Sertifika yetkilisini başka bir sunucuya taşıma

  • Makale

Bu makalede, bir sertifika yetkilisinin (CA) farklı bir sunucuya nasıl taşındığı açıklanır.

Şunlar için geçerlidir: Windows Server 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Özgün KB numarası: 298138

Not

Bu makale Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022 için geçerlidir. Windows 2000 desteği 13 Temmuz 2010'da sona erdi. Windows 2000 Destek Sonu Çözüm Merkezi, Windows 2000'den geçiş stratejinizi planlamaya yönelik bir başlangıç noktasıdır. Windows 2008 ve 2008 R2 desteği 14 Ocak 2020'de sona erdi. Daha fazla bilgi için bkz. Microsoft Desteği Yaşam Döngüsü İlkesi.

Özet

Sertifika yetkilileri (CA' lar), bir kuruluşun ortak anahtar altyapısının (PKI) merkezi bileşenidir. CA'lar uzun yıllar veya on yıllar boyunca var olacak şekilde yapılandırılır ve bu süre boyunca CA'yı barındıran donanım büyük olasılıkla yükseltilir.

Not

Bir CA'yı Windows 2000 Server çalıştıran bir sunucudan Windows Server 2003 çalıştıran bir sunucuya taşımak için, önce Windows 2000 Server çalıştıran CA sunucusunu Windows Server 2003'e yükseltmeniz gerekir. Ardından bu makalede açıklanan adımları izleyebilirsiniz.

Hedef sunucunun %Systemroot% değerinin, sistem durumu yedeklemesinin alındığı sunucunun %Systemroot% ile eşleştiğinden emin olun.

CA sunucu bileşenlerini yüklerken CA dosyalarının yolunu değiştirerek yedeklemenin konumuyla eşleşmesini sağlayın. Örneğin, D:\Winnt\System32\Certlog klasöründen yedekleme yaparsanız, yedeklemeyi D:\Winnt\System32\Certlog klasörüne geri yüklemeniz gerekir. Yedeklemeyi C:\Winnt\System32\Certlog klasörüne geri yükleyemezsiniz. Yedeklemeyi geri yükledikten sonra CA veritabanı dosyalarını varsayılan konuma taşıyabilirsiniz.

Yedeklemeyi geri yüklemeyi denerseniz ve yedeklemenin %Systemroot% değeriyle hedef sunucu eşleşmezse, aşağıdaki hata iletisini alabilirsiniz:

Artımlı görüntünün geri yüklenmesi, tam bir görüntüden geri yükleme işlemi gerçekleştirilmeden önce gerçekleştirilemez. Dizin adı geçersiz. 0x8007010b (WIN32/HTTP:267)

Sertifika Hizmetleri'ni 32 bit işletim sisteminden 64 bit işletim sistemine (veya tersi) taşıma işlemi aşağıdaki hata iletilerinden biriyle başarısız olabilir:

Beklenen veriler bu dizinde yok.

Artımlı görüntünün geri yüklenmesi, tam görüntü 0x8007010b geri yükleme gerçekleştirilmeden önce gerçekleştirilemez (WIN32/HTTP:267)

Veritabanı biçimi 32 bit sürümden 64 bit sürüme değişirse uyumsuzluklara neden olur ve geri yükleme engellenir. Bu, Windows 2000'den Windows Server 2003 CA'ya taşımaya benzer. Ancak, Windows Server 2003'ün 32 bit sürümünden 64 bit sürümüne yükseltme yolu yoktur. Bu nedenle, mevcut bir 32 bit veritabanını Windows Server 2003 tabanlı bir bilgisayardaki 64 bit veritabanına taşıyamazsınız. Ancak, Windows Server 2003 CA'dan (Windows Server 2003 x86 üzerinde çalışan) Windows Server 2008 R2 CA'ya (Windows Server 2008 R2 x64 üzerinde çalışır) yükseltebilirsiniz. Bu yükseltme desteklenir.

Windows Server 2003 R2 CD2'nin x64 tabanlı bir sürümü, Windows Server 2003'ün YALNıZCA EM64T mimarisini veya AMD64 mimarisini temel alan 64 bit sürümlerini güncelleştirir.

Sertifika yetkilisi anahtarlarını ve veritabanını yedekleme ve geri yükleme

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'ta kayıt defterini yedekleme ve geri yükleme.

