Udostępnij przez

Migrowanie urzędu certyfikacji

Migrowanie urzędu certyfikacji zapewnia ciągłość usług certyfikatów organizacji. Ten przewodnik zawiera instrukcje krok po kroku i najlepsze rozwiązania dotyczące pomyślnego migrowania urzędu certyfikacji. Obejmuje ona podstawowe zadania, takie jak tworzenie kopii zapasowej bazy danych urzędu certyfikacji i klucza prywatnego, usuwanie usługi roli urzędu certyfikacji z serwera źródłowego i przywracanie urzędu certyfikacji na serwerze docelowym. Niezależnie od tego, czy korzystasz z Przystawki Urzędu Certyfikacji, interfejsu Windows PowerShell, czy narzędzi wiersza polecenia, takich jak Certutil, przewodnik ten zawiera szczegółowe instrukcje dostosowane do różnych scenariuszy migracyjnych. Postępuj zgodnie z tymi instrukcjami, aby zapewnić bezproblemowy i bezpieczny proces migracji.

Prerequisites

Przed przeprowadzeniem migracji urzędu certyfikacji upewnij się, że zostały spełnione następujące wymagania wstępne.

Musisz mieć:

  • Dostęp administracyjny zarówno dla serwerów źródłowych, jak i docelowych. Upewnij się, że jesteś członkiem grupy Administratorzy przedsiębiorstwa lub Administratorzy domeny w przypadku firmowych urzędów certyfikacji.
  • Dostęp do narzędzi, takich jak przystawka Urząd certyfikacji, program PowerShell lub narzędzie Certutil do wykonywania kopii zapasowych i przywracania.
  • Bezpieczna i dostępna lokalizacja do przechowywania plików kopii zapasowych. Upewnij się, że lokalizacja jest chroniona przed nieautoryzowanym dostępem.
  • Łączność sieciowa między serwerami źródłowymi i docelowymi.
  • W przypadku klastra przełączania awaryjnego:
    • Skonfigurowana i dostępna pamięć współdzielona.
    • Węzły klastra, które są prawidłowo skonfigurowane i mają przyznane uprawnienia.

Wykonując te wymagania wstępne, możesz zapewnić bezproblemową i bezpieczną migrację urzędu certyfikacji.

Wykonywanie kopii zapasowych

Zanim rozpoczniesz migrację urzędu certyfikacji, najpierw utwórz kopię zapasową:

  • Baza danych urzędu certyfikacji
  • Klucze prywatne
  • Ustawienia rejestru urzędu certyfikacji
  • Plik CAPolicy.inf
  • Lista szablonów CA (wymagana tylko dla CA przedsiębiorstwa)

Przed rozpoczęciem usuwania roli CA należy również opublikować listę CRL z przedłużonym okresem ważności.

Tworzenie kopii zapasowej bazy danych urzędu certyfikacji i klucza prywatnego

Możesz utworzyć kopię zapasową bazy danych urzędu certyfikacji i klucza prywatnego przy użyciu przystawki Urząd certyfikacji, programu PowerShell lub narzędzia Certutil. Wykonaj jedną z procedur tworzenia kopii zapasowych opisanych w tej sekcji, podczas logowania się do źródłowego CA.

Musisz użyć konta, które jest administratorem Centrum Certyfikacji. W urzędzie certyfikacji przedsiębiorstwa domyślna konfiguracja dla administratorów urzędu certyfikacji obejmuje lokalną grupę Administratorzy, grupę Administratorzy przedsiębiorstwa i grupę Administratorzy domeny. W autonomicznym urzędzie certyfikacji domyślna konfiguracja dla administratorów urzędu certyfikacji obejmuje lokalną grupę Administratorzy.

Note

Jeśli sprzętowy moduł zabezpieczeń (HSM) jest używany przez urząd certyfikacji, wykonaj kopię zapasową kluczy prywatnych, postępując zgodnie z procedurami dostarczonymi przez dostawcę modułu HSM.

Po wykonaniu kroków tworzenia kopii zapasowej należy zatrzymać usługę usług certyfikatów Active Directory (Certsvc), aby zapobiec wystawianiu większej liczby certyfikatów. Przed dodaniem usługi roli urzędu certyfikacji do serwera docelowego należy usunąć usługę roli urzędu certyfikacji z serwera źródłowego.

Pliki kopii zapasowej utworzone podczas tych procedur powinny być przechowywane w tej samej lokalizacji, aby uprościć migrację. Lokalizacja powinna być dostępna z serwera docelowego.

W poniższych krokach opisano, jak wykonać kopię zapasową bazy danych urzędu certyfikacji i klucza prywatnego, rozpoczynając od uruchomienia Menedżera serwera i korzystając z przystawki Urząd certyfikacji.

  1. W razie potrzeby wybierz lokalizację kopii zapasowej i dołącz nośnik.

  2. Zaloguj się do źródłowego urzędu certyfikacji.

  3. W Menedżerze serwera wybierz pozycję Narzędzia, a następnie pozycję Urząd certyfikacji , aby otworzyć przystawkę.

  4. Kliknij prawym przyciskiem myszy węzeł o nazwie urzędu certyfikacji, wskaż pozycję Wszystkie zadania, a następnie wybierz pozycję Utwórz kopię zapasową urzędu certyfikacji.

  5. Na stronie Powitalnej kreatora tworzenia kopii zapasowej urzędu certyfikacji wybierz pozycję Dalej.

  6. Na stronie Elementy do utworzenia kopii zapasowej zaznacz pola wyboru klucz prywatny oraz certyfikat AC, baza danych certyfikatów i dziennik bazy danych certyfikatów, określ lokalizację kopii zapasowej, a następnie kliknij Dalej.

  7. Na stronie Wybierz hasło wpisz hasło, aby chronić klucz prywatny urzędu certyfikacji, a następnie wybierz przycisk Dalej.

  8. Na stronie Kończenie pracy Kreatora tworzenia kopii zapasowych wybierz pozycję Zakończ.

  9. Po zakończeniu tworzenia kopii zapasowej sprawdź następujące pliki w określonej lokalizacji:

    • CAName.p12 zawierający certyfikat urzędu certyfikacji i klucz prywatny

    • Folder bazy danych zawierający pliki certbkxp.dat, edb#####.log i CAName.edb

  10. Otwórz okno wiersza polecenia i wpisz net stop certsvc , aby zatrzymać usługę usług certyfikatów Active Directory.

  11. Skopiuj wszystkie pliki kopii zapasowej do lokalizacji dostępnej z serwera docelowego; na przykład udział sieciowy lub nośnik wymienny.

Tworzenie kopii zapasowej ustawień rejestru urzędu certyfikacji

Wykonaj jedną z poniższych procedur, aby utworzyć kopię zapasową ustawień rejestru urzędu certyfikacji.

