如何将证书颁发机构移动到另一台服务器

文章翻译 文章翻译
文章编号: 298138 - 查看本文应用于的产品
注意
本文适用于 Windows 2000 中。在 2010 年 7 月 13 日结束的 Windows 2000 支持。" Windows 2000 支持的解决方案中心 是规划迁移策略从 Windows 2000 的起始点。有关详细信息,请参阅 Microsoft 技术支持生命周期策略.
注意
本文适用于 Windows 2000 中。在 2010 年 7 月 13 日结束的 Windows 2000 支持。" Windows 2000 支持的解决方案中心 是规划迁移策略从 Windows 2000 的起始点。有关详细信息,请参阅 Microsoft 技术支持生命周期策略.
注意
本文适用于 Windows 2000 中。在 2010 年 7 月 13 日结束的 Windows 2000 支持。" Windows 2000 支持的解决方案中心 是规划迁移策略从 Windows 2000 的起始点。有关详细信息,请参阅 Microsoft 技术支持生命周期策略.
注意
本文适用于 Windows 2000 中。在 2010 年 7 月 13 日结束的 Windows 2000 支持。" Windows 2000 支持的解决方案中心 是规划迁移策略从 Windows 2000 的起始点。有关详细信息,请参阅 Microsoft 技术支持生命周期策略.
展开全部 | 关闭全部

本文内容

概要

本文介绍如何将证书颁发机构 (CA) 移动到另一台服务器。

证书颁发机构 (Ca) 是组织的公钥基础结构 (PKI) 的中心组件。Ca 配置为存在许多年或几十年来,在这段时间可能升级承载 CA 的硬件。

备注
  • 将 CA 移动从运行 Windows Server 2003 的服务器到运行 Windows 2000 Server 的服务器,必须首先升级到 Windows Server 2003 运行 Windows 2000 Server 的 CA 服务器。然后,您可以按照本文所述的步骤。
  • 请确保目标服务器的 %systemroot%匹配的服务器备份系统状态备份是从其 %systemroot%。

    在安装 CA 服务器组件,以使它们匹配的备份位置时,您必须更改 CA 文件的路径。例如,如果备份从 D:\Winnt\System32\Certlog 文件夹,您必须还原备份的 D:\Winnt\System32\Certlog 文件夹。您不能将备份还原到 C:\Winnt\System32\Certlog 文件夹。在还原备份之后,可以移动 CA 数据库文件的默认位置。

    如果想要还原的备份,备份和目标服务器的 %systemroot%不匹配,您可能会收到以下错误消息:
    在从完整镜像执行还原之前,无法执行增量镜像还原。目录名称无效。0X8007010B (WIN32/HTTP:267)
    转向证书服务从 32 位操作系统的 64 位操作系统或相反可能因以下错误消息之一:
    预期的数据不存在此目录中。
    不能从完整镜像 0x8007010b (WIN32/HTTP:267) 在执行还原之前执行的增量映像还原

    从 32 位版本的 64 位版本的数据库格式更改会导致不兼容问题,并恢复被阻止。这类似于 Windows 2000 中的移动到 Windows Server 2003 CA。但是,并没有从 32 位版本的 Windows Server 2003 64 位版本的升级路径。因此,不能将现有的 32 位数据库到 64 位数据库移动基于 Windows Server 2003 的计算机上。但是,您可以从 Windows Server 2003 CA (x 86 运行 Windows Server 2003) 升级到 Windows Server 2008 R2 CA (在 Windows Server 2008 x64 R2 上运行)。支持此升级。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    912309如何升级到 Windows Server 2003 R2 的 Windows Server 2003 的最新更新
  • X 基于 x64 版本的 Windows 服务器 2003 R2 CD2 只更新或 AMD64 体系结构上的 64 位扩展技术体系结构为基础的 64 位版本的 Windows Server 2003。

备份和还原证书颁发机构密钥和数据库

Windows 2003 Server

重要此部分、 方法或任务包含说明如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重的问题。因此,请确保您小心地执行这些步骤。然后,备份注册表之前对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何备份和还原在 Windows 注册表
  1. 请注意在证书颁发机构管理单元中的证书模板文件夹中配置的证书模板。设置存储在 Active Directory 中的证书模板。它们都不会自动备份。新 CA 维护一组相同的模板上,您必须手动配置的证书模板设置。