  1. Sertifika Yetkilisi ek bileşenindeki Sertifika Şablonları klasöründe yapılandırılan sertifika şablonlarına dikkat edin. Sertifika Şablonları ayarları Active Directory'de depolanır. Bunlar otomatik olarak yedeklenmez. Aynı şablon kümesini korumak için yeni CA'da Sertifika Şablonları ayarlarını el ile yapılandırmanız gerekir.

    Not

    Sertifika Şablonları klasörü yalnızca kurumsal CA'da bulunur. Tek başına CA'lar sertifika şablonlarını kullanmaz. Bu nedenle, bu adım tek başına CA için geçerli değildir.

  2. CA veritabanını ve özel anahtarı yedeklemek için Sertifika Yetkilisi ek bileşenini kullanın. Bunu yapmak için şu adımları uygulayın:

    1. Sertifika Yetkilisi ek bileşeninde CA adına sağ tıklayın, Tüm Görevler'e tıklayın ve ardından Sertifika Yetkilisi Yedekleme Sihirbazı'nı başlatmak için CA'yı yedekle'ye tıklayın.
    2. İleri'ye ve ardından Özel anahtar ve CA sertifikası'ne tıklayın.
    3. Sertifika veritabanı ve sertifika veritabanı günlüğü'ne tıklayın.
    4. Yedekleme konumu olarak boş bir klasör kullanın. Yedekleme klasörüne yeni sunucu tarafından erişilebildiğinden emin olun.
    5. İleri'ye tıklayın. Belirtilen yedekleme klasörü yoksa, Sertifika Yetkilisi Yedekleme Sihirbazı tarafından oluşturulur.
    6. CA özel anahtar yedekleme dosyası için bir parola yazın ve onaylayın.
    7. İleri'ye tıklayın ve yedekleme ayarlarını doğrulayın. Aşağıdaki ayarlar görüntülenmelidir:
      • Özel Anahtar ve CA Sertifikası
      • Verilen Günlük ve Bekleyen İstekler
    8. Son'a tıklayın.

  3. Bu CA için kayıt defteri ayarlarını kaydedin. Bunu yapmak için şu adımları uygulayın:

    1. Başlat'a tıklayın, Çalıştır'a tıklayın, kutusuna regedit yazın ve ardından Tamam'a tıklayın.
    2. Aşağıdaki kayıt defteri alt anahtarını bulun ve ardından anahtara sağ tıklayın:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Dışarı Aktar'a tıklayın.
    4. Kayıt defteri dosyasını, 2b. adımda tanımladığınız CA yedekleme klasörüne kaydedin.

    Not

    Varsayılan olarak, Active Directory Sertifika Hizmetleri (AD CS), yolda CA bilgisayar ana bilgisayar adını içeren sertifika iptal listesi (CRL) Dağıtım Noktası uzantılarıyla yapılandırılır. Bu, geçiş öncesinde CA tarafından verilen tüm sertifikaların eski ana bilgisayar adına sahip sertifika doğrulama yollarını içerebileceği anlamına gelir. Geçiş sonrasında bu yollar artık geçerli olmayabilir. İptal denetimi hatalarını önlemek için, yeni CA'nın CRL'leri eski (geçiş öncesi) yollara ve yeni yollara yayımlayacak şekilde yapılandırılması gerekir. Eski CA'yı kalıcı olarak silmeniz gerekiyorsa, yeni CA'ya ikinci bir bilgisayar adı ekleyebilirsiniz. Bunu yapmadan önce, eski bilgisayar adının Active Directory'de kullanılabilir olması gerekir. Bu noktada, CRL Dağıtım Noktalarını yeni CA'ya ekleyebilirsiniz.

  4. Eski CA'da CRL Dağıtım Noktası'nı denetleyin. Bu ayarların yeni CA'da yapılandırılması gerekir.

    1. Eski CA'da cmd.exe açın.
    2. girin pkiview.
    3. Yapılandırmayı dışarı aktarın.

  5. Eski sunucudan Sertifika Hizmetleri'ni kaldırın.

    Not

    Bu adım, Active Directory'den nesneleri kaldırır. Bu adımı sırayla gerçekleştirmayın. Kaynak CA'nın kaldırılması hedef CA yüklendikten sonra gerçekleştirilirse (bu bölümdeki 7. adım), hedef CA kullanılamaz hale gelir.

  6. Eski sunucuyu yeniden adlandırın veya ağ bağlantısını kalıcı olarak kesin.

  7. Sertifika Hizmetleri'ni yeni sunucuya yükleyin. Bunu yapmak için şu adımları uygulayın.

    Not

    Yeni sunucu, eski sunucuyla aynı bilgisayar adına sahip olmalıdır.

