證書遷移的準備工作1,備份CA模板列表:
//註釋原版 certutil.exe -catemplates >D:\catemplates.txt
certutil.exe -catemplates >D:\cabackup\catemplates.txt
2,記錄CA的簽名算法和CSP:
Certutil.exe -getreg ca\csp* >D:\cabackup\csp.txt
3,發佈有效期延長CRL
開始遷移 1,備份CA數據庫和私鑰
net stop certsrv
certutil.exe -backupDB C:\cabackup\
certutil.exe -backupkey C:\cabackup\ //"c:\cabackup"備份目錄
2,備份CA註冊表設置
官方推薦:使用 Regedit.exe 備份 CA 註冊表設置
單擊“開始”、指向“運行”,然後鍵入 regedit 以打開註冊表編輯器。
在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中,右鍵單擊“配置”,然後單擊“導出”。
指定位置和文件名,然後單擊“保存”。 這將創建包含源 CA 中的 CA 配置數據的註冊表文件。HKLM>System>CurrentControlset>Services>Certsrv 中備份Configration文件夾
命名:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc c:\cabackup\regback.reg //這備份一個文件到C盤下這個文件夾裏3,備份 CAPolicy.inf //一般在C盤windows下 ,一般情況下沒有.
遷移完成之後 需要修改的幾個點
1, 註冊表,修改CAServerName--->新CA的FQDN(12SERVER.eason.com)
2,在新CA擴展裏增加一條LADP"LDAP:///CN=<CATuncateName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Servies,<ConfigurationContainer><CDPObjectClass>"
把其中的CN=<ServerShortName> 改成CN="舊CA的NetBIOS"如:CN=08DC
3,在DC中打開ADSI--連接到"配置"--展開CN=Services-->CN=Public Key Services-->CN=AIA和CN=CDP這兩個裏面把新CA的權限添加進去