Pliki utworzone podczas procedury tworzenia kopii zapasowej powinny być przechowywane w tej samej lokalizacji co pliki kopii zapasowej bazy danych i kluczy prywatnych w celu uproszczenia migracji. Lokalizacja powinna być dostępna z serwera docelowego; na przykład nośnik wymienny lub folder udostępniony na serwerze docelowym lub innym elemencie członkowskim domeny.

Musisz zalogować się do źródłowego urzędu certyfikacji przy użyciu konta, które jest członkiem lokalnej grupy Administratorzy.

Tworzenie kopii zapasowej ustawień rejestru urzędu certyfikacji przy użyciu Regedit.exe

  1. Wybierz pozycję Start, wskaż polecenie Uruchom i wpisz regedit , aby otworzyć Edytor rejestru.

  2. W HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvckliknij prawym przyciskiem myszy pozycję Konfiguracja, a następnie wybierz polecenie Eksportuj.

  3. Określ lokalizację i nazwę pliku, a następnie wybierz pozycję Zapisz. Spowoduje to utworzenie pliku rejestru zawierającego dane konfiguracji urzędu certyfikacji ze źródłowego urzędu certyfikacji.

  4. Skopiuj plik rejestru do lokalizacji dostępnej z serwera docelowego; na przykład folder udostępniony lub nośnik wymienny.

Tworzenie kopii zapasowej ustawień rejestru urzędu certyfikacji przy użyciu Reg.exe

  1. Otwórz okno wiersza polecenia.

  2. Wpisz reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration<output file>.reg i naciśnij ENTER.

  3. Skopiuj plik rejestru do lokalizacji dostępnej z serwera docelowego; na przykład folder udostępniony lub nośnik wymienny.

Utwórz kopię zapasową pliku CAPolicy.inf

Jeśli źródłowy urząd certyfikacji używa niestandardowego pliku CAPolicy.inf, należy skopiować plik do tej samej lokalizacji co źródłowe pliki kopii zapasowej urzędu certyfikacji.

Plik CAPolicy.inf znajduje się w katalogu %SystemRoot%, który jest zwykle C:\Windows.

Tworzenie kopii zapasowej listy szablonów CA

Urząd certyfikacji przedsiębiorstwa może mieć przypisane do niego szablony certyfikatów. Należy zarejestrować przypisane szablony certyfikatów przed rozpoczęciem migracji urzędu certyfikacji. Informacje nie są zabezpieczone kopią zapasową bazy danych CA ani kopii zapasowej ustawień rejestru. Dzieje się tak, ponieważ szablony certyfikatów i ich skojarzenie z urzędami certyfikacji przedsiębiorstwa są przechowywane w usługach AD DS. Aby ukończyć migrację urzędu certyfikacji, należy dodać tę samą listę szablonów do serwera docelowego.

Note

Ważne jest, aby szablony certyfikatów przypisane do źródłowego urzędu certyfikacji nie zostały zmienione po zakończeniu tej procedury.

Szablony certyfikatów przypisane do urzędu certyfikacji można określić za pomocą przystawki Urząd certyfikacji lub Certutil.exe –catemplates polecenia.

Rejestrowanie listy szablonów urzędu certyfikacji przy użyciu przystawki Urząd certyfikacji

  1. Zaloguj się przy użyciu lokalnych poświadczeń administracyjnych na komputerze urzędu certyfikacji.

  2. Otwórz przystawkę Urzędu certyfikacji.

  3. W drzewie konsoli rozwiń węzeł Urząd certyfikacji i wybierz pozycję Szablony certyfikatów.

  4. Zarejestruj listę szablonów certyfikatów, wykonując zrzut ekranu lub wpisując listę w pliku tekstowym.

Zarejestruj listę szablonów centrum certyfikacji przy użyciu Certutil.exe

  1. Zaloguj się przy użyciu lokalnych poświadczeń administracyjnych na komputerze urzędu certyfikacji.

  2. Otwórz okno wiersza polecenia.

  3. Wpisz następujące polecenie i naciśnij ENTER.

    certutil.exe –catemplates > catemplates.txt

  4. Sprawdź, czy plik catemplates.txt zawiera listę szablonów.

Note

Jeśli do urzędu certyfikacji nie przypisano żadnych szablonów certyfikatów, plik zawiera komunikat o błędzie: 0x80070490 (nie znaleziono elementu).

Opublikuj listę CRL z wydłużonym okresem ważności

Przed rozpoczęciem migracji urzędu certyfikacji (CA) dobrą praktyką jest opublikowanie listy odwołanych certyfikatów (CRL) z okresem ważności, który wykracza poza planowany okres migracji. Okres ważności listy CRL powinien wynosić co najmniej czas, który jest planowany na migrację. Jest to konieczne, aby umożliwić kontynuowanie procesów weryfikacji certyfikatów na komputerach klienckich w okresie migracji.

Należy opublikować CRL z przedłużonym okresem ważności dla każdego urzędu certyfikacji w trakcie migracji. Ta procedura jest szczególnie ważna w przypadku głównego urzędu certyfikacji ze względu na potencjalnie dużą liczbę certyfikatów, na które wpływa niedostępność listy unieważnionych certyfikatów (CRL).

Domyślnie okres ważności listy CRL jest równy okresowi publikowania listy CRL plus 10 procent. Po określeniu odpowiedniego okresu ważności listy CRL ustaw interwał publikowania listy CRL i ręcznie opublikuj listę CRL, wykonując następujące procedury: Zaplanuj publikację listy odwołania certyfikatów i ręcznie opublikuj listę odwołania certyfikatów.

Important

Zanotuj wartość okresu publikowania listy CRL przed jego zmianą. Po zakończeniu migracji okres publikowania listy CRL powinien zostać zresetowany do poprzedniej wartości. Komputery klienckie pobierają nową listę CRL dopiero po wygaśnięciu okresu ważności lokalnie buforowanej listy CRL. Dlatego nie należy używać okresu ważności listy CRL, który jest zbyt długi.

Usuń usługę roli urzędu certyfikacji z serwera źródłowego

Należy usunąć usługę roli urzędu certyfikacji z serwera źródłowego po wykonaniu procedur tworzenia kopii zapasowej i przed zainstalowaniem usługi roli urzędu certyfikacji na serwerze docelowym. Urzędy certyfikacji korporacyjne i autonomiczne urzędy certyfikacji, które są członkami domeny, przechowują dane konfiguracji w usługach Active Directory Domain Services (AD DS), które są skojarzone z nazwą zwyczajową urzędu certyfikacji. Usunięcie usługi roli urzędu certyfikacji spowoduje również usunięcie danych konfiguracji urzędów certyfikacji z usług AD DS. Ponieważ źródłowy urząd certyfikacji i docelowy urząd certyfikacji mają taką samą nazwę pospolitą, usunięcie usługi roli urzędu certyfikacji z serwera źródłowego po zainstalowaniu usługi roli urzędu certyfikacji na serwerze docelowym usuwa dane konfiguracji wymagane przez docelowy urząd certyfikacji i zakłóca jego działanie.