    1. Denetim Masası'da Program Ekle veya Kaldır'a çift tıklayın.
    2. Windows Bileşenleri Ekle/Kaldır'a tıklayın, Windows Bileşenleri Sihirbazı'nda Sertifika Hizmetleri'ne ve ardından İleri'ye tıklayın.
    3. CA Türü iletişim kutusunda uygun CA türüne tıklayın.
    4. Anahtar çiftini ve CA sertifikasını oluşturmak için Özel ayarları kullan'a ve ardından İleri'ye tıklayın.
    5. İçeri Aktar'a tıklayın, yolunu yazın. Yedekleme klasöründeki P12 dosyası, 2f adımında seçtiğiniz parolayı yazın ve tamam'a tıklayın.
    6. Ortak ve Özel Anahtar Çifti iletişim kutusunda Varolan anahtarları kullan seçeneğinin işaretli olduğunu doğrulayın.
    7. İleri'ye iki kez tıklayın.
    8. Sertifika Veritabanı Ayarları varsayılan ayarlarını kabul edin, İleri'ye tıklayın ve ardından Son'a tıklayarak Sertifika Hizmetleri yüklemesini tamamlayın.

    Önemli

    Yeni sunucunun farklı bir bilgisayar adı varsa şu adımları izleyin:

    1. Denetim Masası'da Program Ekle veya Kaldır'a çift tıklayın.
    2. Windows Bileşenleri Ekle/Kaldır'a tıklayın, Windows Bileşenleri Sihirbazı'nda Sertifika Hizmetleri'ne ve ardından İleri'ye tıklayın.
    3. CA Türü iletişim kutusunda uygun CA türüne tıklayın.
    4. Anahtar çiftini ve CA sertifikasını oluşturmak için Özel ayarları kullan'a ve ardından İleri'ye tıklayın.
    5. İçeri Aktar'a tıklayın, yolunu yazın. Yedekleme klasöründeki P12 dosyası, 2f adımında seçtiğiniz parolayı yazın ve tamam'a tıklayın.
    6. Ortak ve Özel Anahtar Çifti iletişim kutusunda Varolan anahtarları kullan seçeneğinin işaretli olduğunu doğrulayın.
    7. İleri'ye iki kez tıklayın.
    8. Sertifika Veritabanı Ayarları varsayılan ayarlarını kabul edin, İleri'ye tıklayın ve ardından Son'a tıklayarak Sertifika Hizmetleri yüklemesini tamamlayın.
    9. 3. adımda daha önce dışarı aktarılan Kayıt Defteri Anahtarını şu şekilde değiştirin:
      1. Dışarı aktarılan anahtara sağ tıklayın.
      2. Düzenle.
      3. CAServerName değerini yeni Sunucu adıyla değiştirin.
      4. Kaydet ve Kapat'ı seçin.

  8. Sertifika Hizmetleri hizmetini durdurun.

  9. 3. adımda kaydettiğiniz kayıt defteri dosyasını bulun ve kayıt defteri ayarlarını içeri aktarmak için çift tıklayın. Eski CA'dan kayıt defteri dışarı aktarmada gösterilen yol yeni yoldan farklıysa, kayıt defteri dışarı aktarmanızı buna göre ayarlamanız gerekir. Varsayılan olarak, Windows Server 2003'te yeni yol C:\Windows'tır .

  10. CA veritabanını geri yüklemek için Sertifika Yetkilisi ek bileşenini kullanın. Bunu yapmak için şu adımları uygulayın:

    1. Sertifika Yetkilisi ek bileşeninde CA adına sağ tıklayın, Tüm Görevler'e ve ardından CA'yı Geri Yükle'ye tıklayın.

      Sertifika Yetkilisi Geri Yükleme Sihirbazı başlatılır.

    2. İleri'ye ve ardından Özel anahtar ve CA sertifikası'ne tıklayın.

    3. Sertifika veritabanı ve sertifika veritabanı günlüğü'ne tıklayın.

    4. Yedekleme klasörü konumunu yazın ve İleri'ye tıklayın.

    5. Yedekleme ayarlarını doğrulayın. Verilen Günlük ve Bekleyen İstekler ayarları görüntülenmelidir.

    6. Ca veritabanı geri yüklendiğinde Sertifika Hizmetleri'ni yeniden başlatmak için Son'a tıklayın ve ardından Evet'e tıklayın.

