Bagaimana memindahkan sertifikasi authority ke server lain

Artikel ini menjelaskan cara untuk memindahkan sertifikasi authority (CA) ke server yang berbeda.

Sertifikasi otoritas (CAs) adalah pusat komponen infrastruktur tombol umum (PKI) organisasi. CAs dikonfigurasi ada selama banyak tahun atau dekade, selama waktu hardware yang host CA mungkin upgrade.

Catatan

• Untuk memindahkan CA dari server yang menjalankan Windows 2000 Server ke server yang menjalankan Windows Server 2003, Anda harus upgrade CA server yang menjalankan Windows 2000 Server untuk Windows Server 2003. Kemudian Anda dapat mengikuti langkah-langkah yang dijelaskan dalam artikel ini.
• Pastikan bahwa % Systemroot % dari target server pertandingan % Systemroot % dari server dari mana sistem negara cadangan diambil.
  
  Anda harus mengubah path file CA ketika Anda menginstal komponen server CA sehingga mereka sesuai lokasi cadangan. Sebagai contoh, jika Anda membuat cadangan dari D:\Winnt\System32\Certlog folder, Anda harus memulihkan cadangan ke D:\Winnt\System32\Certlog folder. Anda tidak dapat mengembalikan cadangan untuk map C:\Winnt\System32\Certlog. Setelah Anda memulihkan cadangan, Anda dapat memindahkan file database CA ke lokasi default.
  
  Jika Anda mencoba untuk mengembalikan cadangan, dan % Systemroot % cadangan dan target server tidak cocok, Anda mungkin menerima pesan galat berikut:
  Kembalikan gambar inkremental tidak dilakukan sebelum Anda melakukan pemulihan dari gambar penuh. Nama direktori tidak valid. 0X8007010B (WIN32/HTTP:267)
  Bergerak sertifikat layanan dari sistem operasi 32-bit untuk 64-bit sistem operasi atau sebaliknya mungkin gagal dengan salah satu pesan galat berikut:
  Data yang diharapkan tidak ada dalam direktori ini.
  Kembalikan gambar inkremental tidak dilakukan sebelum melakukan pemulihan dari gambar penuh 0x8007010b (WIN32/HTTP:267)
  
  Perubahan format database versi 32-bit untuk 64-bit versi menyebabkan tidak kompatibel, dan pemulihan diblokir. Hal ini mirip dengan bergerak dari Windows 2000 untuk Windows Server 2003 CA. Namun, ada tidak ada jalan upgrade dari versi 32-bit Windows Server 2003 untuk versi 64-bit. Oleh karena itu, Anda tidak bisa bergerak yang ada database 32-bit untuk 64-bit database. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
  912309  (http://support.microsoft.com/kb/912309/ ) Cara meng-upgrade Windows Server 2003 dengan Paket Layanan 1 untuk Windows Server 2003 R2
• X 64-versi Windows Server 2003 R2 CD2 hanya update versi 64-bit Windows Server 2003 yang didasarkan pada arsitektur EM64T atau pada arsitektur AMD64.

Membuat cadangan dan memulihkan sertifikasi otoritas kunci dan database

Windows Server 2003

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

1. Perhatikan template sertifikat yang dikonfigurasi dalam folder template sertifikat dalam snap-in Sertifikasi Authority. Template sertifikat pengaturan disimpan di Active Directory. Mereka yang tidak secara otomatis didukung. Anda harus secara manual mengkonfigurasi pengaturan template sertifikat CA baru untuk mempertahankan serangkaian template yang sama.
   
   Catatan Template sertifikat folder yang ada hanya pada suatu perusahaan CA. Stand-alone CAs tidak menggunakan sertifikat template. Oleh karena itu, langkah ini tidak berlaku untuk CA berdiri sendiri.
2. Menggunakan snap-in Sertifikasi Authority cadangan CA database dan kunci privat. Untuk melakukannya, ikuti langkah-langkah berikut:
   1. Dalam Sertifikasi Authority snap-in, klik kanan nama CA, klik Semua tugas, lalu klik Membuat cadangan CA untuk memulai Wisaya Cadangan otoritas sertifikasi.
   2. Klik Berikutnya, lalu klik Kunci pribadi dan CA sertifikat.
   3. Klik Sertifikat database dan log database sertifikat.
   4. Menggunakan folder kosong sebagai lokasi cadangan. Pastikan bahwa folder cadangan dapat diakses oleh server baru.
   5. Klik Berikutnya. Jika tidak ada cadangan folder tertentu, Wisaya Cadangan otoritas sertifikasi menciptakan itu.
   6. Ketik dan kemudian Konfirmasikan Sandi untuk CA swasta kunci berkas cadangan.
   7. Klik Berikutnya, kemudian verifikasi pengaturan cadangan. Pengaturan berikut harus ditampilkan:
      • Kunci pribadi dan sertifikat CA
      • Dikeluarkan Log dan tertunda permintaan
   8. Klik Menyelesaikan.
3. Simpan pengaturan registri untuk CA ini. Untuk melakukannya, ikuti langkah-langkah berikut:
   1. Klik Mulai, klik Menjalankan, jenis regedit dalam Terbuka kotak, dan kemudian klik Oke.
   2. Temukan kemudian klik kanan subkunci registri berikut:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
   3. Klik Ekspor.
   4. Simpan berkas registri di CA folder cadangan yang Anda tetapkan di langkah 2.
4. Hapus Layanan sertifikat dari server lama.
   
