Перемещение центра сертификации на другой сервер

  • Статья

В этой статье описывается перемещение центра сертификации (ЦС) на другой сервер.

Применимо к: Windows Server 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Исходный номер базы знаний: 298138

Примечание.

Эта статья относится к Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. Поддержка Windows 2000 прекращена 13 июля 2010 г. Центр решений для завершения поддержки Windows 2000 — это отправная точка для планирования стратегии миграции с Windows 2000. Поддержка Windows 2008 и 2008 R2 прекращена 14 января 2020 г. Дополнительные сведения см. в статье Политика жизненного цикла служба поддержки Майкрософт.

Сводка

Центры сертификации (ЦС) являются центральным компонентом инфраструктуры открытых ключей (PKI) организации. ЦС настроены на существование в течение многих лет или десятилетий, в течение которых оборудование, на котором размещается ЦС, вероятно, обновляется.

Примечание.

Чтобы переместить ЦС с сервера под управлением Windows 2000 Server на сервер под управлением Windows Server 2003, необходимо сначала обновить сервер ЦС под управлением Windows 2000 Server до Windows Server 2003. Затем можно выполнить действия, описанные в этой статье.

Убедитесь, что %Systemroot% целевого сервера соответствует %Systemroot% сервера, с которого создается резервная копия состояния системы.

При установке компонентов сервера ЦС необходимо изменить путь к файлам ЦС, чтобы они соответствовали расположению резервной копии. Например, если создать резервную копию из папки D:\Winnt\System32\Certlog , необходимо восстановить резервную копию в папку D:\Winnt\System32\Certlog . Невозможно восстановить резервную копию в папку C:\Winnt\System32\Certlog . После восстановления резервной копии можно переместить файлы базы данных ЦС в расположение по умолчанию.

Если вы попытаетесь восстановить резервную копию, а %Systemroot% резервной копии и целевой сервер не совпадают, может появиться следующее сообщение об ошибке:

Восстановление добавочного образа невозможно выполнить перед восстановлением из полного образа. Недопустимое имя каталога. 0x8007010b (WIN32/HTTP:267)

Перемещение служб сертификатов из 32-разрядной операционной системы в 64-разрядную операционную систему или наоборот может завершиться сбоем с одним из следующих сообщений об ошибке:

Ожидаемые данные не существуют в этом каталоге.

Восстановление добавочного образа невозможно выполнить перед восстановлением из полного образа 0x8007010b (WIN32/HTTP:267)

Изменение формата базы данных с 32-разрядной на 64-разрядной приводит к несовместимости, а восстановление блокируется. Это похоже на переход от Windows 2000 к ЦС Windows Server 2003. Однако путь обновления с 32-разрядной версии Windows Server 2003 до 64-разрядной версии отсутствует. Таким образом, вы не можете переместить существующую 32-разрядную базу данных в 64-разрядную базу данных на компьютере под управлением Windows Server 2003. Однако вы можете обновить ЦС Windows Server 2003 (работающий в Windows Server 2003 x86) до Windows Server 2008 R2 CA (работает в Windows Server 2008 R2 x64). Это обновление поддерживается.

Версия Windows Server 2003 R2 CD2 на базе x64 обновляет только 64-разрядные версии Windows Server 2003, основанные на архитектуре EM64T или amd64.

Резервное копирование и восстановление ключей центра сертификации и базы данных

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

  1. Обратите внимание на шаблоны сертификатов, настроенные в папке "Шаблоны сертификатов" оснастки "Центр сертификации". Параметры шаблонов сертификатов хранятся в Active Directory. Они не создаются автоматически. Необходимо вручную настроить параметры шаблонов сертификатов в новом ЦС, чтобы поддерживать тот же набор шаблонов.

    Примечание.

    Папка "Шаблоны сертификатов" существует только в корпоративном ЦС. Автономные ЦС не используют шаблоны сертификатов. Поэтому этот шаг не применяется к автономному ЦС.

