Active Direcyory之證書頒發機構（CA服務器）升級

前幾次給大家介紹過CA服務器的部署於使用，今天給大家介紹一下，CA服務器的升級

首先說一下，今天的實驗環境，本次實驗室CA的升級，從Windows server 2003升級到Windows server 2012，本次實驗，需要三臺服務器，一臺是2003，安裝CA，一臺做域控制器，一臺做升級後的CA服務器。

實驗準備：

server01：域控制器（windows server 2012）

server02：升級後的CA服務器（windows server 2012）

server06：升級前的服務器（windows server 2003）

實驗準備：搭建一個域環境，需要一臺域控制器（server01），其它服務器都要在域環境中，做普通服務器即可

實驗步驟：

1.  準備Windows 2003的CA環境

我們要先在server06上安裝CA服務器，在安裝CA之前，我們必須先安裝IIS，否則CS服務器無法正常工作

打開控制面板，找到添加或刪除程序

選擇添加或刪除Windows組件，找到應用程序服務器

雙擊打開，勾選IIS服務，點擊確定

完成安裝

下面我們來安裝CA服務器，打開添加或刪除程序，選擇添加或刪除Windows組件，找到證書服務

勾選證書服務後，悔彈出如下圖所示的提示框，我們選擇是

CA類型，我們選擇企業根

輸入CA的公用名稱

這裏是選擇證書數據庫，數據庫日誌和配置信息的位置，我們默認即可

選擇完位置後，會彈出下圖所示的提示信息。選擇是

安裝開始

安裝過程中，會有如下圖所示的提示，詢問是否現在啓用 Active Sserver Page ，我們選擇是

安裝完成

2.測試CA服務器是否正常工作

我們新建一個Web站點，做測試用，右鍵單擊測試用站點，選擇屬性

選擇目錄安全性，選擇下面的服務器證書，我們去向CA申請證書

選擇新建證書

選擇第一項，如下圖

這裏輸入的公用名稱，是用於訪問的名稱，通過什麼訪問就輸入什麼，因爲我們只是測試CA服務器，所以，我們就用IP地址訪問測試網站，所以，這裏就輸入IP地址

選擇證書請求文件保存的位置，我們就把它放在C盤根目錄下面即可

完成證書申請

找到剛纔的文件，將裏面的內容複製下來

打開瀏覽器，輸入  http://192.168.10.106/certsrv  選擇申請一個證書

選擇***證書申請

選擇使用base64編碼的········（偷個懶不打了），如下圖

將剛纔複製的內容粘貼到保存的申請中，選擇證書模板，點擊提交

因爲我們是在域環境中，所以證書服務器會自動頒發證書，點擊下載證書

選擇證書存放位置

我們去證書服務器查看一下，單擊頒發的證書，我們能看到剛纔頒發的證書，證明證書服務器工作正常

3.  備份證書數據庫

單擊開始，選擇管理工具，證書頒發機構

右鍵單擊CA服務器名稱，選擇所有任務，備份CA

選擇要備份的項目，我們將這兩項都選擇上，單擊瀏覽，選擇備份的地址，這裏選擇的是我們新建的CABeiFen文件夾

輸入一個密碼，用於訪問私鑰和CA證書文件，這個密碼在後面需要用到，所以請記牢

完成備份

   
4. 備份註冊表

備份過證書，下面我們來備份註冊表，很多朋友在做升級的時候，只備份CA，以爲就可以了，結果在還原的時候，出現了很多問題，其實，就是因爲沒有備份註冊表的原因

在server06（CA服務器）上運行Regedit，打開註冊表，定位到                                                                 Local_Machine-SYSTEM-CurrentControlSet-Services-Certsvc-Configuration

右鍵單擊 Congifuration，選擇導出

選擇備份到我們剛纔新建的CABeiFen文件夾，並輸入名稱，這裏用的名稱是 ZhuCeBiao

4. 複製備份文件夾至到用於升級的CA服務器上

我們把CABeiFen文件共享

在server02（用於升級的CA服務器）上通過訪問共享，將文件夾複製到server02上

在server02中，打開Windows資源管理，輸入  \\192.168.10.106  複製CABeiFen

將文件夾粘貼到C盤跟目錄下

5. 在新CA服務器上安裝CA服務

在server02上安裝CA證書服務，打開服務器管理器，選擇添加角色與功能

勾選AD證書服務

這裏會詢問時候添加AD證書服務所需的功能，選擇添加功能

勾選證書頒發機構和證書頒發機構Web註冊

這裏選擇添加功能

因爲CA服務器，需要IIS的支持，所以會添加IIS服務，這裏我們選擇默認，直接下一步

開始安裝，等待即可

6. 簡單配置新安裝的CA服務器

安裝完CA服務器後，我們單擊小旗子，選擇配置證書服務（CA）

憑證以域管理員身份登陸

勾選證書頒發機構和證書頒發機構Web註冊

CA類型選擇企業

選擇 根

在指定私鑰類型時，選擇使用現有私鑰中第一個選項

選擇現有證書，我們選擇導入

單擊瀏覽，查找證書

選擇我們剛纔複製過來的文件夾，找到證書，名稱是CA服務器的名稱

選擇完證書後，我們輸入密碼，就是在備份時輸入的密碼，輸入完成後，點擊確定

等待一會後，會出現一個證書，選擇這個證書，並單擊下一步

選擇證書數據庫的位置，這裏我們選擇默認的位置即可

確認配置

配置完成

7. 還原註冊表

下面我們來還原註冊表，雙擊註冊表文件，會彈出提示，我們選擇確定

註冊表還原完成

8. 還原CA證書數據庫

下面我們來還原證書數據庫，打開server02的服務器管理器---選擇證書頒發機構

右鍵單擊CA服務器名，選擇所有任務，還原CA

選擇還原後，會提示你還原過程中，不能運行CA，是否停止CA服務器，選擇是

進入證書還原嚮導

選擇要還原的項目，這裏我們全部勾選，單擊瀏覽，選擇還原位置，就是我們複製過來的文件夾

輸入訪問密碼，就是備份時輸入的密碼

還原完成

還原完成後，會彈出提示，詢問是否啓動CA服務器，選擇是

CA服務器正在啓動中，等待即可

啓動成功後，我們單擊頒發的證書，會看到我們剛纔頒發的證書，證明我們的還原是成功的

9. 卸載server06的CA服務器

單擊開始，選擇控制面板，單擊添加或刪除程序

去掉證書服務的對勾

開始卸載

卸載完成

呼呼，到現在爲止，我們終於完成了CA服務器的升級。

今天就到這裏吧，休息，休息~~~