   Catatan Langkah ini menghapus objek dari Active Directory. Tidak melakukan langkah ini rusak. Jika penghapusan sumber CA dilakukan setelah instalasi dari target CA (Langkah 6 dalam bagian ini), target CA akan menjadi tidak dapat digunakan.
5. Mengubah nama server lama, atau secara permanen memutuskan dari jaringan.
6. Menginstal sertifikat layanan pada server baru. Untuk melakukannya, ikuti langkah-langkah berikut ini.
   
   Catatan Server baru harus memiliki nama komputer yang sama sebagai server lama.
   1. Di Panel kontrol, klik dua kali Tambah atau Hapus Program.
   2. Klik Menambahkan/menghapus komponen Windows, klik Sertifikat layanan Wisaya Komponen Windows, dan kemudian klik Berikutnya.
   3. Dalam CA jenis kotak dialog, klik CA sesuai jenis.
   4. Klik Menggunakan pengaturan khusus untuk menghasilkan pasangan kunci dan sertifikat CA, lalu klik Berikutnya.
   5. Klik Impor, ketik lintasan.P12 file dalam folder cadangan, ketik sandi yang Anda pilih pada langkah 2f, dan kemudian klik Oke.
   6. Dalam Publik dan swasta kunci pasangan kotak dialog, pastikan Menggunakan tombol yang ada dicentang.
   7. Klik Berikutnya dua kali.
   8. Menerima sertifikat Database pengaturan default pengaturan, klik Berikutnya, lalu klik Menyelesaikan untuk menyelesaikan instalasi sertifikat layanan.
7. Menghentikan layanan sertifikat layanan.
8. Cari berkas registri yang Anda simpan di langkah 3, dan kemudian klik dua kali untuk mengimpor pengaturan registri. Jika jalur yang akan ditampilkan dalam registri ekspor dari CA lama berbeda dari jalan baru, Anda harus menyesuaikan ekspor registri Anda sesuai. Secara default, jalan baru adalah C:\Windows pada Windows Server 2003.
9. Menggunakan snap-in sertifikasi otoritas untuk memulihkan CA database. Untuk melakukannya, ikuti langkah-langkah berikut:
   1. Dalam Sertifikasi Authority snap-in, klik kanan nama CA, klik Semua tugas, lalu klik Memulihkan CA.
      
      Wisaya Pemulihan sertifikasi otoritas dimulai.
   2. Klik Berikutnya, lalu klik Kunci pribadi dan CA sertifikat.
   3. Klik Sertifikat database dan log database sertifikat.
   4. Ketik lokasi folder cadangan, dan kemudian klik Berikutnya.
   5. Pastikan pengaturan cadangan. The Dikeluarkan Log dan Permintaan tertunda pengaturan harus ditampilkan.
   6. Klik Menyelesaikan, lalu klik Ya untuk me-restart layanan sertifikat ketika CA database dipulihkan.
   
   Catatan Anda akan menerima galat berikut selama proses CA pemulihan jika folder cadangan CA tidak dalam format struktur folder benar:
   ---------------------------
   Layanan Microsoft sertifikat
   ---------------------------
   Data yang diharapkan tidak ada dalam direktori ini.
   Silakan pilih direktori yang berbeda. Nama direktori tidak valid. 0X8007010B (WIN32/HTTP: 267)
   Struktur folder benar adalah sebagai berikut:
   C:\Ca_Backup\CA_NAME.P12
   C:\Ca_Backup\Database\certbkxp.dat
   C:\Ca_Backup\Database\edb#####.log
   C:\Ca_Backup\Database\CA_NAME.EDB
   
   di mana C:\Ca_Backup adalah folder Anda memilih selama fase cadangan CA pada langkah 2.
10. Dalam Sertifikasi Authority snap-in, secara manual menambahkan atau menghapus sertifikat template untuk menduplikasi pengaturan sertifikat template yang Anda catat di langkah 1.

Windows 2000 Server

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

1. Perhatikan template sertifikat yang dikonfigurasi dalam folder template sertifikat dalam snap-in Sertifikasi Authority. Template sertifikat pengaturan disimpan di Active Directory. Mereka yang tidak secara otomatis didukung. Anda harus secara manual mengkonfigurasi pengaturan template sertifikat CA baru untuk mempertahankan serangkaian template yang sama.
   