  2. Используйте оснастку Центра сертификации для резервного копирования базы данных ЦС и закрытого ключа. Для этого выполните следующие действия:

    1. В оснастке Центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Пункт Все задачи, а затем — Создать резервную копию ЦС , чтобы запустить мастер резервного копирования центра сертификации.
    2. Нажмите кнопку Далее, а затем — Закрытый ключ и сертификат ЦС.
    3. Щелкните База данных сертификатов и журнал базы данных сертификатов.
    4. Используйте пустую папку в качестве расположения резервной копии. Убедитесь, что новый сервер может получить доступ к папке резервного копирования.
    5. Нажмите кнопку Далее. Если указанная папка резервного копирования не существует, мастер резервного копирования центра сертификации создает ее.
    6. Введите и подтвердите пароль для файла резервной копии закрытого ключа ЦС.
    7. Нажмите кнопку Далее и проверьте параметры резервного копирования. Должны отображаться следующие параметры:
      • Закрытый ключ и сертификат ЦС
      • Выданные журналы и ожидающие запросы
    8. Нажмите кнопку Готово.

  3. Сохраните параметры реестра для этого ЦС. Для этого выполните следующие действия:

    1. Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите regedit и нажмите кнопку ОК.
    2. Найдите и щелкните правой кнопкой мыши следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Нажмите кнопку Экспорт.
    4. Сохраните файл реестра в папке резервного копирования ЦС, определенной на шаге 2d.

    Примечание.

    По умолчанию службы сертификатов Active Directory (AD CS) настраиваются с помощью расширений точек распространения списка отзыва сертификатов (CRL), которые включают в путь имя узла компьютера ЦС. Это означает, что все сертификаты, выданные ЦС до миграции, могут содержать пути проверки сертификатов со старым именем узла. Эти пути могут быть недопустимыми после миграции. Чтобы избежать ошибок при проверке отзыва, новый ЦС должен быть настроен для публикации списков отзыва по старым путям (перед миграцией) и новым путям. Если вам нужно окончательно удалить старый ЦС, можно добавить в новый ЦС второе имя компьютера. Прежде чем это сделать, старое имя компьютера должно быть доступно в Active Directory. На этом этапе вы можете добавить точки распространения CRL в новый ЦС.

  4. Проверьте точку распространения CRL в старом ЦС. Эти параметры необходимо настроить в новом ЦС.

    1. Откройте cmd.exe в старом ЦС.
    2. Введите pkiview.
    3. Экспорт конфигурации.

  5. Удалите службы сертификатов со старого сервера.

    Примечание.

    На этом шаге объекты удаляются из Active Directory. Не выполняйте этот шаг не по порядку. Если удаление исходного ЦС выполняется после установки целевого ЦС (шаг 7 в этом разделе), целевой ЦС станет непригодным для использования.

  6. Переименуйте старый сервер или окончательно отключите его от сети.

  7. Установите службы сертификатов на новом сервере. Для этого выполните указанные ниже действия.

    Примечание.

    Новый сервер должен иметь то же имя компьютера, что и старый сервер.

    1. В окне "Панель управления" дважды щелкните значок Установка и удаление программ.
    2. Щелкните Добавить и удалить компоненты Windows, щелкните Службы сертификатов в мастере компонентов Windows, а затем нажмите кнопку Далее.
    3. В диалоговом окне Тип ЦС щелкните соответствующий тип ЦС.
    4. Щелкните Использовать пользовательские параметры для создания пары ключей и сертификата ЦС, а затем нажмите кнопку Далее.
    5. Нажмите кнопку Импорт, введите путь к объекту . В файле P12 в папке резервного копирования введите пароль, выбранный на шаге 2f, а затем нажмите кнопку ОК.
    6. В диалоговом окне Пары открытых и закрытых ключей убедитесь, что установлен флажок Использовать существующие ключи .
    7. Дважды нажмите кнопку Далее.
    8. Примите параметры базы данных сертификатов по умолчанию, нажмите кнопку Далее, а затем нажмите кнопку Готово , чтобы завершить установку служб сертификатов.

    Важно!

    Если новый сервер имеет другое имя компьютера, выполните следующие действия.

    1. В окне "Панель управления" дважды щелкните значок Установка и удаление программ.
    2. Щелкните Добавить и удалить компоненты Windows, щелкните Службы сертификатов в мастере компонентов Windows, а затем нажмите кнопку Далее.
    3. В диалоговом окне Тип ЦС щелкните соответствующий тип ЦС.
    4. Щелкните Использовать пользовательские параметры для создания пары ключей и сертификата ЦС, а затем нажмите кнопку Далее.
    5. Нажмите кнопку Импорт, введите путь к объекту . В файле P12 в папке резервного копирования введите пароль, выбранный на шаге 2f, а затем нажмите кнопку ОК.
    6. В диалоговом окне Пары открытых и закрытых ключей убедитесь, что установлен флажок Использовать существующие ключи .
    7. Дважды нажмите кнопку Далее.
    8. Примите параметры базы данных сертификатов по умолчанию, нажмите кнопку Далее, а затем нажмите кнопку Готово , чтобы завершить установку служб сертификатов.
    9. Измените ранее экспортируемый раздел реестра на шаге 3 следующим образом:
      1. Щелкните правой кнопкой мыши экспортируемый ключ.
      2. Редактировать.
      3. Замените значение CAServerName новым именем сервера.
      4. Сохранить и закрыть.

