Làm thế nào để di chuyển một cơ quan cấp giấy chứng nhận đến một máy chủ

Dịch tiêu đề Dịch tiêu đề
ID của bài: 298138 - Xem sản phẩm mà bài này áp dụng vào.
Chú ý
Bài viết này áp dụng cho Windows 2000. Hỗ trợ cho Windows 2000 kết thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm giải pháp cuối cùng hỗ trợ Windows 2000 là một điểm khởi đầu để lập kế hoạch chiến lược của bạn di chuyển từ Windows 2000. Để biết thêm thông tin xem các Chính sách vòng đời hỗ trợ của Microsoft.
Chú ý
Bài viết này áp dụng cho Windows 2000. Hỗ trợ cho Windows 2000 kết thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm giải pháp cuối cùng hỗ trợ Windows 2000 là một điểm khởi đầu để lập kế hoạch chiến lược của bạn di chuyển từ Windows 2000. Để biết thêm thông tin xem các Chính sách vòng đời hỗ trợ của Microsoft.
Chú ý
Bài viết này áp dụng cho Windows 2000. Hỗ trợ cho Windows 2000 kết thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm giải pháp cuối cùng hỗ trợ Windows 2000 là một điểm khởi đầu để lập kế hoạch chiến lược của bạn di chuyển từ Windows 2000. Để biết thêm thông tin xem các Chính sách vòng đời hỗ trợ của Microsoft.
Chú ý
Bài viết này áp dụng cho Windows 2000. Hỗ trợ cho Windows 2000 kết thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm giải pháp cuối cùng hỗ trợ Windows 2000 là một điểm khởi đầu để lập kế hoạch chiến lược của bạn di chuyển từ Windows 2000. Để biết thêm thông tin xem các Chính sách vòng đời hỗ trợ của Microsoft.
Bung tất cả | Thu gọn tất cả

Ở Trang này

TÓM TẮT

Bài viết này mô tả cách di chuyển một chứng nhận authority (CA) sang một máy chủ khác nhau.

Chính quyền cấp giấy chứng nhận (CAs) là thành phần trung tâm của hạ phím tầng công khai (PKI) của một tổ chức. CAs được cấu hình để tồn tại cho nhiều năm hoặc nhiều thập kỷ, trong thời gian đó phần cứng lưu trữ CA rất có thể nâng cấp.

Chú ý
  • Để di chuyển một CA từ một máy chủ đang chạy Windows 2000 Server sang một máy chủ đang chạy Windows Server 2003, trước tiên bạn phải nâng cấp CA máy chủ đang chạy Windows 2000 Server sang Windows Server 2003. Sau đó bạn có thể làm theo các bước được nêu trong bài viết này.
  • Đảm bảo rằng % Systemroot % của máy chủ đích phù hợp với % Systemroot % của máy chủ từ đó sao lưu trạng thái hệ thống được lấy.

    Bạn phải thay đổi đường dẫn của tệp CA khi bạn cài đặt các thành phần máy chủ CA để cho họ phù hợp với vị trí của bản sao lưu. Ví dụ, nếu bạn sao lưu từ thư mục D:\Winnt\System32\Certlog, bạn phải khôi phục sao lưu vào thư mục D:\Winnt\System32\Certlog. Bạn không thể khôi phục sao lưu vào thư mục C:\Winnt\System32\Certlog. Sau khi bạn khôi phục bản sao lưu, bạn có thể di chuyển tệp cơ sở dữ liệu CA vào vị trí mặc định.