   Catatan Template sertifikat folder yang ada hanya pada suatu perusahaan CA. Stand-alone CAs tidak menggunakan sertifikat template. Oleh karena itu, langkah ini tidak berlaku untuk CA berdiri sendiri.
2. Menggunakan snap-in Sertifikasi Authority cadangan CA database dan kunci privat. Untuk melakukannya, ikuti langkah-langkah berikut:
   1. Dalam Sertifikasi Authority snap-in, klik kanan nama CA, klik Semua tugas, lalu klik Membuat cadangan CA untuk memulai Wisaya Cadangan otoritas sertifikasi.
   2. Klik Berikutnya, lalu klik Kunci pribadi dan CA sertifikat.
   3. Klik Mengeluarkan sertifikat log dan menunggu sertifikat permintaan antrian.
   4. Menggunakan folder kosong sebagai lokasi cadangan. Pastikan bahwa folder cadangan dapat diakses oleh server baru.
   5. Klik Berikutnya. Jika tidak ada cadangan folder tertentu, Wisaya Cadangan otoritas sertifikasi menciptakan itu.
   6. Ketik dan kemudian Konfirmasikan Sandi untuk CA swasta kunci berkas cadangan.
   7. Klik Berikutnya dua kali, kemudian verifikasi pengaturan cadangan. Pengaturan berikut harus ditampilkan:
      • Kunci pribadi dan sertifikat CA
      • Dikeluarkan Log dan tertunda permintaan
   8. Klik Menyelesaikan.
3. Simpan pengaturan registri untuk CA ini. Untuk melakukannya, ikuti langkah-langkah berikut:
   1. Klik Mulai, klik Menjalankan, jenis regedit dalam Terbuka kotak, dan kemudian klik Oke.
   2. Temukan kemudian klik kanan subkunci registri berikut:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
   3. Klik Konfigurasi , lalu klik Ekspor File registri pada Registri menu.
   4. Simpan berkas registri di CA folder cadangan yang Anda tetapkan di langkah 2.
4. Hapus Layanan sertifikat dari server lama.
   
   Catatan Langkah ini menghapus objek dari Active Directory. Tidak melakukan langkah ini rusak. Jika penghapusan sumber CA dilakukan setelah instalasi dari target CA (Langkah 6 dalam bagian ini), target CA akan menjadi tidak dapat digunakan.
5. Mengubah nama server lama, atau secara permanen memutuskan dari jaringan.
6. Menginstal sertifikat layanan pada server baru. Untuk melakukannya, ikuti langkah-langkah berikut ini.
   
   Catatan Server baru harus memiliki nama komputer yang sama sebagai server lama.
   1. Di Panel kontrol, klik dua kali Add/Remove Programs.
   2. Klik Menambahkan/menghapus komponen Windows, klik Sertifikat layanan Wisaya Komponen Windows, dan kemudian klik Berikutnya.
   3. Dalam Jenis otoritas sertifikasi kotak dialog, klik CA sesuai jenis.
   4. Klik Pilihan lanjutan, lalu klik Berikutnya.
   5. Dalam Publik dan swasta kunci pasangan kotak dialog, klik Menggunakan tombol yang ada, lalu klik Impor.
   6. Ketik lintasan.P12 file dalam folder cadangan, ketik sandi yang Anda pilih pada langkah 2f, dan kemudian klik Oke.
   7. Klik Berikutnya, ketik keterangan CA jika sesuai, dan kemudian klik Berikutnya.
   8. Menerima pengaturan default lokasi penyimpanan Data, klik Berikutnya, lalu klik Menyelesaikan untuk menyelesaikan instalasi sertifikat layanan.
7. Menghentikan layanan sertifikat layanan.
8. Cari berkas registri yang Anda simpan di langkah 3, dan kemudian klik dua kali untuk mengimpor pengaturan registri.
9. Menggunakan snap-in sertifikasi otoritas untuk memulihkan CA database. Untuk melakukannya, ikuti langkah-langkah berikut:
   1. Dalam Sertifikasi Authority snap-in, klik kanan nama CA, klik Semua tugas, lalu klik Memulihkan CA.
      
      Wisaya Pemulihan sertifikasi otoritas dimulai.
   2. Klik Berikutnya, lalu klik Mengeluarkan sertifikat log dan tertunda antrian permintaan sertifikat.
   3. Ketik lokasi folder cadangan, dan kemudian klik Berikutnya.
   4. Pastikan pengaturan cadangan. Pengaturan berikut harus ditampilkan:
      • Dikeluarkan Log
      • Permintaan tertunda
   5. Klik Menyelesaikan, lalu klik Ya untuk me-restart layanan sertifikat ketika CA database dipulihkan.
10. Dalam Sertifikasi Authority snap-in, secara manual menambahkan atau menghapus sertifikat template untuk menduplikasi pengaturan sertifikat template yang Anda catat di langkah 1.

Untuk informasi lebih lanjut tentang upgrade dan migrasi skenario untuk Windows Server 2003 dan Windows Server 2008, lihat kertas putih "Active Directory sertifikat layanan Upgrade dan panduan migrasi". Untuk men-download laporan resmi, kunjungi Website Pusat Download Microsoft berikut ini: