如何將憑證授權單位移到另一部伺服器

文章翻譯 文章翻譯
文章編號: 298138 - 檢視此文章適用的產品。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援結束在 2010 年 7 月 13,。[ Windows 2000 結束的支援解決方案中心 是您在規劃移轉策略從 Windows 2000 的起始點。如需詳細資訊,請參閱 Microsoft 技術支援週期準則.
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援結束在 2010 年 7 月 13,。[ Windows 2000 結束的支援解決方案中心 是您在規劃移轉策略從 Windows 2000 的起始點。如需詳細資訊,請參閱 Microsoft 技術支援週期準則.
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援結束在 2010 年 7 月 13,。[ Windows 2000 結束的支援解決方案中心 是您在規劃移轉策略從 Windows 2000 的起始點。如需詳細資訊,請參閱 Microsoft 技術支援週期準則.
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援結束在 2010 年 7 月 13,。[ Windows 2000 結束的支援解決方案中心 是您在規劃移轉策略從 Windows 2000 的起始點。如需詳細資訊,請參閱 Microsoft 技術支援週期準則.
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您如何將憑證授權單位 (CA) 移至另一部伺服器。

憑證授權單位 (Ca) 是組織的公用金鑰基礎結構 (PKI) 的中央元件。Ca 會設定成許多年或數十年,在這段期間可能升級主控 CA 的硬體。

備忘稿
  • 將 CA 從伺服器移到執行 Windows Server 2003 的伺服器在執行 Windows 2000 Server,您必須先升級到 Windows Server 2003 執行 Windows 2000 Server CA 伺服器。然後您可以遵循本文所述的步驟。
  • 請確定目標伺服器的 %systemroot%符合 %systemroot%,從中不會執行系統狀態備份的伺服器。

    當您安裝 CA 的伺服器元件,使其相符的備份位置時,您必須變更 CA 檔案的路徑。比方說,如果您從備份 [D:\Winnt\System32\Certlog] 資料夾,您必須將備份還原到 D:\Winnt\System32\Certlog 資料夾。您無法還原備份到 C:\Winnt\System32\Certlog 資料夾。在還原備份後,您可以移動到預設位置的 CA 資料庫檔案。

    如果您嘗試還原備份,並不相符 %systemroot%的備份和目標伺服器,您可能會收到下列錯誤訊息:
    從完整映像執行還原之前,無法執行增量的還原作業。目錄名稱不正確。0X8007010B (WIN32/HTTP:267)
    從 32 位元作業系統的憑證服務移動到相反或 64 位元的作業系統可能會失敗,使用下列的錯誤訊息之一:
    預期的資料不存在於這個目錄中。
    無法執行累加映像的還原作業之前執行還原從完整映像 0x8007010b (WIN32/HTTP:267)

    從 32 位元版本的 64 位元版本的資料庫格式變更會導致不相容的情況,並還原被封鎖。這類似於 Windows Server 2003 CA 要從 Windows 2000 進行。但是,沒有從 32 位元版本 Windows Server 2003 的 64 位元版本的升級路徑。因此,您無法以 64 位元資料庫移動現有的 32 位元資料庫的 Windows Server 2003 電腦上。不過,您可以從升級 Windows Server 2003 CA (執行 Windows Server 2003 x86) 至 Windows Server 2008 R2 CA (執行 Windows Server 2008 R2 x 64)。支援這項升級。如需詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    912309如何將 Windows Server 2003 與 Service Pack 1 升級至 Windows Server 2003 R2
  • Windows Server 2003 R2 CD2 x64 型版本只會更新為基礎架構 AMD64 或 EM64T 架構上的 64 位元版本的 Windows Server 2003。

備份及還原憑證授權金鑰與資料庫

Windows 2003 Server

重要這個章節、 方法或工作包含步驟告訴您如何修改登錄。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
  1. 請注意在憑證授權單位] 嵌入式管理單元中的 [憑證範本] 資料夾中所設定的憑證範本。憑證範本設定儲存在 Active Directory 中。它們不會自動備份。您必須手動設定新的 CA,來維護一組相同的範本上的憑證範本設定。