    Nếu bạn cố gắng khôi phục lại các sao lưu, và % Systemroot % của bản sao lưu và máy chủ mục tiêu không giống nhau, bạn có thể nhận được thông báo lỗi sau:
    Khôi phục ảnh gia tăng không thể thực hiện trước khi bạn thực hiện khôi phục từ một hình ảnh đầy đủ. Tên thư mục không hợp lệ. 0X8007010B (WIN32/HTTP:267)
    Di chuyển dịch vụ chứng chỉ từ một hệ điều hành 32-bit đến một hệ điều hành 64-bit hoặc ngược lại có thể thất bại với một trong các thông báo lỗi sau đây:
    Các dữ liệu dự kiến sẽ không có trong thư mục này.
    Khôi phục ảnh gia tăng không thể thực hiện trước khi khôi phục từ một hình ảnh đầy đủ 0x8007010b (WIN32/HTTP:267)

    Cơ sở dữ liệu định dạng thay đổi so với phiên bản 32-bit đến 64-bit phiên bản gây ra sự không tương thích, và khôi phục bị chặn. Điều này cũng tương tự như việc di chuyển từ Windows 2000 với Windows Server 2003 CA. Tuy nhiên, không có không có đường dẫn nâng cấp từ một phiên bản 32-bit của Windows Server 2003 lên phiên bản 64-bit. Vì vậy, bạn không thể di chuyển một cơ sở dữ liệu hiện có 32-bit đến 64-bit cơ sở dữ liệu. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
    912309Làm thế nào để nâng cấp Windows Server 2003 với Service Pack 1 cho Windows Server 2003 R2
  • Một x 64 dựa trên phiên bản của Windows Server 2003 R2 CD2 chỉ Cập Nhật phiên bản 64-bit của Windows Server 2003 được dựa trên kiến trúc EM64T hoặc vào kiến trúc AMD64.

Sao lưu và khôi phục lại chìa khóa thẩm quyền cấp giấy chứng nhận và cơ sở dữ liệu

Windows Server 2003

Quan trọng Phần, phương pháp hoặc nhiệm vụ này chứa các bước cho bạn biết làm thế nào để sửa đổi registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows
  1. Lưu ý các mẫu giấy chứng nhận được cấu hình trong thư mục chứng chỉ mẫu trong chứng nhận Authority snap-in. Mẫu giấy chứng nhận thiết đặt được lưu trữ trong Active Directory. Họ không tự động sao lưu. Bạn phải cấu hình thủ công cài đặt Mẫu giấy chứng nhận về CA mới để duy trì cùng một tập các mẫu.

    Chú ý Mẫu giấy chứng nhận thư mục tồn tại chỉ trên một doanh nghiệp CA. Stand-alone CAs không sử dụng giấy chứng nhận mẫu. Vì vậy, bước này không áp dụng cho một CA độc lập.
  2. Sử dụng chứng nhận Authority snap-in sao lưu cơ sở dữ liệu CA và khóa riêng. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Trong chứng nhận Authority snap-in, bấm chuột phải vào tên CA, bấm vào Tất cả các nhiệm vụ, sau đó bấm Sao lưu CA để bắt đầu thuật sĩ sao lưu thẩm quyền cấp giấy chứng nhận.
    2. Nhấp vào Tiếp theo, sau đó bấm Private key và CA giấy chứng nhận.
    3. Nhấp vào Cơ sở dữ liệu chứng chỉ và giấy chứng nhận đăng nhập cơ sở dữ liệu.
    4. Sử dụng một thư mục có sản phẩm nào như vị trí sao lưu. Hãy chắc chắn rằng thư mục sao lưu có thể được truy cập bởi các máy chủ mới.
    5. Nhấp vào Tiếp theo. Nếu sao lưu thư mục đã chỉ rõ không tồn tại, thuật sĩ sao lưu thẩm quyền cấp giấy chứng nhận tạo ra nó.
    6. Gõ và sau đó xác nhận mật khẩu cho CA tư nhân chủ chốt tệp sao lưu.
    7. Nhấp vào Tiếp theo, và sau đó kiểm tra xem các thiết đặt sao lưu. Các thiết đặt sau sẽ được hiển thị:
      • Private Key và giấy chứng nhận CA
      • Ban hành đăng nhập và đang chờ giải quyết yêu cầu
    8. Nhấp vào Kết thúc.
  3. Lưu thiết đặt đăng ký cho CA này. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Nhấp vào Bắt đầu, bấm Chạy, loại regedit trong các Mở hộp, và sau đó nhấp vào Ok.
    2. Định vị, sau đó bấm chuột phải vào khoá con đăng kí sau:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Nhấp vào Xuất khẩu.
    4. Lưu tập tin đăng ký trong thư mục sao lưu CA bạn quy định tại bước 2d.
  4. Loại bỏ dịch vụ chứng chỉ từ máy chủ cũ.