  8. Остановите службу служб сертификатов.

  9. Найдите файл реестра, сохраненный на шаге 3, и дважды щелкните его, чтобы импортировать параметры реестра. Если путь, отображаемый при экспорте реестра из старого ЦС, отличается от нового пути, необходимо соответствующим образом настроить экспорт реестра. По умолчанию новый путь — C:\Windows в Windows Server 2003.

  10. Используйте оснастку Центр сертификации для восстановления базы данных ЦС. Для этого выполните следующие действия:

    1. В оснастке Центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Все задачи, а затем — Восстановить ЦС.

      Запустится мастер восстановления центра сертификации.

    2. Нажмите кнопку Далее, а затем — Закрытый ключ и сертификат ЦС.

    3. Щелкните База данных сертификатов и журнал базы данных сертификатов.

    4. Введите расположение папки резервного копирования и нажмите кнопку Далее.

    5. Проверьте параметры резервного копирования. Должны отобразиться параметры "Выданный журнал " и "Ожидающие запросы ".

    6. Нажмите кнопку Готово, а затем нажмите кнопку Да , чтобы перезапустить службы сертификатов при восстановлении базы данных ЦС.

    В процессе восстановления ЦС может возникнуть следующая ошибка, если папка резервного копирования ЦС имеет неправильный формат структуры папок:

    ---------------------------
    Службы сертификатов Майкрософт
    ---------------------------

    Ожидаемые данные не существуют в этом каталоге.
    Выберите другой каталог. Недопустимое имя каталога. 0x8007010b (WIN32/HTTP: 267)

    Правильная структура папок выглядит следующим образом:

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    Где C:\Ca_Backup — это папка, выбранная на этапе резервного копирования ЦС на шаге 2.

  11. В оснастке Центра сертификации вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать параметры шаблонов сертификатов, которые вы записали на шаге 1.

Примечание.

Если у вас возникли проблемы с публикацией новых шаблонов или пользовательских шаблонов, выполните следующие действия.

  1. С контроллера домена в лесу, куда вы перенесли роль ЦС, запустите редактирование ADSI.
  2. Щелкните правой кнопкой мыши ADSI Изменить —> Подключиться к —> В разделе Выбор известного контекста именования выберите Конфигурация —> ОК.
  3. Перейдите к CN=Configuration | CN=Services | CN=службы открытых ключей | CN=Службы регистрации.
  4. Щелкните правой кнопкой мыши ЦС в правой области, из которой вы хотите зарегистрироваться, и выберите пункт Свойства. Поиск атрибута flags ; и убедитесь, что для него задано значение 10.
  5. Если это не так, установите для него значение 10 и подождите или вручную принудительно выполните репликацию Active Directory.
  6. Закройте adsI Edit и на сервере ЦС убедитесь, что теперь вы можете публиковать новые шаблоны.

Резервное копирование и восстановление ключей центра сертификации и базы данных в Windows 2000 Server

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

  1. Обратите внимание на шаблоны сертификатов, настроенные в папке "Шаблоны сертификатов" оснастки "Центр сертификации". Параметры шаблонов сертификатов хранятся в Active Directory. Они не создаются автоматически. Необходимо вручную настроить параметры шаблонов сертификатов в новом ЦС, чтобы поддерживать тот же набор шаблонов.

    Примечание.

    Папка "Шаблоны сертификатов" существует только в корпоративном ЦС. Автономные ЦС не используют шаблоны сертификатов. Поэтому этот шаг не применяется к автономному ЦС.

