現在オフラインです。再接続するためにインターネットの接続を待っています

証明機関を別のサーバーに移動する方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:298138
Notice
この資料は、Windows 2000 に適用されます。Windows 2000 のサポートは、2010 年 7 月 13 日に終了します。、 Windows 2000 エンド オブ サポート ソリューション センター Windows 2000 からの移行戦略を計画するための開始ポイントです。詳細についてを参照してください、 マイクロソフト サポート ライフ サイクル ポリシー.
Notice
この資料は、Windows 2000 に適用されます。Windows 2000 のサポートは、2010 年 7 月 13 日に終了します。、 Windows 2000 エンド オブ サポート ソリューション センター Windows 2000 からの移行戦略を計画するための開始ポイントです。詳細についてを参照してください、 マイクロソフト サポート ライフ サイクル ポリシー.
Notice
この資料は、Windows 2000 に適用されます。Windows 2000 のサポートは、2010 年 7 月 13 日に終了します。、 Windows 2000 エンド オブ サポート ソリューション センター Windows 2000 からの移行戦略を計画するための開始ポイントです。詳細についてを参照してください、 マイクロソフト サポート ライフ サイクル ポリシー.
Notice
この資料は、Windows 2000 に適用されます。Windows 2000 のサポートは、2010 年 7 月 13 日に終了します。、 Windows 2000 エンド オブ サポート ソリューション センター Windows 2000 からの移行戦略を計画するための開始ポイントです。詳細についてを参照してください、 マイクロソフト サポート ライフ サイクル ポリシー.
概要
この資料では、証明機関 (CA) を別のサーバーに移動する方法について説明します。

証明機関 (Ca) とは、組織の公開キー基盤 (PKI) の中心的なコンポーネントです。多くの年または数十年間、CA をホストする、ハードウェアのアップグレード可能性があります存在する Ca を構成します。

注:
  • CA は、Windows Server 2003 を実行しているサーバーに Windows 2000 Server を実行しているサーバーから移動するには、最初に Windows Server 2003 を Windows 2000 Server を実行している CA サーバーをアップグレードしてください。この資料に記載されている手順に従うことができます。
  • 対象サーバーの %systemroot% がシステム状態のバックアップの取得元となるサーバーの %systemroot% と一致していることを確認します。

    バックアップの場所と一致するように CA サーバーのコンポーネントをインストールすると、CA のファイルのパスを変更する必要があります。たとえば、D:\Winnt\System32\Certlog フォルダーからバックアップする場合は、D:\Winnt\System32\Certlog フォルダーにバックアップを復元する必要があります。C:\Winnt\System32\Certlog フォルダーにバックアップを復元することはできません。バックアップを復元した後は、既定の場所に CA データベース ファイルを移動できます。

    バックアップを復元しようとする、バックアップとターゲット サーバーの %systemroot% が一致しない場合は、次のエラー メッセージが表示される場合があります。
    完全なイメージから復元を実行する前に、増分イメージの復元を実行できません。ディレクトリ名が正しくありません。0X8007010B (WIN32/HTTP:267)
    証明書サービスを 32 ビットのオペレーティング システムから 64 ビット オペレーティング システムまたはその逆に移動次のエラー メッセージのいずれかで失敗します。
    このディレクトリに必要なデータが存在しません。
    0x8007010b (WIN32/HTTP:267) 完全なイメージから復元を実行する前に、増分イメージの復元を実行できません。