    注意文件夹仅存在于一个企业 ca 独立 Ca 的证书模板不使用证书模板。因此,此步骤不适用于独立的 CA。
  2. 使用证书颁发机构管理单元备份 CA 数据库和专用密钥。请执行以下步骤:
    1. 在证书颁发机构管理单元中,右键单击 CA 名称,然后单击 所有任务然后单击 备份 CA 启动证书颁发机构备份向导。
    2. 单击 下一步然后单击 私钥和 CA 证书.
    3. 单击 证书数据库和证书数据库日志.
    4. 使用一个空文件夹作为备份位置。请确保新的服务器可以访问备份文件夹。
    5. 单击 下一步.如果指定的备份文件夹不存在,则证书颁发机构备份向导将创建它。
    6. 键入并确认 CA 私钥备份文件的密码。
    7. 单击 下一步然后验证备份设置。将显示以下设置:
      • 私钥和 CA 证书
      • 颁发的日志和待定的请求
    8. 单击 完成.
  3. 保存此 CA 的注册表设置。请执行以下步骤:
    1. 单击 开始单击 运行键入 注册表编辑器 在中 打开 框中,然后单击 确定.
    2. 找到并右键单击以下注册表子项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. 单击 导出.
    4. 将 CA 备份文件夹中定义的注册表文件保存到在步骤 2d。
  4. 从旧服务器中删除证书服务。

    注意此步骤从活动目录中删除对象。无法执行此步骤的顺序。如果在安装 CA 的目标 (步骤 6 中这一节) 后执行删除源 CA,则目标 CA 将变为不可用。
  5. 重命名旧的服务器,或与网络永久断开它。
  6. 在新服务器上安装证书服务。为此,请按照下列步骤。

    注意新的服务器必须具有相同的旧服务器的计算机名称。
    1. 在控制面板中,双击 添加或删除程序.
    2. 单击 添加/删除 Windows 组件单击 证书服务 在 Windows 组件向导,然后单击 下一步.
    3. 在中 CA 键入 对话框中,单击适当的 CA 类型。
    4. 单击 使用自定义设置生成密钥对和 CA 证书然后单击 下一步.
    5. 单击 导入键入的路径。P12 文件在备份文件夹中,键入您在第 2f 步中选择的密码,然后单击 确定.
    6. 在中 公钥 / 私钥对 对话框框中,验证 使用现有密钥 已检查。
    7. 单击 下一步 两次。
    8. 接受证书数据库设置的默认设置,请单击 下一步然后单击 完成 要完成证书服务的安装。
  7. 停止证书服务服务。
  8. 找到您在步骤 3 中保存的注册表文件,然后双击要导入的注册表设置。如果从旧的 CA 注册表导出显示的路径不同的新路径,也必须相应地调整注册表导出。默认情况下,通过新的路径是 C:\Windows Windows Server 2003 中。
  9. 使用证书颁发机构管理单元还原 CA 数据库。请执行以下步骤:
    1. 在证书颁发机构管理单元中,右键单击 CA 名称,然后单击 所有任务然后单击 还原 CA.

      证书颁发机构还原向导启动。
    2. 单击 下一步然后单击 私钥和 CA 证书.
    3. 单击 证书数据库和证书数据库日志.
    4. 键入备份文件夹的位置,然后单击 下一步.
    5. 验证备份设置。" 颁发的日志待定的请求 此时应显示设置。
    6. 单击 完成然后单击 恢复 CA 数据库时,请重新启动证书服务。

    注意如果 CA 备份文件夹不在正确的文件夹结构格式,您可能在还原 CA 的过程中收到以下错误:
    ---------------------------
    Microsoft 证书服务
    ---------------------------
    预期的数据不存在此目录中。
    请选择一个不同的目录。目录名称无效。0X8007010B (WIN32/HTTP: 267)
    正确的文件夹结构如下所示:
    C:\Ca_Backup\CA_NAME.p12
    C:\Ca_Backup\Database\certbkxp.dat
    C:\Ca_Backup\Database\edb#####.log
    C:\Ca_Backup\Database\CA_NAME.edb

    C:\Ca_Backup 文件夹是您已选择在步骤 2 中的备份 CA 阶段。
  10. 在证书颁发机构管理单元中,手动添加或删除要复制的证书模板设置,您在第 1 步中记下的证书模板。

