文章編號: 298138 - 上次校閱: 2009年9月17日 - 版次: 15.3

如何將憑證授權單位移至另一部伺服器

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) ]。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) ]。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) ]。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) ]。

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您,如何將憑證授權單位 (CA) 移動到不同的伺服器。

憑證授權單位 (CA) 是組織的公開金鑰基礎結構 (PKI) 的中央的元件。CA 會設定成針對許多年或數十年哪一個期間主控 CA 的硬體可能升級存在。

備忘稿
  • 從正在執行的 Windows Server 2003 的伺服器執行 Windows 2000 Server 的伺服器上移動一個 CA,您必須先升級執行 Windows 2000 Server 到 Windows Server 2003 CA 伺服器。然後您可以遵循本文中所述的步驟。
  • 請確定 %Systemroot %的目標伺服器符合 %Systemroot %從中取得系統狀態備份之伺服器。

    當您安裝 CA 伺服器元件,使其相符備份的位置時,您必須變更 CA 檔案的路徑。 比方說如果您備份從 D:\Winnt\System32\Certlog 資料夾,您必須還原備份至 D:\Winnt\System32\Certlog 資料夾。您無法還原備份到 C:\Winnt\System32\Certlog 資料夾。 將備份還原後您可以移動到預設位置的 CA 資料庫檔案。

    如果您嘗試將備份還原 %Systemroot %備份和目標伺服器不符合您可能會收到下列的錯誤訊息:
    從完整映像執行還原之前,無法執行增量影像還原。目錄名稱無效。0x8007010b (win32/HTTP:267)
    將憑證服務從 32 位元作業系統移至 64 位元的作業系統或相反可能會失敗的其中一個下列的錯誤訊息:
    預期的資料不存在於此目錄。
    還原增量影像不能執行之前執行還原從完整映像 0x8007010b (WIN32/HTTP:267)

    從 32 位元版本為 64 位元版本的資料庫格式變更會造成不相容問題,還原被封鎖。這很移動從 Windows 2000 到 Windows Server 2003 CA 類似。不過,沒有升級路徑從 32 位元版本的 Windows Server 2003 64 位元版本。因此,您無法將現有的 32 位元資料庫移到 64 位元資料庫。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    912309? (http://support.microsoft.com/kb/912309/ ) 如何升級至 Windows Server 2003 R2 的 Windows Server 2003 與服務封包 1
  • x x64 版本 Windows Server 2003 R2 CD2 只會更新根據 EM64T 架構或 AMD64 架構的 64 位元版本的 Windows Server 2003。
回此頁最上方

備份及還原憑證授權單位金鑰和資料庫

Windows Server 2003

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄
  1. 請注意在憑證授權單位嵌入式管理單元中的 [憑證範本] 資料夾中設定的憑證範本。設定儲存在 Active Directory 憑證範本。它們不會自動備份起來。您必須手動維護相同的範本設定新的 CA 上設定憑證範本設定。

    附註憑證範本只能在企業 CA 獨立 CA 的資料夾存在並不使用憑證範本。因此,這個步驟不適用於獨立的 CA。
  2. 使用 [憑證授權單位] 嵌入式管理單元來備份 CA 資料庫和私密金鑰。 要這麼做,請您執行下列步驟:
    1. 在 [憑證授權單位] 嵌入式管理單元,CA 名稱上按一下滑鼠右鍵,按一下 [所有工作],然後再按一下 [備份 CA 以啟動 「 憑證授權單位備份精靈 」。
    2. 按一下 [下一步],然後再按一下 [私人機碼和 CA 憑證
    3. 按一下 [憑證資料庫和憑證資料庫記錄檔
    4. 空的資料夾作為備份的位置。請確定備份資料夾可以被新的伺服器存取。
    5. 按一下 [下一步]。如果指定的備份資料夾不存在,憑證授權單位備份精靈 」 會建立它。
    6. 輸入並確認該 CA 私密金鑰備份檔案的密碼。
    7. 按一下 [下一步,並確認備份設定值。應該顯示下列設定:
      • 私用金鑰和 CA 憑證
      • 發出記錄檔及擱置要求
    8. 按一下 [完成]。
  3. 儲存這個 CA 的登錄設定。要這麼做,請您執行下列步驟:
    1. 按一下 [開始] 再按一下 [執行、 在 [開啟] 方塊中鍵入 regedit 然後再按一下 [確定]
    2. 找出下列登錄子機碼並用滑鼠右鍵按一下:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. 按一下 [匯出]。
    4. 儲存登錄檔中定義 [CA 備份資料夾中步驟 2d。
  4. 從舊伺服器移除憑證服務。