    データベース形式の変更を 32 ビット バージョンから 64 ビット バージョンでの非互換性が発生して、リストアがブロックされます。これには、Windows 2000 から Windows Server 2003 CA への移行が似ています。ただし、Windows Server 2003 の 32 ビット バージョンから 64 ビット バージョンへのアップグレードの方法はありません。したがって、Windows Server 2003 ベースのコンピューターで 64 ビットのデータベースに既存の 32 ビット データベースを移動できません。ただし、(Windows Server 2003 x86 で実行されている)、Windows Server 2003 CA から Windows Server 2008 R2 の CA (Windows Server 2008 R2 の x64 を実行している) にアップグレードできます。このアップグレードはサポートされています。詳細については、以下のサポート技術情報番号をクリックしてください。
    912309 Service Pack 1 と Windows Server 2003 を Windows Server 2003 R2 にアップグレードする方法
  • X64 ベース バージョンの Windows Server 2003 R2 の CD2 は、EM64T アーキテクチャまたは AMD64 アーキテクチャに基づく Windows Server 2003 の 64 ビット バージョンを更新するのみです。

バックアップおよび証明機関のキーとデータベースを復元します。

Windows Server 2003

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合にレジストリを復元することができます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
  1. 証明機関スナップインで証明書テンプレート] フォルダーで構成されている証明書テンプレートに注意してください。証明書テンプレートの設定は、Active Directory に格納されます。それらは自動的にバックアップされません。同じテンプレートの設定を維持するために新しい CA の証明書テンプレートの設定を手動で構成する必要があります。

    注: <b>エンタープライズ ca のスタンドアロン証明機関で証明書テンプレートでは、証明書テンプレートは使用されません。そのため、この手順はスタンドアロン CA には適用されません。
  2. CA データベースと秘密キーのバックアップを作成するのには、証明機関スナップインを使用します。これを行うには、次の手順を実行します。
    1. 証明機関スナップインで CA 名を右クリックし、すべてのタスク] をクリックし、証明機関バックアップ ウィザードを起動するのにはCA のバックアップをします。
    2. [次へ] をクリックし、[秘密キーと CA 証明書] をクリックします。
    3. 証明書データベースおよび証明書データベース ログ] をクリックします。
    4. バックアップの保存先として空のフォルダーを使用します。新しいサーバーがバックアップ フォルダーにアクセスできることを確認します。
    5. [次へ] をクリックします。指定したバックアップ フォルダーが存在しない場合、証明機関バックアップ ウィザードによって作成されます。
    6. 入力し、CA 秘密キー バックアップ ファイルのパスワードを確認します。
    7. [次へ] をクリックし、バックアップの設定を確認しています。次の設定を表示する必要があります。
      • CA 証明書と秘密キー
      • 発行されたログと保留中の要求
    8. [完了] をクリックします。
  3. この CA のレジストリ設定を保存します。これを行うには、次の手順を実行します。
    1. [スタート] ボタン、[実行] をクリック、種類 regeditオープンでボックスし、[ OK] をクリックします。
    2. 次のレジストリ サブキーを見つけて右クリックします。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. [エクスポート] をクリックします。
    4. 手順 2d. で定義した CA バックアップ フォルダに、レジストリ ファイルを保存します。
  4. 古いサーバーから証明書サービスを削除します。

    注: <b>この手順は、Active Directory からオブジェクトを削除します。この手順を正しく実行されません。(ステップ 6 では、このセクションで) ターゲットの CA のインストール後、元の CA の削除を実行すると、ターゲットの CA が使用不可能になります。
  5. 古いサーバーの名前を変更または完全にネットワークから切断します。
  6. 新しいサーバーに証明書サービスをインストールします。そのためには、以下の手順を実行します。