Baza danych urzędu certyfikacji, klucz prywatny i certyfikat nie są usuwane z serwera źródłowego przez usunięcie usługi roli urzędu certyfikacji. W związku z tym ponowne zainstalowanie usługi roli urzędu certyfikacji na serwerze źródłowym przywraca źródłowy urząd certyfikacji, jeśli migracja zakończy się niepowodzeniem i wykonanie wycofywania jest wymagane.

Warning

Mimo że nie jest to zalecane, niektórzy administratorzy mogą pozostawić usługę roli urzędu certyfikacji zainstalowaną na serwerze źródłowym, aby umożliwić szybkie przełączenie źródłowego urzędu certyfikacji w tryb online w przypadku niepowodzenia migracji. Jeśli nie chcesz usuwać usługi roli urzędu certyfikacji z serwera źródłowego przed zainstalowaniem usługi roli urzędu certyfikacji na serwerze docelowym, należy wyłączyć usługę Active Directory Certificate Services (Certsvc) i wyłączyć serwer źródłowy przed zainstalowaniem usługi roli urzędu certyfikacji na serwerze docelowym. Nie należy usuwać usługi roli urzędu certyfikacji z serwera źródłowego po zakończeniu migracji na serwer docelowy.

Aby usunąć usługę roli urzędu certyfikacji, użyj Kreatora usuwania ról i funkcji w Menedżerze serwera.

  1. W Menedżerze serwera wybierz pozycję Zarządzaj, a następnie usuń role i funkcje.
  2. Wybierz przycisk Dalej w kreatorze, dopóki nie nastąpi powrót do ról serwera.
  3. W obszarze Role serwera w obszarze Usługi certyfikatów Active Directory usuń zaznaczenie pola wyboru Urząd certyfikacji.
  4. Upewnij się, że chcesz również usunąć funkcje wymagające urzędu certyfikacji.
  5. Wybierz przycisk Dalej , dopóki nie zostanie wyświetlona strona Potwierdzenie. Następnie wybierz pozycję Usuń.
  6. Potwierdź, że rola została pomyślnie usunięta.

Usuwanie serwera źródłowego z domeny

Ponieważ nazwy komputerów muszą być unikatowe w domenie usługi Active Directory, należy usunąć serwer źródłowy z domeny i usunąć skojarzone konto komputera z usługi Active Directory przed dołączeniem serwera docelowego do domeny.

Wykonaj poniższą procedurę, aby usunąć serwer źródłowy z domeny.

Usuwanie serwera źródłowego z domeny przy użyciu programu PowerShell

Użyj polecenia cmdlet programu Windows PowerShell Remove-ADComputer , aby usunąć konto komputera z usług AD DS.

Aby usunąć określony komputer z usługi Active Directory, użyj następującego polecenia:

Remove-ADComputer -Identity "COMPUTER_IDENTITY"

Parametr -Identity służy do określania obiektu komputera usługi Active Directory przez podanie jednej z następujących wartości właściwości: nazwa wyróżniająca, identyfikator GUID ga (objectGUID), identyfikator zabezpieczeń (objectSid) lub nazwa konta menedżera kont zabezpieczeń (sAMAccountName).

Przyłącz serwer docelowy do domeny

Przed dołączeniem serwera docelowego do domeny zmień nazwę komputera na taką samą nazwę jak serwer źródłowy. Następnie wykonaj procedurę dołączenia serwera docelowego do domeny.

Jeśli serwer docelowy jest uruchomiony w opcji instalacji Server Core, należy użyć procedury wiersza polecenia.

Aby zmienić nazwę serwera docelowego, musisz być członkiem lokalnej grupy Administratorzy. Aby dołączyć serwer do domeny, musisz być członkiem grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa lub mieć delegowane uprawnienia do dołączenia serwera docelowego do jednostki organizacyjnej w domenie.

Important

Jeśli migrujesz autonomiczny urząd certyfikacji, który nie jest członkiem domeny, wykonaj tylko kroki zmiany nazwy serwera docelowego i nie dołączaj serwera docelowego do domeny.

Przyłącz serwer docelowy do domeny przy użyciu programu PowerShell

  1. Na serwerze docelowym otwórz okno programu PowerShell z podwyższonym poziomem uprawnień.

  2. Użyj polecenia cmdlet Rename-Computer , wpisując:

    Rename-Computer -NewName "NEW_COMPUTER_NAME" -DomainCredential Domain01\Admin01 -Restart

  3. Po ponownym uruchomieniu serwera docelowego zaloguj się przy użyciu konta, które ma uprawnienia do dołączania komputerów do domeny.

  4. Otwórz okno programu PowerShell z podwyższonym poziomem uprawnień i użyj polecenia cmdlet Add-Computer , aby dodać komputer do domeny.

    Add-Computer -DomainName Domain01 -Restart

Dodawanie usługi roli urzędu certyfikacji do serwera docelowego

W tej sekcji opisano dwie różne procedury dodawania usługi roli urzędu certyfikacji do serwera docelowego, w tym specjalne instrukcje dotyczące korzystania z klastrowania z przełączaniem awaryjnym.

Zapoznaj się z poniższymi instrukcjami, aby określić, które procedury należy wykonać.

  • Jeśli na serwerze docelowym jest uruchomiona opcja instalacji Server Core, możesz użyć programu Windows PowerShell do zainstalowania urzędu certyfikacji przy użyciu polecenia cmdlet Install-AdcsCertificationAuthority.

  • Jeśli przeprowadzasz migrację do urzędu certyfikacji korzystającego z modułu HSM, wykonaj procedury Importowanie certyfikatu urzędu i Dodawanie usługi roli urzędu certyfikacji.

  • Jeśli przeprowadzasz migrację do urzędu certyfikacji korzystającego z klastra z przełączaniem awaryjnym, procedury importowania certyfikatu urzędu certyfikacji i dodawania usługi roli urzędu certyfikacji należy wykonać w każdym węźle klastra. Po dodaniu usługi roli urzędu certyfikacji do każdego węzła zatrzymaj usługę usług certyfikatów Active Directory (Certsvc). Upewnij się również, że:

    • Magazyn udostępniony używany przez CA jest w trybie online i przypisany do węzła, do którego dodajesz rolę usługi CA.
    • Bazy danych urzędu certyfikacji i pliki dziennika muszą znajdować się we współdzielonych zasobach pamięciowych.

