JAK: Přesunutí certifikačního úřadu na jiný server

Tento článek byl dříve publikován CZ298138
Souhrn
Tento článek popisuje, jak přesunout certifikační úřad (CÚ) na jiný server.

Certifikační úřady jsou hlavní součástí technologie infrastruktury veřejného klíče (PKI) organizace. Jsou konfigurovány tak, aby fungovaly a sloužily několik let i desetiletí, v průběhu kterých hardware hostující daný CÚ technologicky zastarává a je nutné jej inovovat.

Zpět nahoru

Zálohování a obnovení klíčů a databáze certifikačního úřadu

Při zálohování CÚ a následném obnovení do jiného serveru postupujte podle následujících pokynů:
  1. Zazálohujte kryptografické klíče a databázi CÚ do centrálního umístění. Tento krok vytvoří soubor nazvaný napříkladnázev_CÚ.P12 (heslem chráněný soubor), který obsahuje soukromý klíč CÚ, a složku nazvanou Database, která obsahuje databázi a soubory protokolů CÚ.
  2. Zazálohujte následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\název_CÚ
  3. Službu Certificate Services nainstalujte do nového serveru. Při výběru typu instalovaného CÚ zaškrtněte políčkoUpřesnit instalaci.
  4. Klepněte na soubornázev_CÚ.P12uložený v centrálním umístění a poté pokračujte v instalaci CÚ. Cesty k databázi a souborům protokolů CÚ musí být stejné jako v předchozím zastaralém serveru. Po instalaci služby Certificate Services bude nový CÚ kryptograficky shodný s předchozím.
  5. Spusťte modul snap-in Certifikační úřad a poté ze zálohy obnovte databázi a soubory protokolů.
  6. Obnovte zazálohovaný klíč registru.
  7. Po ověření funkčnosti nového serveru můžete ze zastaralého serveru odebrat službu Certificate Services. Kryptografické klíče CÚmusí být odstraněny před odebráním služby Certificate Services. Spusťte konzolupříkazového řádku a postupujte podle následujících pokynů:
    1. Zadáním příkazucertutil -shutdownzastavte službu Certificate Services.
    2. Zadáním příkazucertutil -keyzobrazíte seznam kryptografických klíčů nainstalovaných na serveru.

      V tomto seznamu bude jedna položka mít název shodný s názvem certifikačního úřadu.
    3. Zadejte příkazcertutil -delkeynázev_CÚ.

      Pokud název CÚ obsahuje mezery, zadejte jej v uvozovkách.
    4. Službu Certificate Services je nyní možné bezpečně odebrat ze serveru.
Poznámka: Cesty k databázi a souborům protokolů musí být shodné jako na zastaralém serveru. Nový server musí také mít stejný název jako předchozí server, protože název serveru je součástí cest Authority Information Access (AIA) a distribučního bodu CRL všech dříve vystavených certifikátů.

Zpět nahoru
Vlastnosti

ID článku: 298138 - Poslední kontrola: 05/24/2004 17:19:00 - Revize: 2.0

Microsoft Windows 2000 Service Pack 1, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server

  • kbhowtomaster kbenv kbcertservices KB298138
Váš názor