    CA yedekleme klasörü doğru klasör yapısı biçiminde değilse, CA geri yükleme işlemi sırasında aşağıdaki hatayı alabilirsiniz:

    ---------------------------
    Microsoft Sertifika Hizmetleri
    ---------------------------

    Beklenen veriler bu dizinde yok.
    Lütfen farklı bir dizin seçin. Dizin adı geçersiz. 0x8007010b (WIN32/HTTP: 267)

    Doğru klasör yapısı aşağıdaki gibidir:

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    Burada C:\Ca_Backup, 2. adımda Ca Yedekleme aşamasında seçtiğiniz klasördür.

  11. Sertifika Yetkilisi ek bileşeninde, 1. adımda not ettiğiniz Sertifika Şablonları ayarlarını yinelemek için sertifika şablonlarını el ile ekleyin veya kaldırın.

Not

Yeni Şablonları veya Özel Şablonları yayımlamayla ilgili sorunlarla karşılaşırsanız aşağıdaki adımları izleyin.

  1. CA rolünü geçirdiğiniz ormandaki bir Etki Alanı Denetleyicisinden ADSI Düzenleme'yi başlatın.
  2. ADSI Düzenle - Bağlan ->>İyi bilinen bir Adlandırma Bağlamı seçin bölümünde Yapılandırma -> Tamam'ı seçin.
  3. CN=Yapılandırma | adresine gidin CN=Hizmetler | CN=Ortak Anahtar Hizmetleri | CN=Kayıt Hizmetleri.
  4. Sağ bölmede kaydetmek istediğiniz CA'ya sağ tıklayın ve Özellikler'e tıklayın. flags özniteliğini bulun; ve 10 olarak ayarlandığını doğrulayın.
  5. Değilse, 10 olarak ayarlayın ve Active Directory çoğaltmasını bekleyin veya el ile zorlayın.
  6. ADSI Düzenleme'yi kapatın ve CA Sunucunuzdan artık yeni Şablonlarınızı yayımlayabildiğinizden emin olun.

Windows 2000 Server'da sertifika yetkilisi anahtarlarını ve veritabanını yedekleme ve geri yükleme

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'ta kayıt defterini yedekleme ve geri yükleme.

  1. Sertifika Yetkilisi ek bileşenindeki Sertifika Şablonları klasöründe yapılandırılan sertifika şablonlarına dikkat edin. Sertifika Şablonları ayarları Active Directory'de depolanır. Bunlar otomatik olarak yedeklenmez. Aynı şablon kümesini korumak için yeni CA'da Sertifika Şablonları ayarlarını el ile yapılandırmanız gerekir.

    Not

    Sertifika Şablonları klasörü yalnızca kurumsal CA'da bulunur. Tek başına CA'lar sertifika şablonlarını kullanmaz. Bu nedenle, bu adım tek başına CA için geçerli değildir.

  2. CA veritabanını ve özel anahtarı yedeklemek için Sertifika Yetkilisi ek bileşenini kullanın. Bunu yapmak için şu adımları uygulayın:

    1. Sertifika Yetkilisi ek bileşeninde CA adına sağ tıklayın, Tüm Görevler'e tıklayın ve ardından Sertifika Yetkilisi Yedekleme Sihirbazı'nı başlatmak için CA'yı yedekle'ye tıklayın.
    2. İleri'ye ve ardından Özel anahtar ve CA sertifikası'ne tıklayın.
    3. Verilen sertifika günlüğü ve bekleyen sertifika isteği kuyruğu'ne tıklayın.
    4. Yedekleme konumu olarak boş bir klasör kullanın. Yedekleme klasörüne yeni sunucu tarafından erişilebildiğinden emin olun.
    5. İleri'ye tıklayın. Belirtilen yedekleme klasörü yoksa, Sertifika Yetkilisi Yedekleme Sihirbazı tarafından oluşturulur.
    6. CA özel anahtar yedekleme dosyası için bir parola yazın ve onaylayın.
    7. İleri'ye iki kez tıklayın ve yedekleme ayarlarını doğrulayın. Aşağıdaki ayarlar görüntülenmelidir:
      • Özel Anahtar ve CA Sertifikası
      • Verilen Günlük ve Bekleyen İstekler
    8. Son'a tıklayın.

