JAK: Přesunutí certifikačního úřadu na jiný server

Souhrn

Tento článek popisuje, jak přesunout certifikační úřad (CÚ) na jiný server.


Certifikační úřady jsou hlavní součástí technologie infrastruktury veřejného klíče (PKI) organizace. Jsou konfigurovány tak, aby fungovaly a sloužily několik let i desetiletí, v průběhu kterých hardware hostující daný CÚ technologicky zastarává a je nutné jej inovovat.


Zálohování a obnovení klíčů a databáze certifikačního úřadu

Při zálohování CÚ a následném obnovení do jiného serveru postupujte podle následujících pokynů:
  1. Zazálohujte kryptografické klíče a databázi CÚ do centrálního umístění. Tento krok vytvoří soubor nazvaný například
    název_CÚ
    .P12 (heslem chráněný soubor), který obsahuje soukromý klíč CÚ, a složku nazvanou Database, která obsahuje databázi a soubory protokolů CÚ.
  2. Zazálohujte následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\
    název_CÚ
  3. Službu Certificate Services nainstalujte do nového serveru. Při výběru typu instalovaného CÚ zaškrtněte políčko
    Upřesnit instalaci
    .
  4. Klepněte na soubor
    název_CÚ
    .P12
    uložený v centrálním umístění a poté pokračujte v instalaci CÚ. Cesty k databázi a souborům protokolů CÚ musí být stejné jako v předchozím zastaralém serveru. Po instalaci služby Certificate Services bude nový CÚ kryptograficky shodný s předchozím.
  5. Spusťte modul snap-in Certifikační úřad a poté ze zálohy obnovte databázi a soubory protokolů.
  6. Obnovte zazálohovaný klíč registru.
  7. Po ověření funkčnosti nového serveru můžete ze zastaralého serveru odebrat službu Certificate Services. Kryptografické klíče CÚ musí být odstraněny před odebráním služby Certificate Services. Spusťte konzolu příkazového řádku a postupujte podle následujících pokynů:
    1. Zadáním příkazu
      certutil -shutdown
      zastavte službu Certificate Services.
    2. Zadáním příkazu
      certutil -key
      zobrazíte seznam kryptografických klíčů nainstalovaných na serveru.


      V tomto seznamu bude jedna položka mít název shodný s názvem certifikačního úřadu.
    3. Zadejte příkaz
      certutil -delkey
      název_CÚ
      .


      Pokud název CÚ obsahuje mezery, zadejte jej v uvozovkách.
    4. Službu Certificate Services je nyní možné bezpečně odebrat ze serveru.
Poznámka
: Cesty k databázi a souborům protokolů musí být shodné jako na zastaralém serveru. Nový server musí také mít stejný název jako předchozí server, protože název serveru je součástí cest Authority Information Access (AIA) a distribučního bodu CRL všech dříve vystavených certifikátů.

Vlastnosti

ID článku: 298138 - Poslední kontrola: 24. 5. 2004 - Revize: 1

Váš názor