    附註這個步驟從 Active Directory 中移除物件。不要執行此步驟順序。如果移除來源 CA 會在安裝 CA 目標 (步驟 6 這一節) 之後執行,目標 CA 將變成無法使用。
  5. 重新命名舊的伺服器或永久與網路中斷連線。
  6. 在新的伺服器上安裝憑證服務。要這麼做,請您執行下列步驟。

    附註新的伺服器都必須具有相同的電腦名稱為舊的伺服器。
    1. 在控制台中按兩下 [新增或移除程式]。
    2. 按一下 [新增/移除 Windows 元件,按一下 [Windows 元件精靈中的 憑證服務,然後再按一下 [下一步]
    3. 在 [CA 類型] 對話方塊按一下適當的 CA 類型。
    4. 按一下 [使用自訂設定來產生金鑰組及 CA 憑證,然後按一下 [下一步]。
    5. 按一下 [匯入 在 [備份] 資料夾中鍵入.P12 檔案的路徑、 鍵入您在步驟 2f 中所選擇的密碼然後再按一下 [確定]
    6. 公開和私密金鑰組] 對話方塊中,確認已選取 [使用現有的金鑰
    7. 按兩次 [下一步]。
    8. 接受憑證資料庫設定預設的設定,按一下 [下一步],然後再按一下 [完成] 完成 「 憑證服務 」 安裝。
  7. 停止憑證服務。
  8. 找出您在步驟 3,儲存登錄檔案,然後再連按兩下匯入登錄設定。如果所示從舊 CA 登錄匯出的路徑不同於新的路徑,您必須依此調整登錄匯出。 預設情況下,新的路徑是在 Windows Server 2003 C:\Windows。
  9. 您可以使用 [憑證授權單位] 嵌入式管理單元還原 CA 資料庫。 要這麼做,請您執行下列步驟:
    1. 在 [憑證授權單位] 嵌入式管理單元,CA 名稱上按一下滑鼠右鍵,按一下 [所有工作],然後再按一下 [還原 CA]。

      啟動 [憑證授權單位還原精靈]。
    2. 按一下 [下一步],然後再按一下 [私人機碼和 CA 憑證
    3. 按一下 [憑證資料庫和憑證資料庫記錄檔
    4. 輸入備份資料夾的位置,然後按一下 [下一步]
    5. 確認備份設定。應該會顯示 [已發出記錄檔] 和 [擱置要求] 設定。
    6. 按一下 [完成],然後再按一下 [是] 時還原 CA 資料庫重新啟動憑證服務]。

    附註如果 CA 備份資料夾不是正確的資料夾結構的格式,可能會還原 CA 程序期間收到下列錯誤:
    ---------------------------
    Microsoft 憑證服務
    ---------------------------
    預期的資料不存在於此目錄。
    請選擇不同的目錄。 目錄名稱無效。0x8007010b (win32/HTTP: 267)
    正確的資料夾結構是,如下所示:
    C:\Ca_Backup\CA_NAME.p12
    C:\Ca_Backup\Database\certbkxp.dat
    C:\Ca_Backup\Database\edb#####.log
    C:\Ca_Backup\Database\CA_NAME.edb

    您選擇在步驟 2 中備份 CA 階段 C:\Ca_Backup 所在資料夾。
  10. 在 [憑證授權單位] 嵌入式管理單元,手動新增或移除要複製您在步驟 1 中所記下的 [憑證範本] 設定的憑證範本。

Windows 2000 Server

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄
  1. 請注意在憑證授權單位嵌入式管理單元中的 [憑證範本] 資料夾中設定的憑證範本。設定儲存在 Active Directory 憑證範本。它們不會自動備份起來。您必須手動維護相同的範本設定新的 CA 上設定憑證範本設定。

