前幾次給大家介紹過CA服務器的部署於使用,今天給大家介紹一下,CA服務器的升級
首先說一下,今天的實驗環境,本次實驗室CA的升級,從Windows server 2003升級到Windows server 2012,本次實驗,需要三臺服務器,一臺是2003,安裝CA,一臺做域控制器,一臺做升級後的CA服務器。
實驗準備:
server01:域控制器(windows server 2012)
server02:升級後的CA服務器(windows server 2012)
server06:升級前的服務器(windows server 2003)
實驗準備:搭建一個域環境,需要一臺域控制器(server01),其它服務器都要在域環境中,做普通服務器即可
實驗步驟:
1. 準備Windows 2003的CA環境
我們要先在server06上安裝CA服務器,在安裝CA之前,我們必須先安裝IIS,否則CS服務器無法正常工作
打開控制面板,找到添加或刪除程序
選擇添加或刪除Windows組件,找到應用程序服務器
雙擊打開,勾選IIS服務,點擊確定
完成安裝
下面我們來安裝CA服務器,打開添加或刪除程序,選擇添加或刪除Windows組件,找到證書服務
勾選證書服務後,悔彈出如下圖所示的提示框,我們選擇是
CA類型,我們選擇企業根
輸入CA的公用名稱
這裏是選擇證書數據庫,數據庫日誌和配置信息的位置,我們默認即可
選擇完位置後,會彈出下圖所示的提示信息。選擇是
安裝開始
安裝過程中,會有如下圖所示的提示,詢問是否現在啓用 Active Sserver Page ,我們選擇是
安裝完成
2.測試CA服務器是否正常工作
我們新建一個Web站點,做測試用,右鍵單擊測試用站點,選擇屬性
選擇目錄安全性,選擇下面的服務器證書,我們去向CA申請證書
選擇新建證書
選擇第一項,如下圖
這裏輸入的公用名稱,是用於訪問的名稱,通過什麼訪問就輸入什麼,因爲我們只是測試CA服務器,所以,我們就用IP地址訪問測試網站,所以,這裏就輸入IP地址
選擇證書請求文件保存的位置,我們就把它放在C盤根目錄下面即可
完成證書申請
找到剛纔的文件,將裏面的內容複製下來
打開瀏覽器,輸入 http://192.168.10.106/certsrv 選擇申請一個證書
選擇***證書申請
選擇使用base64編碼的········(偷個懶不打了),如下圖
將剛纔複製的內容粘貼到保存的申請中,選擇證書模板,點擊提交
因爲我們是在域環境中,所以證書服務器會自動頒發證書,點擊下載證書
選擇證書存放位置
我們去證書服務器查看一下,單擊頒發的證書,我們能看到剛纔頒發的證書,證明證書服務器工作正常
3. 備份證書數據庫
單擊開始,選擇管理工具,證書頒發機構
右鍵單擊CA服務器名稱,選擇所有任務,備份CA
選擇要備份的項目,我們將這兩項都選擇上,單擊瀏覽,選擇備份的地址,這裏選擇的是我們新建的CABeiFen文件夾
輸入一個密碼,用於訪問私鑰和CA證書文件,這個密碼在後面需要用到,所以請記牢
完成備份
備份過證書,下面我們來備份註冊表,很多朋友在做升級的時候,只備份CA,以爲就可以了,結果在還原的時候,出現了很多問題,其實,就是因爲沒有備份註冊表的原因
在server06(CA服務器)上運行Regedit,打開註冊表,定位到 Local_Machine-SYSTEM-CurrentControlSet-Services-Certsvc-Configuration
右鍵單擊 Congifuration,選擇導出
選擇備份到我們剛纔新建的CABeiFen文件夾,並輸入名稱,這裏用的名稱是 ZhuCeBiao
4. 複製備份文件夾至到用於升級的CA服務器上
我們把CABeiFen文件共享
在server02(用於升級的CA服務器)上通過訪問共享,將文件夾複製到server02上
在server02中,打開Windows資源管理,輸入 \\192.168.10.106 複製CABeiFen
將文件夾粘貼到C盤跟目錄下
5. 在新CA服務器上安裝CA服務
在server02上安裝CA證書服務,打開服務器管理器,選擇添加角色與功能
勾選AD證書服務
這裏會詢問時候添加AD證書服務所需的功能,選擇添加功能
勾選證書頒發機構和證書頒發機構Web註冊
這裏選擇添加功能
因爲CA服務器,需要IIS的支持,所以會添加IIS服務,這裏我們選擇默認,直接下一步
開始安裝,等待即可
6. 簡單配置新安裝的CA服務器
安裝完CA服務器後,我們單擊小旗子,選擇配置證書服務(CA)
憑證以域管理員身份登陸
勾選證書頒發機構和證書頒發機構Web註冊
CA類型選擇企業
選擇 根
在指定私鑰類型時,選擇使用現有私鑰中第一個選項
選擇現有證書,我們選擇導入
單擊瀏覽,查找證書
選擇我們剛纔複製過來的文件夾,找到證書,名稱是CA服務器的名稱
選擇完證書後,我們輸入密碼,就是在備份時輸入的密碼,輸入完成後,點擊確定
等待一會後,會出現一個證書,選擇這個證書,並單擊下一步
選擇證書數據庫的位置,這裏我們選擇默認的位置即可
確認配置
配置完成
7. 還原註冊表
下面我們來還原註冊表,雙擊註冊表文件,會彈出提示,我們選擇確定
註冊表還原完成
8. 還原CA證書數據庫
下面我們來還原證書數據庫,打開server02的服務器管理器---選擇證書頒發機構
右鍵單擊CA服務器名,選擇所有任務,還原CA
選擇還原後,會提示你還原過程中,不能運行CA,是否停止CA服務器,選擇是
進入證書還原嚮導
選擇要還原的項目,這裏我們全部勾選,單擊瀏覽,選擇還原位置,就是我們複製過來的文件夾
輸入訪問密碼,就是備份時輸入的密碼
還原完成
還原完成後,會彈出提示,詢問是否啓動CA服務器,選擇是
CA服務器正在啓動中,等待即可
啓動成功後,我們單擊頒發的證書,會看到我們剛纔頒發的證書,證明我們的還原是成功的
9. 卸載server06的CA服務器
單擊開始,選擇控制面板,單擊添加或刪除程序
去掉證書服務的對勾
開始卸載
卸載完成
呼呼,到現在爲止,我們終於完成了CA服務器的升級。
今天就到這裏吧,休息,休息~~~