Importowanie certyfikatu urzędu certyfikacji

Jeśli dodasz usługę roli urzędu certyfikacji przy użyciu Menedżera serwera, wykonaj poniższą procedurę, aby zaimportować certyfikat urzędu certyfikacji.

Importowanie certyfikatu urzędu certyfikacji

  1. Uruchom przystawkę Certyfikaty dla konta komputera lokalnego.

  2. W drzewie konsoli kliknij dwukrotnie pozycję Certyfikaty (komputer lokalny) i wybierz pozycję Osobiste.

  3. W menu Akcja wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Importuj, aby otworzyć Kreatora importu certyfikatów. Wybierz Dalej.

  4. <Znajdź plik CAName.p12> utworzony przez certyfikat urzędu certyfikacji i kopię zapasową klucza prywatnego w źródłowym urzędzie certyfikacji, a następnie wybierz pozycję Otwórz.

  5. Wpisz hasło i wybierz przycisk OK.

  6. Wybierz opcję Umieść wszystkie certyfikaty w następującym repozytorium.

  7. Sprawdź , czy osobiste jest wyświetlane w magazynie certyfikatów. Jeśli tak nie jest, wybierz pozycję Przeglądaj, wybierz pozycję Osobiste, wybierz przycisk OK.

    Note

    Jeśli używasz sieciowego modułu HSM, wykonaj kroki od 8 do 10, aby naprawić skojarzenie między zaimportowanym certyfikatem urzędu certyfikacji a kluczem prywatnym przechowywanym w module HSM. W przeciwnym razie wybierz przycisk Zakończ, aby ukończyć pracę kreatora i wybierz przycisk OK, aby potwierdzić, że certyfikat został pomyślnie zaimportowany.

  8. W drzewie konsoli kliknij dwukrotnie pozycję Certyfikaty osobiste i wybierz zaimportowany certyfikat urzędu certyfikacji.

  9. W menu Akcja wybierz pozycję Otwórz. Wybierz kartę Szczegóły , skopiuj numer seryjny do Schowka, a następnie wybierz przycisk OK.

  10. Otwórz okno wiersza polecenia, wpisz certutil –repairstore My"{Serialnumber}", a następnie naciśnij ENTER.

Dodaj usługę roli urzędu certyfikacji

Jeśli serwer docelowy jest członkiem domeny, należy użyć konta, które jest członkiem grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa, aby instalator mógł uzyskać dostęp do obiektów w usługach AD DS. Dodaj usługę roli CA za pomocą Menedżera serwera lub programu PowerShell.

Important

Jeśli utworzono plik kopii zapasowej CAPolicy.inf ze źródłowego urzędu certyfikacji, przejrzyj ustawienia i wprowadź zmiany, jeśli to konieczne. Skopiuj plik CAPolicy.inf do folderu %windir% (domyślnie C:\Windows) docelowego urzędu certyfikacji przed dodaniem usługi roli urzędu certyfikacji.

Aby dodać usługę roli centrum certyfikacji przy użyciu Menedżera serwera, wykonaj następujące kroki.

  1. Zaloguj się na serwerze docelowym i uruchom Menedżera serwera.

  2. W drzewie konsoli wybierz pozycję Role.

  3. W menu Akcja wybierz pozycję Dodaj role.

  4. Jeśli zostanie wyświetlona strona Przed rozpoczęciem , wybierz przycisk Dalej.

  5. Na stronie Wybieranie ról serwera zaznacz pole wyboru Usługi certyfikatów Active Directory , a następnie wybierz przycisk Dalej.

  6. Na stronie Wprowadzenie do usług AD CS wybierz pozycję Dalej.

  7. Na stronie Usługi ról zaznacz pole wyboru Urząd certyfikacji , a następnie wybierz przycisk Dalej.

    Note

    Jeśli planujesz zainstalować inne usługi ról na serwerze docelowym, należy najpierw ukończyć instalację usług ról urzędu certyfikacji, a następnie osobno zainstalować inne usługi ról. Procedury instalacji pozostałych usług roli AD CS nie zostały opisane w tym przewodniku.

  8. Na stronie Określanie typu instalacji określ wartość Enterprise lub Standalone, aby dopasować źródłowy urząd certyfikacji, a następnie wybierz przycisk Dalej.

  9. Na stronie Określanie typu urzędu certyfikacji określ główny urząd certyfikacji lub podrzędny urząd certyfikacji, aby dopasować źródłowy urząd certyfikacji, a następnie wybierz przycisk Dalej.

  10. Na stronie Konfigurowanie klucza prywatnego wybierz pozycję Użyj istniejącego klucza prywatnego i wybierz certyfikat i użyj skojarzonego klucza prywatnego.

    Note

    Jeśli urząd certyfikacji używa modułu HSM, wybierz klucz prywatny, postępując zgodnie z procedurami dostarczonymi przez dostawcę modułu HSM.

  11. Na liście Certyfikaty wybierz zaimportowany certyfikat urzędu certyfikacji, a następnie wybierz przycisk Dalej.

  12. Na stronie Baza danych urzędu certyfikacji określ lokalizacje bazy danych urzędu certyfikacji i plików dziennika.

  13. Na stronie Potwierdzenie przejrzyj komunikaty, a następnie wybierz pozycję Konfiguruj.

  14. Jeśli migrujesz do klastra trybu failover, zatrzymaj usługę usług certyfikatów Active Directory (Certsvc) i usługę HSM, jeśli urząd certyfikacji używa modułu HSM. Następnie powtórz procedury, aby zaimportować certyfikat urzędu certyfikacji i dodać usługę roli urzędu certyfikacji w innych węzłach klastra.

Jeśli chcesz zainstalować usługę roli urzędu certyfikacji przy użyciu programu PowerShell, użyj polecenia cmdlet Install-AdcsCertificationAuthority .

Przywróć CA

Teraz nadszedł czas, aby rozpocząć przywracanie urzędu certyfikacji. W razie potrzeby przywróć bazę danych urzędu certyfikacji, ustawienia rejestru urzędu certyfikacji i listę szablonów certyfikatów.

Przywróć bazę danych urzędu certyfikacji i konfigurację na serwerze docelowym

Procedury opisane w tej sekcji należy wykonać dopiero po zainstalowaniu usługi roli urzędu certyfikacji na serwerze docelowym.

Jeśli przeprowadzasz migrację do klastra trybu failover, przed przywróceniem bazy danych urzędu certyfikacji dodaj usługę roli urzędu certyfikacji do wszystkich węzłów klastra. Baza danych CA powinna zostać przywrócona tylko w jednym węźle klastra i musi znajdować się w pamięci współdzielonej.