  2. Используйте оснастку Центра сертификации для резервного копирования базы данных ЦС и закрытого ключа. Для этого выполните следующие действия:

    1. В оснастке Центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Пункт Все задачи, а затем — Создать резервную копию ЦС , чтобы запустить мастер резервного копирования центра сертификации.
    2. Нажмите кнопку Далее, а затем — Закрытый ключ и сертификат ЦС.
    3. Щелкните Журнал выданных сертификатов и очередь ожидающих запросов сертификатов.
    4. Используйте пустую папку в качестве расположения резервной копии. Убедитесь, что новый сервер может получить доступ к папке резервного копирования.
    5. Нажмите кнопку Далее. Если указанная папка резервного копирования не существует, мастер резервного копирования центра сертификации создает ее.
    6. Введите и подтвердите пароль для файла резервной копии закрытого ключа ЦС.
    7. Нажмите кнопку Далее два раза и проверьте параметры резервного копирования. Должны отображаться следующие параметры:
      • Закрытый ключ и сертификат ЦС
      • Выданные журналы и ожидающие запросы
    8. Нажмите кнопку Готово.

  3. Сохраните параметры реестра для этого ЦС. Для этого выполните следующие действия:

    1. Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите regedit и нажмите кнопку ОК.
    2. Найдите и щелкните правой кнопкой мыши следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Щелкните Конфигурация, а затем выберите Пункт Экспорт файла реестра в меню Реестр .
    4. Сохраните файл реестра в папке резервного копирования ЦС, определенной на шаге 2d.

  4. Проверьте точку распространения CRL в старом ЦС. Эти параметры необходимо настроить в новом ЦС.

    1. Откройте cmd.exe в старом ЦС.
    2. Введите pkiview.
    3. Экспорт конфигурации.

  5. Удалите службы сертификатов со старого сервера.

    Примечание.

    На этом шаге объекты удаляются из Active Directory. Не выполняйте этот шаг не по порядку. Если удаление исходного ЦС выполняется после установки целевого ЦС (шаг 7 в этом разделе), целевой ЦС станет непригодным для использования.

  6. Переименуйте старый сервер или окончательно отключите его от сети.

  7. Установите службы сертификатов на новом сервере. Для этого выполните указанные ниже действия.

    Примечание.

    Новый сервер должен иметь то же имя компьютера, что и старый сервер.

    1. На панели управления дважды щелкните Установка и удаление программ.
    2. Щелкните Добавить и удалить компоненты Windows, щелкните Службы сертификатов в мастере компонентов Windows, а затем нажмите кнопку Далее.
    3. В диалоговом окне Тип центра сертификации выберите соответствующий тип ЦС.
    4. Щелкните Дополнительные параметры, а затем нажмите кнопку Далее.
    5. В диалоговом окне Пары открытых и закрытых ключей щелкните Использовать существующие ключи нажмите кнопку Импорт.
    6. Введите путь к объекту . В файле P12 в папке резервного копирования введите пароль, выбранный на шаге 2f, а затем нажмите кнопку ОК.
    7. Нажмите кнопку Далее, при необходимости введите описание ЦС, а затем нажмите кнопку Далее.
    8. Примите параметры расположения хранилища данных по умолчанию, нажмите кнопку Далее, а затем нажмите кнопку Готово , чтобы завершить установку служб сертификатов.

  8. Остановите службу служб сертификатов.

  9. Найдите файл реестра, сохраненный на шаге 3, и дважды щелкните его, чтобы импортировать параметры реестра.

  10. Используйте оснастку Центр сертификации для восстановления базы данных ЦС. Для этого выполните следующие действия:

    1. В оснастке Центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Все задачи, а затем — Восстановить ЦС.

      Запустится мастер восстановления центра сертификации.

    2. Нажмите кнопку Далее, а затем — журнал выданных сертификатов и очередь ожидающих запросов сертификатов.

    3. Введите расположение папки резервного копирования и нажмите кнопку Далее.

    4. Проверьте параметры резервного копирования. Должны отображаться следующие параметры:

      • Выданный журнал
      • Ожидающие запросы

    5. Нажмите кнопку Готово, а затем нажмите кнопку Да , чтобы перезапустить службы сертификатов при восстановлении базы данных ЦС.

  11. В оснастке Центра сертификации вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать параметры шаблонов сертификатов, которые вы записали на шаге 1.

Дополнительная информация

Дополнительные сведения о сценариях обновления и миграции для Windows Server 2003 и Windows Server 2008 см. в техническом документе "Руководство по обновлению и миграции служб сертификатов Active Directory". Сведения о техническом документе см. в руководстве по обновлению и миграции служб сертификатов Active Directory.