    注: <b>新しいサーバーには、古いサーバと同じコンピューター名が必要です。
    1. コントロール パネルの [プログラム追加と削除をダブルクリックします。
    2. [ Windows コンポーネントの追加と削除] をクリックして、Windows コンポーネント ウィザードで、証明書サービス] をクリックし、[次へ] をクリックします。
    3. CA の種類] ダイアログ ボックスで、適切な CA の種類をクリックします。
    4. キーの組と CA 証明書を生成するカスタム設定を使用する] をクリックし、[次へ] をクリックします。
    5. [インポート] をクリックしてのパスを入力します。P12 ファイルをバックアップ フォルダーには手順 2 f で選択したパスワードを入力し、し、[ OK] をクリックします。
    6. 公開キーと秘密キーの組] ダイアログ ボックスで、既存のキーを使用してオンになっているを確認します。
    7. [次へ] を 2 回クリックします。
    8. 証明書データベースの設定のデフォルト設定のまま [次へ] をクリックして、終了証明書サービスのインストールを完了する] をクリックします。
  7. 証明書サービスを停止します。
  8. 手順 3 で保存したレジストリ ファイルを検索し、レジストリ設定をインポートする] をダブルクリックします。古い CA からレジストリ エクスポートに表示されるパスは、新しいパスと異なる場合、それに応じてレジストリ エクスポートを調整する必要があります。既定では、新しいパスは、Windows Server 2003 で C:\Windows は。
  9. 証明機関スナップインを使用して、CA データベースを復元します。これを行うには、次の手順を実行します。
    1. 証明機関スナップインで、CA 名を右クリックし、すべてのタスク] をクリックし、 CA の復元] をクリックします。

      証明機関の復元ウィザードが起動します。
    2. [次へ] をクリックし、[秘密キーと CA 証明書] をクリックします。
    3. 証明書データベースおよび証明書データベース ログ] をクリックします。
    4. バックアップ フォルダーの場所を入力し、[次へ] をクリックします。
    5. バックアップの設定を確認します。発行されたログ保留中の要求の設定を表示する必要があります。
    6. 完了] をクリックし、[はいCA データベースを復元する場合は、証明書サービスを再起動します。

    注: <b>CA バックアップ フォルダーが適切なフォルダー構造の形式でない場合は、復元の CA の処理中に次のエラーがあります。
    ---------------------------
    Microsoft 証明書サービス
    ---------------------------
    このディレクトリに必要なデータが存在しません。
    別のディレクトリを選択してください。ディレクトリ名が正しくありません。0X8007010B (WIN32 または HTTP: 267)
    正しいフォルダー構造は次のとおりです。
    C:\Ca_Backup\CA_NAME.p12
    C:\Ca_Backup\Database\certbkxp.dat
    C:\Ca_Backup\Database\edb###.log
    C:\Ca_Backup\Database\CA_NAME.edb

    フェーズでは、CA のバックアップ手順 2 で選択したフォルダーの C:\Ca_Backup のあります。
  10. 証明機関スナップインで手動で追加または、手順 1 でメモした証明書テンプレートの設定を複製する証明書テンプレートを削除します。

Windows 2000 Server

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合にレジストリを復元することができます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
  1. 証明機関スナップインで証明書テンプレート] フォルダーで構成されている証明書テンプレートに注意してください。証明書テンプレートの設定は、Active Directory に格納されます。それらは自動的にバックアップされません。同じテンプレートの設定を維持するために新しい CA の証明書テンプレートの設定を手動で構成する必要があります。

    注: <b>エンタープライズ ca のスタンドアロン証明機関で証明書テンプレートでは、証明書テンプレートは使用されません。そのため、この手順はスタンドアロン CA には適用されません。
  2. CA データベースと秘密キーのバックアップを作成するのには、証明機関スナップインを使用します。これを行うには、次の手順を実行します。
    1. 証明機関スナップインで CA 名を右クリックし、すべてのタスク] をクリックし、証明機関バックアップ ウィザードを起動するのにはCA のバックアップをします。
    2. [次へ] をクリックし、[秘密キーと CA 証明書] をクリックします。
    3. クリックして発行された証明書のログと保留中の証明書の要求キュー<b00> </b00>
    4. バックアップの保存先として空のフォルダーを使用します。新しいサーバーがバックアップ フォルダーにアクセスできることを確認します。
    5. [次へ] をクリックします。指定したバックアップ フォルダーが存在しない場合、証明機関バックアップ ウィザードによって作成されます。
    6. 入力し、CA 秘密キー バックアップ ファイルのパスワードを確認します。
    7. 次へ] を 2 回クリックし、バックアップの設定を確認しています。次の設定を表示する必要があります。
      • CA 証明書と秘密キー
      • 発行されたログと保留中の要求
    8. [完了] をクリックします。
  3. この CA のレジストリ設定を保存します。これを行うには、次の手順を実行します。
    1. [スタート] ボタン、[実行] をクリック、種類 regeditオープンでボックスし、[ OK] をクリックします。
    2. 次のレジストリ サブキーを見つけて右クリックします。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. 構成をクリックし、[レジストリ] メニューの [レジストリ ファイルの書き出し] をクリックします。
    4. 手順 2d. で定義した CA バックアップ フォルダに、レジストリ ファイルを保存します。
  4. 古いサーバーから証明書サービスを削除します。