    Chú ý Bước này loại bỏ các đối tượng từ Active Directory. Không thực hiện các bước này ra khỏi trật tự. Nếu loại bỏ các nguồn CA được thực hiện sau khi cài đặt của mục tiêu CA (Bước 6 trong phần này), mục tiêu CA sẽ trở nên không sử dụng được.
  5. Đổi tên máy chủ cũ hoặc vĩnh viễn ngắt nó khỏi mạng.
  6. Cài đặt dịch vụ chứng chỉ trên máy chủ mới. Để thực hiện việc này, hãy làm theo những bước sau.

    Chú ý Máy chủ mới phải có tên máy tính tương tự như các máy chủ cũ.
    1. Trong bảng điều khiển, bấm đúp vào Thêm hoặc loại bỏ chương trình.
    2. Nhấp vào Thêm/loại bỏ cấu phần Windows, bấm Dịch vụ chứng chỉ thuật sĩ cấu phần Windows, và sau đó nhấp vào Tiếp theo.
    3. Trong các CA loại hộp thoại, Click vào thích hợp CA loại.
    4. Nhấp vào Sử dụng thiết lập tùy biến để tạo phím cặp và giấy chứng nhận CA, sau đó bấm Tiếp theo.
    5. Nhấp vào Nhập khẩu, gõ đường dẫn của các.P12 file trong thư mục sao lưu, gõ mật khẩu mà bạn đã chọn trong bước 2f, và sau đó nhấp vào Ok.
    6. Trong các Công cộng và tư nhân Key cặp hộp thoại hộp, xác minh rằng Sử dụng hiện có phím được kiểm tra.
    7. Nhấp vào Tiếp theo hai lần.
    8. Chấp nhận thiết đặt mặc định chứng chỉ cơ sở dữ liệu thiết đặt, bấm vào Tiếp theo, sau đó bấm Kết thúc để hoàn tất cài đặt dịch vụ chứng chỉ.
  7. Dừng dịch vụ dịch vụ chứng chỉ.
  8. Xác định vị trí các tập tin đăng ký mà bạn đã lưu ở bước 3, và sau đó nhấp đúp vào nó để nhập các thiết đặt đăng ký. Nếu đường dẫn được hiển thị trong xuất khẩu đăng ký từ CA cũ khác với đường dẫn mới, bạn phải điều chỉnh của bạn xuất khẩu đăng ký cho phù hợp. Theo mặc định, đường dẫn mới là C:\Windows trong Windows Server 2003.
  9. Sử dụng chứng nhận Authority-theo để khôi phục lại cơ sở dữ liệu CA. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Trong chứng nhận Authority snap-in, bấm chuột phải vào tên CA, bấm vào Tất cả các nhiệm vụ, sau đó bấm Khôi phục CA.

      Thuật sĩ Khôi phục thẩm quyền cấp giấy chứng nhận bắt đầu.
    2. Nhấp vào Tiếp theo, sau đó bấm Private key và CA giấy chứng nhận.
    3. Nhấp vào Cơ sở dữ liệu chứng chỉ và giấy chứng nhận đăng nhập cơ sở dữ liệu.
    4. Gõ vị trí sao lưu thư mục, và sau đó nhấp vào Tiếp theo.
    5. Kiểm tra lại thiết đặt sao lưu. Các Nhật ký ban hànhYêu cầu đang chờ giải quyết thiết đặt này sẽ được hiển thị.
    6. Nhấp vào Kết thúc, sau đó bấm Có khởi động lại dịch vụ chứng chỉ khi CA cơ sở dữ liệu được khôi phục.

