dalam direktori ini.
    Silakan pilih direktori yang berbeda. Nama direktori tidak valid. 0X8007010B (WIN32/HTTP: 267)
    Struktur folder benar adalah sebagai berikut:
    C:\Ca_Backup\CA_NAME.P12
    C:\Ca_Backup\Database\certbkxp.dat
    C:\Ca_Backup\Database\edb#####.log
    C:\Ca_Backup\Database\CA_NAME.EDB

    di mana C:\Ca_Backup adalah folder Anda memilih selama fase cadangan CA pada langkah 2.
  10. Dalam Otoritas Sertifikat snap-in, secara manual menambahkan atau menghapus sertifikat template untuk menduplikasi pengaturan sertifikat template yang Anda catat di langkah 1.

Windows 2000 Server

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana untuk mengubah registri. Namun, masalah serius mungkin muncul saat Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri apabila ada masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri pada Windows
  1. Perhatikan template sertifikat yang dikonfigurasi dalam sertifikat template folder snap-in Otoritas Sertifikat. Template sertifikat pengaturan disimpan di Direktori Aktif. Mereka yang tidak secara otomatis didukung. Anda harus secara manual mengkonfigurasi pengaturan template sertifikat CA baru untuk mempertahankan serangkaian template yang sama.

    Catatan Template sertifikat folder yang ada hanya pada suatu perusahaan CA. Stand-alone CAs tidak menggunakan sertifikat template. Oleh karena itu, langkah ini tidak sahih untuk CA berdiri sendiri.
  2. Menggunakan snap-in Otoritas Sertifikat cadangan CA database dan bukti kunci privat. Untuk melakukannya, ikuti langkah berikut:
    1. Dalam Otoritas Sertifikat snap-in, klik kanan-atas nama CA, klik Semua tugas, lalu klik Membuat cadangan CA untuk memulai Wisaya Cadangan otoritas sertifikasi.
    2. Klik Berikutnya, lalu klik bukti kunci pribadi dan CA sertifikat.
    3. Klik Mengeluarkan sertifikat log dan menunggu sertifikat permintaan antrian.
    4. Menggunakan folder kosong sebagai lokasi cadangan. Pastikan bahwa folder cadangan dapat diakses oleh server baru.
    5. Klik Berikutnya. Jika tidak ada cadangan folder tertentu, Wisaya Cadangan otoritas sertifikasi menciptakan itu.
    6. Ketik dan kemudian Konfirmasikan Sandi untuk CA swasta bukti kunci berkas cadangan.
    7. Klik Berikutnya dua kali, kemudian verifikasi pengaturan cadangan. Pengaturan berikut harus ditampilkan:
      • bukti kunci pribadi dan sertifikat CA
      • Dikeluarkan Log dan menunggu permintaan
    8. Klik Menyelesaikan.
  3. Simpan pengaturan registri untuk CA ini. Untuk melakukannya, ikuti langkah berikut:
    1. Klik Mulai, klik Menjalankan, jenis Regedit dalam Terbuka kotak, dan kemudian klik Oke.
    2. Temukan dan kemudian klik kanan-atas subkunci registri berikut:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Klik Konfigurasi , lalu klik Mengekspor File registri pada Registri menu.
    4. Simpan berkas registri di CA folder cadangan yang Anda tetapkan dalam langkah 2.
  4. Hapus Layanan sertifikat dari server lama.

    Catatan Langkah ini menghapus objek dari Direktori Aktif. Tidak melakukan langkah ini rusak. Jika penghapusan sumber CA dilakukan setelah instalasi target CA (Langkah 6 dalam bagian ini), target CA akan menjadi tidak dapat digunakan.
  5. Mengubah nama server lama, atau secara permanen memutuskan dari jaringan.
  6. Menginstal sertifikat layanan pada server baru. Untuk melakukannya, ikuti langkah berikut.

    Catatan Server baru harus memiliki nama komputer yang sama sebagai server lama.
    1. Di Panel Kontrol, klik ganda Add/Remove Programs.
    2. Klik Menambahkan/menghapus komponen Windows, klik Sertifikat layanan Wisaya Komponen Windows, dan kemudian klik Berikutnya.
    3. Dalam Jenis otoritas sertifikasi kotak dialog, klik CA sesuai jenis.
    4. Klik Pilihan lanjutan, lalu klik Berikutnya.
    5. Dalam Publik dan swasta bukti kunci pasangan kotak dialog, klik Menggunakan tombol tekan yang ada, lalu klik Impor.
    6. Ketik lintasan.P12 file dalam folder cadangan, ketik sandi yang Anda pilih pada langkah 2f, dan kemudian klik Oke.
    7. Klik Berikutnya, ketik keterangan CA jika sesuai, dan kemudian klik Berikutnya.
    8. Menerima pengaturan default lokasi penyimpanan Data, klik Berikutnya, lalu klik Menyelesaikan untuk melengkapi instalasi sertifikat layanan.
  7. Menghentikan layanan sertifikat layanan.
  8. Cari berkas registri yang Anda simpan di langkah 3, dan kemudian klik ganda untuk mengimpor pengaturan registri.
  9. Gunakan snap-in sertifikasi otoritas untuk memulihkan CA database. Untuk melakukannya, ikuti langkah berikut:
    1. Dalam Otoritas Sertifikat snap-in, klik kanan-atas nama CA, klik Semua tugas, lalu klik Memulihkan CA.

      Wisaya Pemulihan sertifikasi otoritas dimulai.
    2. Klik Berikutnya, lalu klik Log sertifikat yang dikeluarkan serta antrian permintaan sertifikat.
    3. Ketik lokasi folder cadangan, dan kemudian klik Berikutnya.
    4. Pastikan pengaturan cadangan. Pengaturan berikut harus ditampilkan:
      • Dikeluarkan Log
      • Permintaan tertunda
    5. Klik Menyelesaikan, lalu klik Ya untuk me-restart sertifikat layanan ketika CA database dipulihkan.
  10. Dalam Otoritas Sertifikat snap-in, secara manual menambahkan atau menghapus sertifikat template untuk menduplikasi pengaturan sertifikat template yang Anda catat di langkah 1.

INFORMASI LEBIH LANJUT

Untuk informasi lebih lanjut tentang upgrade dan migrasi skenario untuk Windows Server 2003 dan Windows Server 2008, lihat kertas putih "Active Directory sertifikat layanan Upgrade dan panduan migrasi". Untuk melihat kertas putih, kunjungi Web site Microsoft berikut:
.aspx http://technet.Microsoft.com/en-us/library/cc742515 (v=ws.10)

Properti

ID Artikel: 298138 - Kajian Terakhir: 04 Juni 2012 - Revisi: 4.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Kata kunci: 
kbcertservices kbenv kbhowtomaster w2000certsrv kbmt KB298138 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini: 298138

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com