    附註憑證範本只能在企業 CA 獨立 CA 的資料夾存在並不使用憑證範本。因此,這個步驟不適用於獨立的 CA。
  2. 使用 [憑證授權單位] 嵌入式管理單元來備份 CA 資料庫和私密金鑰。要這麼做,請您執行下列步驟:
    1. 在 [憑證授權單位] 嵌入式管理單元,CA 名稱上按一下滑鼠右鍵,按一下 [所有工作],然後再按一下 [備份 CA 以啟動 「 憑證授權單位備份精靈 」。
    2. 按一下 [下一步],然後再按一下 [私人機碼和 CA 憑證
    3. 按一下 [已發出憑證記錄檔及擱置的憑證要求 佇列。
    4. 空的資料夾作為備份的位置。請確定備份資料夾可以被新的伺服器存取。
    5. 按一下 [下一步]。 如果指定的備份資料夾不存在,憑證授權單位備份精靈 」 會建立它。
    6. 輸入並確認該 CA 私密金鑰備份檔案的密碼。
    7. 按兩次 [下一步],並確認備份設定值。應該顯示下列設定:
      • 私用金鑰和 CA 憑證
      • 發出記錄檔及擱置要求
    8. 按一下 [完成]。
  3. 儲存這個 CA 的登錄設定。 要這麼做,請您執行下列步驟:
    1. 按一下 [開始] 再按一下 [執行、 在 [開啟] 方塊中鍵入 regedit 然後再按一下 [確定]
    2. 找出下列登錄子機碼並用滑鼠右鍵按一下:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. 按一下 [設定,然後按一下 [登錄] 功能表上的 [匯出登錄檔案
    4. 儲存登錄檔中定義 [CA 備份資料夾中步驟 2d。
  4. 從舊伺服器移除憑證服務。

    附註這個步驟從 Active Directory 中移除物件。不要執行此步驟順序。如果移除來源 CA 會在安裝 CA 目標 (步驟 6 這一節) 之後執行,目標 CA 將變成無法使用。
  5. 重新命名舊的伺服器或永久與網路中斷連線。
  6. 在新的伺服器上安裝憑證服務。要這麼做,請您執行下列步驟。

    附註新的伺服器都必須具有相同的電腦名稱為舊的伺服器。
    1. 在 [控制台] 中,按兩下 [新增/移除程式]。
    2. 按一下 [新增/移除 Windows 元件,按一下 [Windows 元件精靈中的 憑證服務,然後再按一下 [下一步]
    3. 在 [憑證授權單位類型] 對話方塊按一下適當的 CA 類型。
    4. 按一下 [進階選項,然後按一下 [下一步]。
    5. 在 [公開和私密金鑰組] 對話方塊按一下 [使用現有金鑰,然後按一下 [匯入]。
    6. 在 [備份] 資料夾中輸入.P12 檔案路徑、 鍵入您在步驟 2f 中所選擇的密碼,然後按一下 [確定]
    7. 按一下 [下一步],輸入 CA 描述適當,然後按一下 [下一步]。
    8. 接受資料存放區位置預設的設定,按一下 [下一步],然後再按一下 [完成] 完成 「 憑證服務 」 安裝。
  7. 停止憑證服務。
  8. 找出您在步驟 3,儲存登錄檔案,然後再連按兩下匯入登錄設定。
  9. 您可以使用 [憑證授權單位] 嵌入式管理單元還原 CA 資料庫。 要這麼做,請您執行下列步驟:
    1. 在 [憑證授權單位] 嵌入式管理單元,CA 名稱上按一下滑鼠右鍵,按一下 [所有工作],然後再按一下 [還原 CA]。

      啟動 [憑證授權單位還原精靈]。
    2. 按一下 [下一步],然後再按一下 發給憑證記錄檔及擱置的憑證要求佇列
    3. 輸入備份資料夾的位置,然後按一下 [下一步]
    4. 確認備份設定。應該顯示下列設定:
      • 發出記錄檔
      • 擱置的要求
    5. 按一下 [完成],然後再按一下 [是] 時還原 CA 資料庫重新啟動憑證服務]。
  10. 在 [憑證授權單位] 嵌入式管理單元,手動新增或移除要複製您在步驟 1 中所記下的 [憑證範本] 設定的憑證範本。
回此頁最上方

其他相關資訊

Windows Server 2003 和 Windows Server 2008 升級和移轉案例的相關資訊,請參閱 「 使用中目錄憑證服務升級和遷移指南 」 白皮書]。如果要下載本白皮書,請造訪下列 Microsoft 下載中心 」 網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c70bd7cd-9f03-484b-8c4b-279bc29a3413&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c70bd7cd-9f03-484b-8c4b-279bc29a3413&displaylang=en)
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
回此頁最上方
關鍵字:?
kbmt kbcertservices kbenv kbhowtomaster KB298138 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:298138? (http://support.microsoft.com/kb/298138/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。