CA證書的遷移-創(chuàng)新互聯(lián)

證書遷移準(zhǔn)備工作:

站在用戶的角度思考問題，與客戶深入溝通，找到寧陜網(wǎng)站設(shè)計(jì)與寧陜網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類型包括：成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、域名注冊、網(wǎng)絡(luò)空間、企業(yè)郵箱。業(yè)務(wù)覆蓋寧陜地區(qū)。

1,備份CA模板列表:

Certutil -catemplates >c:\cabackup\catemplates.txt

2,記錄CA的簽名算法和CSP:

  Certutil -getreg ca\csp\* >c:\cabackup\csp.txt

3,吊銷的證書發(fā)布有效期延長

4,備份CA數(shù)據(jù)庫和私鑰:

4.1,用PowerShell:

Backup-CARoleService –path <BackupDirectory>

注:BackupDirectory指定創(chuàng)建備份文件的目錄。指定的值可以是相對路徑或絕對路徑。如果指定的目錄不存在，則創(chuàng)建該目錄。備份文件在名為Database的子目錄中創(chuàng)建。

4.2,用Certutil.exe

Net stop certsrv

Certutil -backupDB c:\cabackup\db  //注:導(dǎo)入所指定的文件夾必須是空文件夾

Certutil -backupkey c:\cabackup       //注:輸入之后會(huì)要求輸入一個(gè)密碼以確保安全

5,備份CA注冊表設(shè)置

5.1,用regedit.exe

單擊“開始”、指向“運(yùn)行”，然后鍵入 regedit 以打開注冊表編輯器。在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 右鍵單擊“配置”，然后單擊“導(dǎo)出”。指定位置和文件名，然后單擊“保存”。這將創(chuàng)建包含源 CA 的 CA配置數(shù)據(jù)的注冊表文件。

5.2,使用Reg.exe備份CA注冊表設(shè)置

           打開命令提示符窗口

鍵入reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration <output file> .reg并按Enter。注 : output file 就一個(gè)絕對路徑文件名將注冊表文件復(fù)制到可從目標(biāo)服務(wù)器訪問的位置; 例如，共享文件夾或可移動(dòng)媒體。

6,備份CAPolicy.inf

在C:\windows文件夾下 (一般情況下沒有)

7,停止源CA服務(wù)器

8,在目標(biāo)服務(wù)器上還原數(shù)據(jù)

8.1,在新CA服務(wù)器上安裝CA證書頒機(jī)構(gòu)--->AD CS配置時(shí)必須導(dǎo)入源CA的私鑰.

8.2,還原數(shù)據(jù)庫

8.2.1,用PowerShell

Stop-service certsvc

Restore-CARoleService -path c:\cabackup\ -databaseonly -force

Start-service certsvc

8.2.2,用Certutil

Net stop certsrv

Certutil.exe -f -restoredb c:\cabackup

Net start certsrv

8.3,還原CA注冊表設(shè)置

8.3.1,用reg.exe

在目標(biāo)CA上導(dǎo)入源CA注冊表備份

1.              以本地Administrators組成員的身份登錄到目標(biāo)服務(wù)器。

打開命令提示符窗口。

鍵入net stop certsvc并按Enter。

鍵入reg import <Registry Settings Backup.reg>，然后按Enter。 //注:Registry Settings Backup.reg為備份的注冊表文件位置

編輯CA注冊表設(shè)置

DBDirectory

DBLogDirectory

DBSystemDirectory

DBTempDirectory

單擊“ 開始”，在“ 搜索程序和文件”框中鍵入regedit.exe，然后按Enter以打開注冊表編輯器。

在控制臺(tái)樹中，找到密鑰HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ CertSvc \ Configuration，然后單擊“ 配置”。

在詳細(xì)信息窗格中，雙擊DBSessionCount。

單擊十六進(jìn)制。在“ 數(shù)值數(shù)據(jù)”中，鍵入64，然后單擊“ 確定”。

驗(yàn)證以下設(shè)置中指定的位置是否適用于目標(biāo)服務(wù)器，并根據(jù)需要進(jìn)行更改以指示CA數(shù)據(jù)庫和日志文件的位置。

8.3.2,修改 CAServerName

將源CAServerName修改為新CA的CAServerName

8.4,還原證書模板列表

使用管理憑據(jù)登錄到目標(biāo)CA.

打開命令提示符窗口。

鍵入certutil -setcatemplates + <templatelist>，然后按Enter。 // 注:templatelist 為源CA導(dǎo)出的模板列表文件 catemlates.txt里面的文件名稱

certutil -setcatemplates + Administrator，User，DomainController

8.5, 授予AIA和CDP容器權(quán)限(在DC上完成)

如果目標(biāo)服務(wù)器的名稱與源服務(wù)器不同，則必須為目標(biāo)服務(wù)器授予AD DS中源服務(wù)器的CDP和AIA容器的權(quán)限

8.5.1,以Enterprise Admins組成員的身份登錄到安裝

ActiveDirectory站點(diǎn)和服務(wù)管理單元的計(jì)算機(jī)。打開Active Directory站點(diǎn)和服務(wù)（dssite.msc）

8.5.2,對這兩個(gè)容器添加新CA計(jì)算機(jī)完全控制權(quán)限

(ps:如果在CDP擴(kuò)展中使用文件// \ computer \ share語法將CRL發(fā)布到共享文件夾位置，則可能需要調(diào)整該共享文件夾的權(quán)限，以便目標(biāo)CA能夠?qū)懭朐撐募A地點(diǎn)。如果您在目標(biāo)服務(wù)器上托管CDP并使用包含別名的AIA或CDP路徑（例如，pki.contoso.com）作為目標(biāo)，則可能需要調(diào)整DNS記錄以使其指向正確的目標(biāo)IP地址。)

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)頁題目：CA證書的遷移-創(chuàng)新互聯(lián)
本文URL：http://bm7419.com/article22/gghjc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、網(wǎng)站收錄、關(guān)鍵詞優(yōu)化、品牌網(wǎng)站制作、做網(wǎng)站、App設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)