    注: <b>この手順は、Active Directory からオブジェクトを削除します。この手順を正しく実行されません。(ステップ 6 では、このセクションで) ターゲットの CA のインストール後、元の CA の削除を実行すると、ターゲットの CA が使用不可能になります。
  5. 古いサーバーの名前を変更または完全にネットワークから切断します。
  6. 新しいサーバーに証明書サービスをインストールします。そのためには、以下の手順を実行します。

    注: <b>新しいサーバーには、古いサーバと同じコンピューター名が必要です。
    1. コントロール パネルの [プログラムの追加と削除] をダブルクリックします。
    2. [ Windows コンポーネントの追加と削除] をクリックして、Windows コンポーネント ウィザードで、証明書サービス] をクリックし、[次へ] をクリックします。
    3. 証明機関の種類] ダイアログ ボックスで、適切な CA の種類をクリックします。
    4. [詳細オプション] をクリックし、[次へ] をクリックします。
    5. 公開キーと秘密キーの組] ダイアログ ボックスで、[既存のキーの使用] をクリックし、インポート] をクリックします。
    6. パスを入力します。P12 ファイルをバックアップ フォルダーには手順 2 f で選択したパスワードを入力し、し、[ OK] をクリックします。
    7. [次へ] をクリックし、必要に応じて CA の説明を入力] をクリックし、
    8. データ ストレージの場所の既定の設定、[次へ] をクリックし、完了証明書サービスのインストールを完了する] をクリックします。
  7. 証明書サービスを停止します。
  8. 手順 3 で保存したレジストリ ファイルを検索し、レジストリ設定をインポートする] をダブルクリックします。
  9. 証明機関スナップインを使用して、CA データベースを復元します。これを行うには、次の手順を実行します。
    1. 証明機関スナップインで、CA 名を右クリックし、すべてのタスク] をクリックし、 CA の復元] をクリックします。

      証明機関の復元ウィザードが起動します。
    2. [次へ] をクリックしをクリックし、発行された証明書のログと保留中の証明書の要求キュー
    3. バックアップ フォルダーの場所を入力し、[次へ] をクリックします。
    4. バックアップの設定を確認します。次の設定を表示する必要があります。
      • 発行されたログ
      • 保留中の要求
    5. 完了] をクリックし、[はいCA データベースを復元する場合は、証明書サービスを再起動します。
  10. 証明機関スナップインで手動で追加または、手順 1 でメモした証明書テンプレートの設定を複製する証明書テンプレートを削除します。
詳細
Windows Server 2003 および Windows Server 2008 のアップグレードと移行のシナリオの詳細については、「アクティブ ディレクトリ証明書サービスのアップグレードと移行ガイド」ホワイト ペーパーを参照してください。資料、ホワイト ペーパーには、次のマイクロソフト Web サイトを参照してください。
証明機関

警告: この記事は自動翻訳されています

プロパティ

文書番号:298138 - 最終更新日: 05/07/2016 10:15:00 - リビジョン: 3.0

Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbcertservices kbenv kbhowtomaster w2000certsrv kbmt KB298138 KbMtja
フィードバック
ementsByTagName("head")[0].appendChild(m); .location.protocol) + "//c.microsoft.com/ms.js'><\/script>");