    Chú ý Bạn có thể nhận được các lỗi sau trong quá trình khôi phục CA nếu CA sao lưu thư mục không phải là định dạng cấu trúc thư mục chính xác:
    ---------------------------
    Dịch vụ Microsoft chứng chỉ
    ---------------------------
    Các dữ liệu dự kiến sẽ không có trong thư mục này.
    Hãy chọn một thư mục khác nhau. Tên thư mục không hợp lệ. 0X8007010B (WIN32/HTTP: 267)
    Cấu trúc thư mục chính xác là như sau:
    C:\Ca_Backup\CA_NAME.P12
    C:\Ca_Backup\Database\certbkxp.dat
    C:\Ca_Backup\Database\edb#####.log
    C:\Ca_Backup\Database\CA_NAME.edb

    nơi C:\Ca_Backup là thư mục bạn đã chọn trong giai đoạn sao lưu CA trong bước 2.
  10. Trong chứng nhận Authority-theo, tự thêm hoặc loại bỏ giấy chứng nhận mẫu để lặp lại các thiết đặt giấy chứng nhận mẫu mà bạn lưu ý ở bước 1.

Windows 2000 Server

Quan trọng Phần, phương pháp hoặc nhiệm vụ này chứa các bước cho bạn biết làm thế nào để sửa đổi registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows
  1. Lưu ý các mẫu giấy chứng nhận được cấu hình trong thư mục chứng chỉ mẫu trong chứng nhận Authority snap-in. Mẫu giấy chứng nhận thiết đặt được lưu trữ trong Active Directory. Họ không tự động sao lưu. Bạn phải cấu hình thủ công cài đặt Mẫu giấy chứng nhận về CA mới để duy trì cùng một tập các mẫu.

    Chú ý Mẫu giấy chứng nhận thư mục tồn tại chỉ trên một doanh nghiệp CA. Stand-alone CAs không sử dụng giấy chứng nhận mẫu. Vì vậy, bước này không áp dụng cho một CA độc lập.
  2. Sử dụng chứng nhận Authority snap-in sao lưu cơ sở dữ liệu CA và khóa riêng. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Trong chứng nhận Authority snap-in, bấm chuột phải vào tên CA, bấm vào Tất cả các nhiệm vụ, sau đó bấm Sao lưu CA để bắt đầu thuật sĩ sao lưu thẩm quyền cấp giấy chứng nhận.
    2. Nhấp vào Tiếp theo, sau đó bấm Private key và CA giấy chứng nhận.
    3. Nhấp vào Cấp giấy chứng nhận đăng nhập và đang chờ xử lý hàng đợi yêu cầu giấy chứng nhận.
    4. Sử dụng một thư mục có sản phẩm nào như vị trí sao lưu. Hãy chắc chắn rằng thư mục sao lưu có thể được truy cập bởi các máy chủ mới.
    5. Nhấp vào Tiếp theo. Nếu sao lưu thư mục đã chỉ rõ không tồn tại, thuật sĩ sao lưu thẩm quyền cấp giấy chứng nhận tạo ra nó.
    6. Gõ và sau đó xác nhận mật khẩu cho CA tư nhân chủ chốt tệp sao lưu.
    7. Nhấp vào Tiếp theo hai lần, và sau đó kiểm tra xem các thiết đặt sao lưu. Các thiết đặt sau sẽ được hiển thị:
      • Private Key và giấy chứng nhận CA
      • Ban hành đăng nhập và đang chờ giải quyết yêu cầu
    8. Nhấp vào Kết thúc.
  3. Lưu thiết đặt đăng ký cho CA này. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Nhấp vào Bắt đầu, bấm Chạy, loại regedit trong các Mở hộp, và sau đó nhấp vào Ok.
    2. Định vị, sau đó bấm chuột phải vào khoá con đăng kí sau:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Nhấp vào Cấu hình , sau đó bấm Xuất khẩu Registry File trên các Đăng ký trình đơn.
    4. Lưu tập tin đăng ký trong thư mục sao lưu CA bạn quy định tại bước 2d.
  4. Loại bỏ dịch vụ chứng chỉ từ máy chủ cũ.