    附註資料夾只存在於企業 ca 獨立 Ca 的憑證範本不會使用憑證範本。因此,這個步驟不適用於獨立的 CA。
  2. 使用 [憑證授權單位] 嵌入式管理單元來備份 CA 資料庫和私用金鑰。執行這項操作,請依照下列步驟執行:
    1. 在 [憑證授權單位] 嵌入式管理單元,以滑鼠右鍵按一下 [憑證授權單位名稱,請按一下 所有的任務然後按一下 備份 CA 若要啟動 [憑證授權單位備份精靈]。
    2. 按一下 下一步然後按一下 私密金鑰及 CA 憑證.
    3. 按一下 憑證資料庫和憑證資料庫記錄檔.
    4. 使用空的資料夾,做為備份的位置。請確定新的伺服器可以存取 [備份] 資料夾。
    5. 按一下 下一步.如果指定的備份資料夾不存在,「 憑證授權單位備份精靈 」 就會建立它。
    6. 然後輸入並確認 CA 私密金鑰備份檔的密碼。
    7. 按一下 下一步然後確認 [備份設定值。應該會顯示下列設定:
      • 私密金鑰及 CA 憑證
      • 發行的記錄檔及擱置要求
    8. 按一下 完成.
  3. 儲存這個憑證授權單位的登錄設定。執行這項操作,請依照下列步驟執行:
    1. 按一下 啟動按一下 執行型別 regedit開啟 方塊中,然後再按一下 [確定].
    2. 找出並用滑鼠右鍵按一下下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. 按一下 匯出.
    4. 登錄檔案儲存在 CA 備份資料夾中您所定義的步驟 2d。
  4. 從舊伺服器移除 「 憑證服務。

    附註這個步驟會移除 Active Directory 中的物件。不要執行這個步驟順序。如果在安裝 CA 的目標 (步驟 6,在這一節中) 之後執行移除來源 CA 時,目標 CA 將會變成無法使用。
  5. 重新命名舊的伺服器,或永久地從網路中斷連線。
  6. 新的伺服器上安裝憑證服務。若要執行這項操作,請依照下列步驟執行。

    附註新的伺服器必須有相同的電腦名稱,做為舊的伺服器。
    1. 在 [控制台] 中連按兩下 新增或移除程式.
    2. 按一下 新增/移除 Windows 元件按一下 憑證服務 在 [Windows 元件精靈],然後再按一下 下一步.
    3. CA 型別 對話方塊方塊中,按一下適當的 CA 型別。
    4. 按一下 使用自訂設定來產生金鑰組及憑證授權單位然後按一下 下一步.
    5. 按一下 匯入輸入的路徑。P12 檔案,在 [備份] 資料夾中,輸入您在步驟 2f 所選擇的密碼,然後再按一下 [確定].
    6. 公開和私密金鑰組 對話方塊方塊中,確認 使用現有的按鍵 會檢查。
    7. 按一下 下一步 兩次。
    8. 接受憑證資料庫設定預設的設定,請按一下 下一步然後按一下 完成 若要完成 「 憑證服務 」 安裝。
  7. 停止 「 憑證服務 」 服務。
  8. 找出您在步驟 3 中儲存的登錄檔案,然後按兩下要匯入登錄設定。如果路徑中所顯示登錄匯出從舊的 CA 與不同的新路徑,就必須據以調整您的登錄匯出。根據預設,新的路徑是 Windows Server 2003 中的 C:\Windows。
  9. 您可以使用 [憑證授權單位] 嵌入式管理單元還原 CA 資料庫。執行這項操作,請依照下列步驟執行:
    1. 在 [憑證授權單位] 嵌入式管理單元,以滑鼠右鍵按一下 [憑證授權單位名稱,請按一下 所有的任務然後按一下 還原 CA.

      憑證授權單位還原精靈會啟動。
    2. 按一下 下一步然後按一下 私密金鑰及 CA 憑證.
    3. 按一下 憑證資料庫和憑證資料庫記錄檔.
    4. 輸入備份的資料夾位置,然後再按一下 下一步.
    5. 請確認備份的設定值。[ 已發行的記錄檔 以及 擱置要求 要顯示的設定。
    6. 按一下 完成然後按一下 [是] 若要還原 CA 資料庫時,請重新啟動憑證服務。

    附註如果 CA 的備份資料夾不是正確的資料夾結構的格式,可能會還原 CA 程序期間收到下列錯誤:
    ---------------------------
    Microsoft 憑證服務
    ---------------------------
    預期的資料不存在於這個目錄中。
    請選擇不同的目錄。目錄名稱不正確。0X8007010B (WIN32/HTTP: 267)
    正確的資料夾結構如下所示:
    C:\Ca_Backup\CA_NAME.p12
    C:\Ca_Backup\Database\certbkxp.dat
    C:\Ca_Backup\Database\edb#####.log
    C:\Ca_Backup\Database\CA_NAME.edb

    您已經選擇在步驟 2 中的備份 CA 階段 C:\Ca_Backup 所在的資料夾。
  10. 在 [憑證授權單位] 嵌入式管理單元,以手動方式新增或移除憑證範本,以複製您在步驟 1 中記下此憑證範本設定。

Windows 2000 Server

重要這個章節、 方法或工作包含步驟告訴您如何修改登錄。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
  1. 請注意在憑證授權單位] 嵌入式管理單元中的 [憑證範本] 資料夾中所設定的憑證範本。憑證範本設定儲存在 Active Directory 中。它們不會自動備份。您必須手動設定新的 CA,來維護一組相同的範本上的憑證範本設定。