Windows 2000 服务器

重要此部分、 方法或任务包含说明如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重的问题。因此,请确保您小心地执行这些步骤。然后,备份注册表之前对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何备份和还原在 Windows 注册表
  1. 请注意在证书颁发机构管理单元中的证书模板文件夹中配置的证书模板。设置存储在 Active Directory 中的证书模板。它们都不会自动备份。新 CA 维护一组相同的模板上,您必须手动配置的证书模板设置。

    注意文件夹仅存在于一个企业 ca 独立 Ca 的证书模板不使用证书模板。因此,此步骤不适用于独立的 CA。
  2. 使用证书颁发机构管理单元备份 CA 数据库和专用密钥。请执行以下步骤:
    1. 在证书颁发机构管理单元中,右键单击 CA 名称,然后单击 所有任务然后单击 备份 CA 启动证书颁发机构备份向导。
    2. 单击 下一步然后单击 私钥和 CA 证书.
    3. 单击 颁发的证书日志和待定证书申请队列。
    4. 使用一个空文件夹作为备份位置。请确保新的服务器可以访问备份文件夹。
    5. 单击 下一步.如果指定的备份文件夹不存在,则证书颁发机构备份向导将创建它。
    6. 键入并确认 CA 私钥备份文件的密码。
    7. 单击 下一步 两次,然后验证备份设置。将显示以下设置:
      • 私钥和 CA 证书
      • 颁发的日志和待定的请求
    8. 单击 完成.
  3. 保存此 CA 的注册表设置。请执行以下步骤:
    1. 单击 开始单击 运行键入 注册表编辑器 在中 打开 框中,然后单击 确定.
    2. 找到并右键单击以下注册表子项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. 单击 配置 然后单击 导出注册表文件 在上 注册表 菜单。
    4. 将 CA 备份文件夹中定义的注册表文件保存到在步骤 2d。
  4. 从旧服务器中删除证书服务。

    注意此步骤从活动目录中删除对象。无法执行此步骤的顺序。如果在安装 CA 的目标 (步骤 6 中这一节) 后执行删除源 CA,则目标 CA 将变为不可用。
  5. 重命名旧的服务器,或与网络永久断开它。
  6. 在新服务器上安装证书服务。为此,请按照下列步骤。

    注意新的服务器必须具有相同的旧服务器的计算机名称。
    1. 在控制面板中,双击添加/删除程序。
    2. 单击 添加/删除 Windows 组件单击 证书服务 在 Windows 组件向导,然后单击 下一步.
    3. 在中 证书颁发机构类型 对话框中,单击适当的 CA 类型。
    4. 单击 高级的选项然后单击 下一步.
    5. 在中 公钥 / 私钥对 对话框中,单击 使用现有密钥然后单击 导入.
    6. 键入的路径。P12 文件在备份文件夹中,键入您在第 2f 步中选择的密码,然后单击 确定.
    7. 单击 下一步键入 CA 说明如果适用),然后单击 下一步。
    8. 接受默认的数据存储位置的设置,请单击 下一步然后单击 完成 要完成证书服务的安装。
  7. 停止证书服务服务。
  8. 找到您在步骤 3 中保存的注册表文件,然后双击要导入的注册表设置。
  9. 使用证书颁发机构管理单元还原 CA 数据库。请执行以下步骤:
    1. 在证书颁发机构管理单元中,右键单击 CA 名称,然后单击 所有任务然后单击 还原 CA.

      证书颁发机构还原向导启动。
    2. 单击 下一步然后单击 颁发的证书日志和待定证书申请队列.
    3. 键入备份文件夹的位置,然后单击 下一步.
    4. 验证备份设置。将显示以下设置:
      • 颁发的日志
      • 待定的请求
    5. 单击 完成然后单击 恢复 CA 数据库时,请重新启动证书服务。
  10. 在证书颁发机构管理单元中,手动添加或删除要复制的证书模板设置,您在第 1 步中记下的证书模板。

更多信息

Windows Server 2003 和 Windows Server 2008 的升级和迁移方案的详细信息,请参阅"活动目录的证书服务升级和迁移指南"白皮书。若要查看该白皮书,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/library/cc742515 (v=ws.10).aspx

属性

文章编号: 298138 - 最后修改: 2012年6月4日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
关键字:?
kbcertservices kbenv kbhowtomaster w2000certsrv kbmt KB298138 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 298138
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com