Przywracanie źródłowej kopii zapasowej urzędu certyfikacji obejmuje następujące zadania:

  • Przywracanie źródłowej bazy danych urzędu certyfikacji na serwerze docelowym
  • Przywracanie ustawień rejestru źródłowego urzędu certyfikacji na serwerze docelowym
  • Weryfikowanie rozszerzeń certyfikatów w docelowym urzędzie certyfikacji
  • Przywróć listę szablonów certyfikatów (wymagane tylko dla urzędów certyfikacji korporacyjnych)

Przywracanie źródłowej bazy danych urzędu certyfikacji na serwerze docelowym

W tej sekcji opisano różne procedury przywracania źródłowej kopii zapasowej bazy danych urzędu certyfikacji na serwerze docelowym przy użyciu przystawki urząd certyfikacji, programu PowerShell lub narzędzia Certutil.

pl-PL: W przypadku migracji do instalacji Server Core należy użyć narzędzia Certutil w PowerShell. Można zdalnie zarządzać urzędem certyfikacji działającym na instalacji Server Core przy użyciu przystawki Certyfikatów oraz Menedżera serwera. Można jednak zdalnie przywrócić bazę danych urzędu certyfikacji przy użyciu programu Windows PowerShell.

Jeśli przeprowadzasz migrację do klastra awaryjnego przełączania, upewnij się, że udostępniony magazyn jest dostępny i przywróć bazę danych urzędu certyfikacji tylko w jednym węźle klastra.

Aby przywrócić bazę danych urzędu certyfikacji, najpierw skorzystaj z Menedżera serwera, a następnie użyj dodatku Urząd certyfikacji, aby wykonać następujące kroki:

  1. Zaloguj się na serwerze docelowym przy użyciu konta, które jest administratorem urzędu certyfikacji.

  2. Uruchom przystawkę Urzędu certyfikacji.

  3. Kliknij prawym przyciskiem myszy węzeł o nazwie urzędu certyfikacji, wskaż pozycję Wszystkie zadania, a następnie wybierz polecenie Przywróć urząd certyfikacji.

  4. Na stronie Powitanie wybierz pozycję Dalej.

  5. Na stronie Elementy do przywrócenia wybierz pozycję Baza danych certyfikatów i dziennik bazy danych certyfikatów.

  6. Wybierz pozycję Przeglądaj. Przejdź do folderu nadrzędnego, w którym znajduje się folder Baza danych (folder zawierający pliki bazy danych urzędu certyfikacji utworzone podczas tworzenia kopii zapasowej bazy danych urzędu certyfikacji).

    Warning

    Nie wybieraj folderu Baza danych. Wybierz folder nadrzędny.

  7. Wybierz przycisk Dalej , a następnie wybierz pozycję Zakończ.

  8. Wybierz pozycję Tak , aby uruchomić usługę urzędu certyfikacji (certsvc).

Przywracanie ustawień rejestru źródłowego urzędu certyfikacji na serwerze docelowym

Informacje o konfiguracji urzędu certyfikacji są przechowywane w rejestrze w: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Przed zaimportowaniem ustawień rejestru ze źródłowego urzędu certyfikacji do docelowego urzędu certyfikacji upewnij się, że utworzono kopię zapasową domyślnej docelowej konfiguracji rejestru urzędu certyfikacji. Pamiętaj, aby wykonać te kroki w docelowym urzędzie certyfikacji i nazwać plik rejestru nazwą, taką jak "DefaultRegCfgBackup.reg", aby uniknąć nieporozumień.

Important

Niektóre parametry rejestru powinny być migrowane bez zmian z komputera źródłowego urzędu certyfikacji, a niektóre nie powinny być migrowane. W przypadku migracji należy je zaktualizować w systemie docelowym po migracji, ponieważ niektóre wartości są skojarzone z samym urzędem certyfikacji, podczas gdy inne są skojarzone ze środowiskiem domeny, hostem fizycznym, wersją systemu Windows lub innymi czynnikami, które mogą być inne w systemie docelowym.

Sugerowanym sposobem importowania konfiguracji rejestru jest najpierw otwarcie pliku rejestru wyeksportowanego ze źródłowego urzędu certyfikacji w edytorze tekstów i przeanalizowanie go pod kątem ustawień, które mogą wymagać zmiany lub usunięcia.

Analizowanie pliku rejestru

  1. Kliknij prawym przyciskiem myszy plik tekstowy .reg, który został utworzony przez wyeksportowanie ustawień ze źródłowego urzędu certyfikacji.

  2. Wybierz pozycję Edytuj , aby otworzyć plik w edytorze tekstów.

  3. Jeśli nazwa komputera docelowego urzędu certyfikacji różni się od nazwy komputera źródłowego urzędu certyfikacji, wyszukaj w pliku nazwę hosta źródłowego komputera urzędu certyfikacji. Dla każdego znalezionego wystąpienia nazwy hosta upewnij się, że jest to odpowiednia wartość dla środowiska docelowego. W razie potrzeby zmień nazwę hosta. Zaktualizuj wartość CAServerName .

  4. Sprawdź wszystkie wartości rejestru wskazujące lokalne ścieżki plików, aby upewnić się, że nazwy liter dysku i ścieżki są poprawne dla docelowego urzędu certyfikacji. Jeśli istnieje niezgodność między źródłem a docelowym urzędem certyfikacji, zaktualizuj wartości w pliku lub usuń je z pliku, aby ustawienia domyślne były zachowywane w docelowym urzędzie certyfikacji.

Warning

Niektóre wartości rejestru są skojarzone z urzędem certyfikacji, podczas gdy inne są skojarzone ze środowiskiem domeny, komputerem hosta fizycznego, wersją systemu Windows, a nawet innymi usługami ról. W związku z tym niektóre parametry rejestru powinny być migrowane bez zmian z komputera źródłowego urzędu certyfikacji, a inne nie powinny. Każda wartość, która nie znajduje się na liście w przywracanym pliku tekstowym .reg, zachowuje swoje istniejące ustawienie lub wartość domyślną na docelowym urzędzie certyfikacji.

Usuń wszystkie wartości rejestru, których nie chcesz importować do docelowego urzędu certyfikacji. Po edycji pliku tekstowego .reg można go zaimportować do docelowego urzędu certyfikacji. Importując ustawienia rejestru serwera źródłowego do serwera docelowego, konfiguracja urzędu certyfikacji serwera źródłowego zostaje przeniesiona na serwer docelowy.

Zaimportuj kopię zapasową rejestru źródłowego urzędu certyfikacji do docelowego urzędu certyfikacji

  1. Zaloguj się na serwerze docelowym jako członek lokalnej grupy Administratorzy.

  2. Otwórz okno wiersza polecenia.

  3. Wpisz net stop certsvc i naciśnij ENTER.

  4. Wpisz reg import "Registry Settings Backup.reg" (Ustawienia rejestru Backup.reg) i naciśnij ENTER.

Edytuj ustawienia rejestru CA

  1. Wybierz przycisk Start, wpisz regedit.exe w polu Wyszukaj programy i pliki , a następnie naciśnij ENTER, aby otworzyć Edytor rejestru.