  3. Bu CA için kayıt defteri ayarlarını kaydedin. Bunu yapmak için şu adımları uygulayın:

    1. Başlat'a tıklayın, Çalıştır'a tıklayın, kutusuna regedit yazın ve ardından Tamam'a tıklayın.
    2. Aşağıdaki kayıt defteri alt anahtarını bulun ve sağ tıklayın: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Yapılandırma'ya ve ardından Kayıt Defteri menüsünde Kayıt Defteri Dosyasını Dışarı Aktar'a tıklayın.
    4. Kayıt defteri dosyasını, 2b. adımda tanımladığınız CA yedekleme klasörüne kaydedin.

  4. Eski CA'da CRL Dağıtım Noktası'nı denetleyin. Bu ayarların yeni CA'da yapılandırılması gerekir.

    1. Eski CA'da cmd.exe açın.
    2. girin pkiview.
    3. Yapılandırmayı dışarı aktarın.

  5. Eski sunucudan Sertifika Hizmetleri'ni kaldırın.

    Not

    Bu adım, Active Directory'den nesneleri kaldırır. Bu adımı sırayla gerçekleştirmayın. Kaynak CA'nın kaldırılması hedef CA yüklendikten sonra gerçekleştirilirse (bu bölümdeki 7. adım), hedef CA kullanılamaz hale gelir.

  6. Eski sunucuyu yeniden adlandırın veya ağ bağlantısını kalıcı olarak kesin.

  7. Sertifika Hizmetleri'ni yeni sunucuya yükleyin. Bunu yapmak için şu adımları uygulayın.

    Not

    Yeni sunucu, eski sunucuyla aynı bilgisayar adına sahip olmalıdır.

    1. Denetim Masası'da Program Ekle/Kaldır'a çift tıklayın.
    2. Windows Bileşenleri Ekle/Kaldır'a tıklayın, Windows Bileşenleri Sihirbazı'nda Sertifika Hizmetleri'ne ve ardından İleri'ye tıklayın.
    3. Sertifika Yetkilisi Türü iletişim kutusunda uygun CA türüne tıklayın.
    4. Gelişmiş Seçenekler'e ve ardından İleri'ye tıklayın.
    5. Ortak ve Özel Anahtar Çifti iletişim kutusunda Var olan anahtarları kullan'a ve ardından İçeri Aktar'a tıklayın.
    6. yolunu yazın. Yedekleme klasöründeki P12 dosyası, 2f adımında seçtiğiniz parolayı yazın ve tamam'a tıklayın.
    7. İleri'ye tıklayın, uygunsa bir CA açıklaması yazın ve İleri'ye tıklayın.
    8. Veri Depolama Konumu varsayılan ayarlarını kabul edin, İleri'ye tıklayın ve ardından Son'a tıklayarak Sertifika Hizmetleri yüklemesini tamamlayın.

  8. Sertifika Hizmetleri hizmetini durdurun.

  9. 3. adımda kaydettiğiniz kayıt defteri dosyasını bulun ve kayıt defteri ayarlarını içeri aktarmak için çift tıklayın.

  10. CA veritabanını geri yüklemek için Sertifika Yetkilisi ek bileşenini kullanın. Bunu yapmak için şu adımları uygulayın:

    1. Sertifika Yetkilisi ek bileşeninde CA adına sağ tıklayın, Tüm Görevler'e ve ardından CA'yı Geri Yükle'ye tıklayın.

      Sertifika Yetkilisi Geri Yükleme Sihirbazı başlatılır.

    2. İleri'ye tıklayın ve ardından Verilen sertifika günlüğü ve bekleyen sertifika isteği kuyruğu'a tıklayın.

    3. Yedekleme klasörü konumunu yazın ve İleri'ye tıklayın.

    4. Yedekleme ayarlarını doğrulayın. Aşağıdaki ayarlar görüntülenmelidir:

      • Verilen Günlük
      • Bekleyen İstekler

    5. Ca veritabanı geri yüklendiğinde Sertifika Hizmetleri'ni yeniden başlatmak için Son'a tıklayın ve ardından Evet'e tıklayın.

  11. Sertifika Yetkilisi ek bileşeninde, 1. adımda not ettiğiniz Sertifika Şablonları ayarlarını yinelemek için sertifika şablonlarını el ile ekleyin veya kaldırın.

Daha fazla bilgi

Windows Server 2003 ve Windows Server 2008 için yükseltme ve geçiş senaryoları hakkında daha fazla bilgi için "Active Directory Sertifika Hizmetleri Yükseltme ve Geçiş Kılavuzu" teknik incelemesine bakın. Teknik incelemeyi görmek için bkz. Active Directory Sertifika Hizmetleri Yükseltme ve Geçiş Kılavuzu.