    附註資料夾只存在於企業 ca 獨立 Ca 的憑證範本不會使用憑證範本。因此,這個步驟不適用於獨立的 CA。
  2. 使用 [憑證授權單位] 嵌入式管理單元來備份 CA 資料庫和私用金鑰。執行這項操作,請依照下列步驟執行:
    1. 在 [憑證授權單位] 嵌入式管理單元,以滑鼠右鍵按一下 [憑證授權單位名稱,請按一下 所有的任務然後按一下 備份 CA 若要啟動 [憑證授權單位備份精靈]。
    2. 按一下 下一步然後按一下 私密金鑰及 CA 憑證.
    3. 按一下 發行的憑證記錄檔及擱置的憑證要求佇列。
    4. 使用空的資料夾,做為備份的位置。請確定新的伺服器可以存取 [備份] 資料夾。
    5. 按一下 下一步.如果指定的備份資料夾不存在,「 憑證授權單位備份精靈 」 就會建立它。
    6. 然後輸入並確認 CA 私密金鑰備份檔的密碼。
    7. 按一下 下一步 兩次,然後確認 [備份設定值。應該會顯示下列設定:
      • 私密金鑰及 CA 憑證
      • 發行的記錄檔及擱置要求
    8. 按一下 完成.
  3. 儲存這個憑證授權單位的登錄設定。執行這項操作,請依照下列步驟執行:
    1. 按一下 啟動按一下 執行型別 regedit開啟 方塊中,然後再按一下 [確定].
    2. 找出並用滑鼠右鍵按一下下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. 按一下 組態 然後按一下 匯出登錄檔案 在上 登錄 功能表。
    4. 登錄檔案儲存在 CA 備份資料夾中您所定義的步驟 2d。
  4. 從舊伺服器移除 「 憑證服務。

    附註這個步驟會移除 Active Directory 中的物件。不要執行這個步驟順序。如果在安裝 CA 的目標 (步驟 6,在這一節中) 之後執行移除來源 CA 時,目標 CA 將會變成無法使用。
  5. 重新命名舊的伺服器,或永久地從網路中斷連線。
  6. 新的伺服器上安裝憑證服務。若要執行這項操作,請依照下列步驟執行。

    附註新的伺服器必須有相同的電腦名稱,做為舊的伺服器。
    1. 在控制台中,連按兩下 [新增/移除程式。
    2. 按一下 新增/移除 Windows 元件按一下 憑證服務 在 [Windows 元件精靈],然後再按一下 下一步.
    3. 憑證授權單位類型 對話方塊方塊中,按一下適當的 CA 型別。
    4. 按一下 進階的選項然後按一下 下一步.
    5. 公開和私密金鑰組 對話方塊中,按一下 使用現有的按鍵然後按一下 匯入.
    6. 輸入的路徑。P12 檔案,在 [備份] 資料夾中,輸入您在步驟 2f 所選擇的密碼,然後再按一下 [確定].
    7. 按一下 下一步輸入必要時,CA 的說明,然後按一下 下一步]。
    8. 接受預設的設定資料儲存位置,請按一下 下一步然後按一下 完成 若要完成 「 憑證服務 」 安裝。
  7. 停止 「 憑證服務 」 服務。
  8. 找出您在步驟 3 中儲存的登錄檔案,然後按兩下要匯入登錄設定。
  9. 您可以使用 [憑證授權單位] 嵌入式管理單元還原 CA 資料庫。執行這項操作,請依照下列步驟執行:
    1. 在 [憑證授權單位] 嵌入式管理單元,以滑鼠右鍵按一下 [憑證授權單位名稱,請按一下 所有的任務然後按一下 還原 CA.

      憑證授權單位還原精靈會啟動。
    2. 按一下 下一步然後按一下 發行的憑證記錄檔及擱置的憑證要求佇列.
    3. 輸入備份的資料夾位置,然後再按一下 下一步.
    4. 請確認備份的設定值。應該會顯示下列設定:
      • 已發行的記錄檔
      • 擱置要求
    5. 按一下 完成然後按一下 [是] 若要還原 CA 資料庫時,請重新啟動憑證服務。
  10. 在 [憑證授權單位] 嵌入式管理單元,以手動方式新增或移除憑證範本,以複製您在步驟 1 中記下此憑證範本設定。

其他相關資訊

Windows Server 2003 和 Windows Server 2008 升級和移轉案例的相關資訊,請參閱 「 使用中目錄憑證服務升級與移轉指南 」 白皮書 (英文)。若要查看這份白皮書,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/en-us/library/cc742515 (v=ws.10).aspx

屬性

文章編號: 298138 - 上次校閱: 2012年6月4日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
關鍵字:?
kbcertservices kbenv kbhowtomaster w2000certsrv kbmt KB298138 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:298138
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com