    Chú ý Bước này loại bỏ các đối tượng từ Active Directory. Không thực hiện các bước này ra khỏi trật tự. Nếu loại bỏ các nguồn CA được thực hiện sau khi cài đặt của mục tiêu CA (Bước 6 trong phần này), mục tiêu CA sẽ trở nên không sử dụng được.
  5. Đổi tên máy chủ cũ hoặc vĩnh viễn ngắt nó khỏi mạng.
  6. Cài đặt dịch vụ chứng chỉ trên máy chủ mới. Để thực hiện việc này, hãy làm theo những bước sau.

    Chú ý Máy chủ mới phải có tên máy tính tương tự như các máy chủ cũ.
    1. Trong bảng điều khiển, bấm đúp vào Add/Remove Programs.
    2. Nhấp vào Thêm/loại bỏ cấu phần Windows, bấm Dịch vụ chứng chỉ thuật sĩ cấu phần Windows, và sau đó nhấp vào Tiếp theo.
    3. Trong các Cấp giấy chứng nhận quyền loại hộp thoại, Click vào thích hợp CA loại.
    4. Nhấp vào Tùy chọn chuyên sâu, sau đó bấm Tiếp theo.
    5. Trong các Công cộng và tư nhân Key cặp hộp thoại hộp, bấm vào Sử dụng hiện có phím, sau đó bấm Nhập khẩu.
    6. Nhập đường dẫn của các.P12 file trong thư mục sao lưu, gõ mật khẩu mà bạn đã chọn trong bước 2f, và sau đó nhấp vào Ok.
    7. Nhấp vào Tiếp theo, gõ một mô tả CA nếu thích hợp, và sau đó nhấp vào Tiếp theo.
    8. Chấp nhận thiết đặt mặc định vị trí lưu trữ dữ liệu, bấm Tiếp theo, sau đó bấm Kết thúc để hoàn tất cài đặt dịch vụ chứng chỉ.
  7. Dừng dịch vụ dịch vụ chứng chỉ.
  8. Xác định vị trí các tập tin đăng ký mà bạn đã lưu ở bước 3, và sau đó nhấp đúp vào nó để nhập các thiết đặt đăng ký.
  9. Sử dụng chứng nhận Authority-theo để khôi phục lại cơ sở dữ liệu CA. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Trong chứng nhận Authority snap-in, bấm chuột phải vào tên CA, bấm vào Tất cả các nhiệm vụ, sau đó bấm Khôi phục CA.

      Thuật sĩ Khôi phục thẩm quyền cấp giấy chứng nhận bắt đầu.
    2. Nhấp vào Tiếp theo, sau đó bấm Cấp giấy chứng nhận đăng nhập và đang chờ xử lý hàng đợi yêu cầu giấy chứng nhận.
    3. Gõ vị trí sao lưu thư mục, và sau đó nhấp vào Tiếp theo.
    4. Kiểm tra lại thiết đặt sao lưu. Các thiết đặt sau sẽ được hiển thị:
      • Nhật ký ban hành
      • Yêu cầu đang chờ giải quyết
    5. Nhấp vào Kết thúc, sau đó bấm Có khởi động lại dịch vụ chứng chỉ khi CA cơ sở dữ liệu được khôi phục.
  10. Trong chứng nhận Authority-theo, tự thêm hoặc loại bỏ giấy chứng nhận mẫu để lặp lại các thiết đặt giấy chứng nhận mẫu mà bạn lưu ý ở bước 1.

THÔNG TIN THÊM

Để biết thêm thông tin về kịch bản nâng cấp và di chuyển cho Windows Server 2003 và Windows Server 2008, xem giấy trắng "Hoạt động thư mục giấy chứng nhận dịch vụ nâng cấp và di cư Guide". Để tải về giấy trắng, truy cập vào Microsoft tải về Trung tâm Web site sau:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = c70bd7cd-9f03-484b-8c4b-279bc29a3413 & displaylang = en

Thuộc tính

ID của bài: 298138 - Lần xem xét sau cùng: 11 Tháng Chín 2011 - Xem xét lại: 3.0
Áp dụng
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Từ khóa: 
kbcertservices kbenv kbhowtomaster w2000certsrv kbmt KB298138 KbMtvi
Máy dịch
QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.
Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:298138

Cung cấp Phản hồi