  2. W drzewie konsoli znajdź klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration, a następnie wybierz pozycję Konfiguracja.

  3. W okienku szczegółów kliknij dwukrotnie pozycję DBSessionCount.

  4. Wybierz pozycję Szesnastkowa. W obszarze Dane wartości wpisz wartość 64, a następnie wybierz przycisk OK.

  5. Sprawdź, czy lokalizacje określone w następujących ustawieniach są poprawne dla serwera docelowego, i zmień je zgodnie z potrzebami, aby wskazać lokalizację bazy danych urzędu certyfikacji i plików dziennika.

    • DBDirectory

    • DBLogDirectory

    • DBSystemDirectory

    • DBTempDirectory

    Important

    Wykonaj kroki od 6 do 8 tylko wtedy, gdy nazwa serwera docelowego różni się od nazwy serwera źródłowego.

  6. W drzewie konsoli edytora rejestru rozwiń węzeł Konfiguracja i wybierz nazwę urzędu certyfikacji.

  7. Zmodyfikuj wartości następujących ustawień rejestru, zastępując nazwę serwera źródłowego nazwą serwera docelowego.

    Note

    Na poniższej liście wartości CACertFileName i ConfigurationDirectory są tworzone tylko po określeniu niektórych opcji instalacji urzędu certyfikacji. Jeśli te dwa ustawienia nie są wyświetlane, możesz przejść do następnego kroku.

    • CAServerName

    • CACertFileName

    • ConfigurationDirectory — ta wartość powinna być wyświetlana w rejestrze systemu Windows w następującej lokalizacji: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

Weryfikowanie rozszerzeń certyfikatów w docelowym urzędzie certyfikacji

Kroki opisane podczas importowania ustawień rejestru źródłowego urzędu certyfikacji i edytowania rejestru, jeśli nastąpiła zmiana nazwy serwera, mają na celu zachowanie lokalizacji sieciowych używanych przez źródłowy urząd certyfikacji do publikowania list CRL i certyfikatów urzędu certyfikacji. Jeśli źródłowy urząd certyfikacji został opublikowany w domyślnych lokalizacjach usługi Active Directory, po wykonaniu poprzedniej procedury, powinno być dostępne rozszerzenie, które ma włączone opcje publikowania oraz adres URL LDAP odwołujący się do nazwy NetBIOS źródłowego serwera; na przykład ldap:///CN=<CATruncatedName><CRLNameSuffix,>CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Ponieważ wielu administratorów konfiguruje rozszerzenia dostosowane dla środowiska sieciowego, nie można podać dokładnych instrukcji dotyczących konfigurowania punktów dystrybucji listy CRL i rozszerzeń dostępu do informacji o urzędzie.

Dokładnie przejrzyj skonfigurowane lokalizacje i opcje publikowania i upewnij się, że rozszerzenia są poprawne zgodnie z wymaganiami organizacji.

Zweryfikuj rozszerzenia za pomocą przystawki Urząd certyfikacji

  1. Przejrzyj i zmodyfikuj rozszerzenia dotyczące punktów dystrybucji CRL oraz dostępu do informacji o urzędzie certyfikacji, jak również opcje publikacji, postępując zgodnie z przykładowymi procedurami opisanymi w temacie Określanie punktów dystrybucji CRL (https://go.microsoft.com/fwlink/?LinkID=145848).

  2. Jeśli nazwa serwera docelowego różni się od nazwy serwera źródłowego, dodaj adres URL LDAP określający lokalizację, która odwołuje się do nazwy NetBIOS serwera docelowego ze zmienną podstawienia <ServerShortName>, na przykład ldap:///CN=\<CATruncatedName\>\<CRLNameSuffix\>,CN=\<ServerShortName\>,CN=CDP,CN=Public Key Services,CN=Services,\<ConfigurationContainer\>\<CDPObjectClass\>.

  3. Upewnij się, że opcje CDP są ustawione tak, aby wcześniejsza lokalizacja CDP nie została uwzględniona w rozszerzeniu CDP nowo wystawionych certyfikatów lub w najświeższym rozszerzeniu CRL.

Przywracanie listy szablonów certyfikatów

Poniższa procedura jest wymagana tylko dla urzędu certyfikacji przedsiębiorstwa. Autonomiczny urząd certyfikacji nie ma szablonów certyfikatów.

Przypisywanie szablonów certyfikatów do docelowego urzędu certyfikacji

  1. Zaloguj się przy użyciu poświadczeń administracyjnych na docelowy urząd certyfikacji.

  2. Otwórz okno wiersza polecenia.

  3. Wpisz: certutil -setcatemplates + <templatelist> i naciśnij ENTER.

    Note

    Zastąp listę szablonów rozdzielaną przecinkami listą nazw szablonów wymienionych w pliku catemplates.txt utworzonym podczas procedury "Aby zarejestrować listę szablonów urzędu certyfikacji przy użyciu Certutil.exe. Na przykład certutil -setcatemplates +Administrator, Użytkownik, DomainController.

Przyznaj uprawnienia do kontenerów AIA i CDP

Jeśli nazwa serwera docelowego różni się od serwera źródłowego, serwer docelowy musi mieć nadane uprawnienia do kontenerów CDP i AIA serwera źródłowego w usługach AD DS, aby móc publikować listy CRL i certyfikaty urzędu certyfikacji. Wykonaj poniższą procedurę, jeśli nastąpiła zmiana nazwy serwera.

Udzielanie uprawnień do kontenerów AIA i CDP

  1. Zaloguj się jako członek grupy Administratorzy przedsiębiorstw na komputerze, na którym zainstalowano przystawkę Witryny i usługi Active Directory. Otwórz witryny i usługi Active Directory (dssite.msc).

  2. W drzewie konsoli wybierz górny węzeł.

  3. W menu Widok wybierz pozycję Pokaż węzeł usług.

  4. W drzewie konsoli rozwiń węzeł Usługi, rozwiń węzeł Usługi kluczy publicznych, a następnie wybierz pozycję AIA.

  5. W okienku szczegółów kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji, a następnie wybierz polecenie Właściwości.

  6. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Dodaj.

  7. Wybierz pozycję Typy obiektów, wybierz pozycję Komputery, a następnie wybierz przycisk OK.

  8. Wpisz nazwę urzędu certyfikacji i wybierz przycisk OK.

  9. W kolumnie Zezwalaj wybierz pozycję Pełna kontrola, a następnie wybierz pozycję Zastosuj.

  10. Poprzedni obiekt komputera urzędu certyfikacji jest wyświetlany (jako Konto nieznane z identyfikatorem zabezpieczeń po nim) w nazwach grup lub użytkowników. Możesz usunąć to konto. W tym celu wybierz ją, a następnie wybierz pozycję Usuń. Kliknij przycisk OK.

