證書遷移準備工作:

站在用戶的角度思考問題，與客戶深入溝通，找到寧陜網站設計與寧陜網站推廣的解決方案，憑借多年的經驗，讓設計與互聯網技術結合，創造個性化、用戶體驗好的作品，建站類型包括：成都做網站、成都網站設計、企業官網、英文網站、手機端網站、網站推廣、域名注冊、網絡空間、企業郵箱。業務覆蓋寧陜地區。

1,備份CA模板列表:

Certutil -catemplates >c:\cabackup\catemplates.txt

2,記錄CA的簽名算法和CSP:

  Certutil -getreg ca\csp\* >c:\cabackup\csp.txt

3,吊銷的證書發布有效期延長

4,備份CA數據庫和私鑰:

4.1,用PowerShell:

Backup-CARoleService –path <BackupDirectory>

注:BackupDirectory指定創建備份文件的目錄。指定的值可以是相對路徑或絕對路徑。如果指定的目錄不存在，則創建該目錄。備份文件在名為Database的子目錄中創建。

4.2,用Certutil.exe

Net stop certsrv

Certutil -backupDB c:\cabackup\db  //注:導入所指定的文件夾必須是空文件夾

Certutil -backupkey c:\cabackup       //注:輸入之后會要求輸入一個密碼以確保安全

5,備份CA注冊表設置

5.1,用regedit.exe

單擊“開始”、指向“運行”，然后鍵入 regedit 以打開注冊表編輯器。在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 右鍵單擊“配置”，然后單擊“導出”。指定位置和文件名，然后單擊“保存”。這將創建包含源 CA 的 CA配置數據的注冊表文件。

5.2,使用Reg.exe備份CA注冊表設置

           打開命令提示符窗口

鍵入reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration <output file> .reg并按Enter。注 : output file 就一個絕對路徑文件名將注冊表文件復制到可從目標服務器訪問的位置; 例如，共享文件夾或可移動媒體。

6,備份CAPolicy.inf

在C:\windows文件夾下 (一般情況下沒有)

7,停止源CA服務器

8,在目標服務器上還原數據

8.1,在新CA服務器上安裝CA證書頒機構--->AD CS配置時必須導入源CA的私鑰.

8.2,還原數據庫

8.2.1,用PowerShell

Stop-service certsvc

Restore-CARoleService -path c:\cabackup\ -databaseonly -force

Start-service certsvc

8.2.2,用Certutil

Net stop certsrv

Certutil.exe -f -restoredb c:\cabackup

Net start certsrv

8.3,還原CA注冊表設置

8.3.1,用reg.exe

在目標CA上導入源CA注冊表備份

1.              以本地Administrators組成員的身份登錄到目標服務器。

打開命令提示符窗口。

鍵入net stop certsvc并按Enter。

鍵入reg import <Registry Settings Backup.reg>，然后按Enter。 //注:Registry Settings Backup.reg為備份的注冊表文件位置

編輯CA注冊表設置

DBDirectory

DBLogDirectory

DBSystemDirectory

DBTempDirectory

單擊“ 開始”，在“ 搜索程序和文件”框中鍵入regedit.exe，然后按Enter以打開注冊表編輯器。

在控制臺樹中，找到密鑰HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ CertSvc \ Configuration，然后單擊“ 配置”。

在詳細信息窗格中，雙擊DBSessionCount。

單擊十六進制。在“ 數值數據”中，鍵入64，然后單擊“ 確定”。

驗證以下設置中指定的位置是否適用于目標服務器，并根據需要進行更改以指示CA數據庫和日志文件的位置。

8.3.2,修改 CAServerName

將源CAServerName修改為新CA的CAServerName

8.4,還原證書模板列表

使用管理憑據登錄到目標CA.

打開命令提示符窗口。

鍵入certutil -setcatemplates + <templatelist>，然后按Enter。 // 注:templatelist 為源CA導出的模板列表文件 catemlates.txt里面的文件名稱

certutil -setcatemplates + Administrator，User，DomainController

8.5, 授予AIA和CDP容器權限(在DC上完成)

如果目標服務器的名稱與源服務器不同，則必須為目標服務器授予AD DS中源服務器的CDP和AIA容器的權限

8.5.1,以Enterprise Admins組成員的身份登錄到安裝

ActiveDirectory站點和服務管理單元的計算機。打開Active Directory站點和服務（dssite.msc）

8.5.2,對這兩個容器添加新CA計算機完全控制權限

(ps:如果在CDP擴展中使用文件// \ computer \ share語法將CRL發布到共享文件夾位置，則可能需要調整該共享文件夾的權限，以便目標CA能夠寫入該文件夾地點。如果您在目標服務器上托管CDP并使用包含別名的AIA或CDP路徑（例如，pki.contoso.com）作為目標，則可能需要調整DNS記錄以使其指向正確的目標IP地址。)

另外有需要云服務器可以了解下創新互聯scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業上云的綜合解決方案，具有“安全穩定、簡單易用、服務可用性高、性價比高”等特點與優勢，專為企業上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網頁題目：CA證書的遷移-創新互聯
本文URL：http://vcdvsql.cn/article22/gghjc.html

成都網站建設公司_創新互聯，為您提供小程序開發、網站收錄、關鍵詞優化、品牌網站制作、做網站、App設計

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