  11. W drzewie konsoli rozwiń węzeł CDP, a następnie wybierz folder o takiej samej nazwie jak urząd certyfikacji.

  12. W okienku szczegółów kliknij prawym przyciskiem myszy element CRLDistributionPoint w górnej części listy, a następnie wybierz pozycję Właściwości.

  13. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Dodaj.

  14. Wybierz pozycję Typy obiektów, wybierz pozycję Komputery, a następnie wybierz przycisk OK.

  15. Wpisz nazwę serwera docelowego i wybierz przycisk OK.

  16. W kolumnie Zezwalaj wybierz pozycję Pełna kontrola, a następnie wybierz pozycję Zastosuj.

  17. Poprzedni obiekt komputera urzędu certyfikacji jest wyświetlany (jako Konto nieznane z identyfikatorem zabezpieczeń po nim) w nazwach grup lub użytkowników. Możesz usunąć to konto. W tym celu wybierz ją, a następnie wybierz pozycję Usuń. wybierz przycisk OK.

  18. Powtórz kroki od 13 do 18 dla każdego elementu CRLDistributionPoint .

Note

Jeśli używasz składni file//\computer\share w rozszerzeniach CDP do publikowania listy CRL w lokalizacji folderu udostępnionego, może być konieczne dostosowanie uprawnień do tego folderu udostępnionego, aby docelowy urząd certyfikacji mógł zapisywać w tej lokalizacji. Jeśli hostujesz usługę CDP na serwerze docelowym i używasz ścieżki AIA lub CDP zawierającej nazwę aliasu (na przykład pki.contoso.com) dla miejsca docelowego, może być konieczne dostosowanie rekordu DNS tak, aby wskazuje prawidłowy docelowy adres IP.

Dodatkowe procedury klasterowania awaryjnego

Jeśli przeprowadzasz migrację do klastra trybu failover, wykonaj następujące procedury po zmigrowaniu bazy danych urzędu certyfikacji i ustawień rejestru do serwera docelowego.

  • Konfigurowanie klastra awaryjnego dla docelowego urzędu certyfikacyjnego
  • Udzielanie uprawnień do kontenerów z kluczami publicznymi
  • Edytuj nazwę DNS klastrowanego urzędu certyfikacji w AD DS
  • Konfigurowanie punktów dystrybucji CRL dla klastrów awaryjnego przełączenia

Konfigurowanie klastra awaryjnego dla docelowego urzędu certyfikacyjnego

Jeśli przeprowadzasz migrację do klastra trybu failover, wykonaj następujące procedury, aby skonfigurować klaster trybu failover dla usług AD CS.

Konfigurowanie usług AD CS jako zasobu klastra

  1. Wybierz pozycję Start, wskaż polecenie Uruchom, wpisz Cluadmin.msc, a następnie wybierz przycisk OK.

  2. W drzewie konsoli przystawki Zarządzanie klastrem awaryjnym (Failover) wybierz Usługi i aplikacje.

  3. W menu Akcja wybierz pozycję Konfiguruj usługę lub aplikację. Jeśli zostanie wyświetlona strona Przed rozpoczęciem , wybierz przycisk Dalej.

  4. Na liście usług i aplikacji wybierz pozycję Usługa ogólna, a następnie wybierz pozycję Dalej.

  5. Na liście usług wybierz pozycję Usługi certyfikatów Active Directory, a następnie wybierz pozycję Dalej.

  6. Określ nazwę usługi, a następnie wybierz pozycję Dalej.

  7. Wybierz magazyn dyskowy, który jest nadal zainstalowany w węźle, a następnie wybierz pozycję Dalej.

  8. Aby skonfigurować gałąź rejestru udostępnionego, wybierz pozycję Dodaj, wpisz SYSTEM\CurrentControlSet\Services\CertSvc, a następnie wybierz przycisk OK. Wybierz pozycję Dalej dwa razy.

  9. Wybierz przycisk Zakończ , aby ukończyć konfigurację trybu failover dla usług AD CS.

  10. W drzewie konsoli kliknij dwukrotnie pozycję Usługi i aplikacje, a następnie wybierz nowo utworzoną usługę klastrowaną.

  11. W okienku szczegółów wybierz pozycję Usługa ogólna. W menu Akcja wybierz pozycję Właściwości.

  12. Zmień nazwę zasobu na Urząd certyfikacji i wybierz przycisk OK.

Jeśli używasz sprzętowego modułu zabezpieczeń (HSM) dla urzędu certyfikacji, wykonaj poniższą procedurę.

Aby utworzyć zależność między urzędem certyfikacji a sieciową usługą HSM

  1. Otwórz przystawkę zarządzania klastrem trybu awaryjnego. W drzewie konsoli wybierz pozycję Usługi i aplikacje.

  2. W okienku szczegółów wybierz wcześniej utworzoną nazwę usługi klastrowanej.

  3. W menu Akcja wybierz pozycję Dodaj zasób, a następnie wybierz pozycję Usługa ogólna.

  4. Na liście dostępnych usług wyświetlanych przez kreatora Nowy zasób wybierz nazwę usługi, która została zainstalowana, aby nawiązać połączenie z sieciowym modułem HSM. Wybierz przycisk Dalej dwa razy, a następnie wybierz pozycję Zakończ.

  5. W obszarze Usługi i aplikacje w drzewie konsoli wybierz nazwę usług klastrowanych.

  6. W okienku szczegółów wybierz nowo utworzoną usługę ogólną. W menu Akcja wybierz pozycję Właściwości.

  7. Na karcie Ogólne zmień nazwę usługi w razie potrzeby i wybierz przycisk OK. Sprawdź, czy usługa jest w trybie online.

  8. W okienku szczegółów wybierz usługę wcześniej o nazwie Urząd certyfikacji. W menu Akcja wybierz pozycję Właściwości.

  9. Na karcie Zależności wybierz pozycję Wstaw, wybierz z listy usługę network HSM i wybierz przycisk OK.

Udzielanie uprawnień do kontenerów z kluczami publicznymi

Jeśli przeprowadzasz migrację do klastra awaryjnego, wykonaj następujące procedury, aby udzielić wszystkim węzłom klastra uprawnień do następujących kontenerów AD DS:

  • Kontener AIA
  • Kontener rejestracji
  • Kontener KRA

Przyznawanie uprawnień do kontenerów kluczy publicznych w AD DS

  1. Zaloguj się na komputerze członkowskim domeny jako członek grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa.

  2. Wybierz pozycję Start, wskaż polecenie Uruchom, wpisz dssite.msc, a następnie wybierz przycisk OK.

  3. W drzewie konsoli wybierz górny węzeł.

  4. W menu Widok wybierz pozycję Pokaż węzeł usług.

  5. W drzewie konsoli rozwiń węzeł Usługi, a następnie usługi kluczy publicznych, a następnie wybierz pozycję AIA.

  6. W okienku szczegółów kliknij prawym przyciskiem myszy nazwę źródłowego urzędu certyfikacji, a następnie wybierz polecenie Właściwości.

  7. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Dodaj.

  8. Wybierz pozycję Typy obiektów, wybierz pozycję Komputery, a następnie wybierz przycisk OK.

  9. Wpisz nazwy kont komputera wszystkich węzłów klastra i wybierz przycisk OK.

  10. W kolumnie Zezwalaj zaznacz pole wyboru Pełna kontrola obok każdego węzła klastra, a następnie wybierz przycisk OK.

  11. W drzewie konsoli wybierz pozycję Usługi rejestracji.

  12. W okienku szczegółów kliknij prawym przyciskiem myszy nazwę źródłowego urzędu certyfikacji, a następnie wybierz polecenie Właściwości.

  13. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Dodaj.

  14. Wybierz pozycję Typy obiektów, wybierz pozycję Komputery, a następnie wybierz przycisk OK.

  15. Wpisz nazwy kont komputera wszystkich węzłów klastra i wybierz przycisk OK.

  16. W kolumnie Zezwalaj zaznacz pole wyboru Pełna kontrola obok każdego węzła klastra, a następnie wybierz przycisk OK.

  17. W drzewie konsoli wybierz pozycję KRA.

  18. W okienku szczegółów kliknij prawym przyciskiem myszy nazwę źródłowego urzędu certyfikacji, a następnie wybierz pozycję Właściwości.

  19. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Dodaj.

  20. Wybierz pozycję Typy obiektów, wybierz pozycję Komputery, a następnie wybierz przycisk OK.

  21. Wpisz nazwy wszystkich węzłów klastra i wybierz przycisk OK.

  22. W kolumnie Zezwalaj zaznacz pole wyboru Pełna kontrola obok każdego węzła klastra, a następnie wybierz przycisk OK.

Edytuj nazwę DNS klastrowanego urzędu certyfikacji w AD DS

Gdy usługa CA została zainstalowana na pierwszym węźle klastra, obiekt Usługi rejestracji został utworzony, a nazwa DNS tego węzła klastra została dodana do atrybutu dNSHostName obiektu Usługi rejestracji. Ponieważ urząd certyfikacji musi działać we wszystkich węzłach klastra, wartość atrybutu dNSHostName obiektu usług rejestracji musi być nazwą usługi określoną w kroku 6 procedury "Aby skonfigurować usługę AD CS jako zasób klastra".

Jeśli przeprowadzasz migrację do klastrowanego urzędu certyfikacji, wykonaj następującą procedurę w aktywnym węźle klastra. Należy wykonać procedurę tylko w jednym węźle klastra.

Edytuj nazwę DNS klastrowanego urzędu certyfikacji w AD DS

  1. Zaloguj się do aktywnego węzła klastra jako członek grupy Administratorzy przedsiębiorstwa.

  2. Wybierz pozycję Start, wskaż polecenie Uruchom, wpisz adsiedit.msc, a następnie wybierz przycisk OK.

  3. W drzewie konsoli wybierz pozycję EDYTUJ ADSI.

  4. W menu Akcja wybierz pozycję Połącz z.

  5. Na liście dobrze znanych kontekstów nazewnictwa wybierz pozycję Konfiguracja i wybierz przycisk OK.

  6. W drzewie konsoli rozwiń węzeł Konfiguracja, Usługi i Usługi kluczy publicznych, a następnie wybierz pozycję Usługi rejestracji.

  7. W okienku szczegółów kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji klastra i wybierz polecenie Właściwości.

  8. Wybierz pozycję dNSHostName, a następnie wybierz pozycję Edytuj.

  9. Wpisz nazwę usługi CA, jak pokazano w obszarze Zarządzanie klastrem trybu failover w przystawce Menedżer klastra, a następnie wybierz OK.

  10. Wybierz przycisk OK , aby zapisać zmiany.

Konfigurowanie punktów dystrybucji CRL dla klastrów awaryjnego przełączenia

W domyślnej konfiguracji urzędu certyfikacji krótka nazwa serwera jest używana jako część punktów dystrybucji listy CRL i lokalizacji dostępu do informacji o urzędzie.

Gdy urząd CA działa na klastrze awaryjnym, krótka nazwa serwera musi zostać zastąpiona krótką nazwą klastra w punktach dystrybucji CRL i lokalizacjach dostępu do informacji o urzędzie. Aby opublikować listę CRL w usługach AD DS, należy ręcznie dodać kontener punktu dystrybucji listy CRL.

Important

Poniższe procedury należy wykonać w aktywnym węźle klastra.

Zmień skonfigurowane punkty dystrybucji listy CRL

  1. Zaloguj się do aktywnego węzła klastra jako członek lokalnej grupy Administratorzy.

  2. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz regedit, a następnie wybierz przycisk OK.

  3. Znajdź klucz rejestru \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

  4. Wybierz nazwę urzędu certyfikacji.

  5. W okienku po prawej stronie kliknij dwukrotnie listę CRLPublicationURLs.

  6. W drugim wierszu zastąp %2 nazwą usługi określoną w kroku 6 procedury "Aby skonfigurować usługę AD CS jako zasób klastra".

    Tip

    Nazwa usługi jest również wyświetlana w przystawce Zarządzanie klastrem failover w sekcji Usługi i aplikacje.

  7. Uruchom ponownie usługę urzędu certyfikacji.

  8. Otwórz wiersz polecenia, wpisz certutil -CRL i naciśnij ENTER.

    Note

    Jeśli zostanie wyświetlony komunikat o błędzie "Nie znaleziono obiektu katalogu", wykonaj następującą procedurę, aby utworzyć kontener punktu dystrybucji CRL w AD DS.

Utwórz kontener punktu dystrybucji CRL w usługach AD DS

  1. W wierszu polecenia wpisz cd %windir%\System32\CertSrv\CertEnroll i naciśnij ENTER. Plik listy CRL utworzony przez polecenie certutil –CRL powinien znajdować się w tym katalogu.

  2. Aby opublikować listę CRL w usługach AD DS, wpisz certutil -f -dspublish"CRLFile.crl" i naciśnij ENTER.

Następny krok

Po wykonaniu procedur migracji urzędu certyfikacji należy wykonać procedury opisane w sekcji Weryfikowanie migracji urzędu certyfikacji.

  • Last updated on