none
windows ca server 迁移问题 RRS feed

  • 问题

  • 1、2003 ca能否迁移至2016?

    2、迁移后(2012r2 or 2016),原先2003上的自定义模板只能在2012r2or2016上手动重建?能否直接导入使用?

    3、原先2003 ca 的aia和crl在迁移后需要手动更改?

    2020年10月13日 2:06

答案

  • 您好,

    不客气,非常感谢您的回复。

    1,证书连接CA验证,主要包含证书链检查和证书吊销检查。证书成功的条件包含:确保链中所有的证书都在客户端的受信任存储中,确保链中的所有证书在其最终有效日期之前都未被吊销。其中证书链检查一是能够访问AIA路径,二是证书的AKI必须匹配颁发CA证书的SKI,三是以受信任的根存储中的自签名证书结尾。证书吊销检查一是能够访问CPD路径,二是证书不在吊销的列表内。

    一般,证书迁移的话,为避免证书的正常使用,都是建议在非工作时间操作。先是在原服务器上移除CA角色服务,然后在目标服务器上面添加CA角色服务。

    根据我的理解,一旦关闭CA服务器的话,就会影响到证书的使用的。

    2,在目标CA的主机名与源CA的主机名不同的情况下,由源CA颁发的证书的AIA和CDP扩展中引用的URL可能包含对旧主机名的引用。 为避免由此引起的错误,我们需要更新AIA和CDP扩展。具体我们可以参考上封邮件中提供的文档。

    上述的操作,根据我的理解,我们是在注册表文件里面做修改,对吗?请问我们是参考的文档吗?如果是的话,可以分享下我看看吗?

    我们可以在使用证书颁发机构管理单元导入这些值之后更新这些值。这些值位于“ CA属性的扩展”选项卡上。       
    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2020年10月15日 7:38
    2020年10月15日 7:00

全部回复

  • 尊敬的客户,您好,

    感谢您的发帖。

    1,因为Windows 2003已经不受支持,我们的环境中也没有测试的Windows 2003机器。根据搜索的资料来说,应该是可以将Windows 2003CA迁移到Windows server 2016. 

    我们可以参考此三方文档里面的说明:
    https://www.itspaul.ca/step-by-step-guide-migrating-active-directory-certificate-service-from-windows-server-2008-2008r2-to-windows-server-2016/

    如果是迁移到Windows server 2012 R2的话,可以参考以下官方文档:
    https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-migrating-the-active-directory-certificate-service/ba-p/306931?WT.mc_id=ITOPSTALK-blog-abartolo

    2,在迁移的过程中,我们会备份CA数据库。然后在目标计算机上还原CA数据库和配置,其中包括还原证书模板配置。以我的理解,应该是可以直接通过还原使用的。

    3,默认情况下,Active Directory证书服务(AD CS)配置有证书吊销列表(CRL)分发点扩展,该扩展名在路径中包括CA计算机主机名。 这意味着在迁移之前由CA颁发的任何证书都可能包含包含旧主机名的证书验证路径。 迁移后,这些路径可能不再有效。 为了避免吊销检查错误,必须将新的CA配置为将CRL发布到旧(迁移前)路径以及新路径。

    所以如果主机名更改了的话,迁移后需要更新CRL和AIA扩展。详细信息请参考:
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc742471(v=ws.10)

    希望提供的信息对您有所帮助。如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年10月13日 7:38
  • 感谢您的回答,我现在有一个疑问,

    1、迁移中,我关闭了ca服务器,证书使用也是没问题的,证书连接ca验证的机制是什么?ca服务器关闭多久影响证书的使用?这个周期是否可调节?

    2、迁移后,要在新ca更改注册表值,接下来修改CACertPublicationURLs与CRLPublicationURLs 两个键值,将内容里的%1替换为目标服务器的FQDN,将%2替换为目标服务器的NETBIOS名。如下为我的新ca服务器CACertPublicationURLs值

    1:C:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt
    3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
    2:http://%1/CertEnroll/%1_%3%4.crt
    0:file://\\%1\CertEnroll\%1_%3%4.crt

    其中并没有%2,我是将所有的%1替换成新ca服务器的fqdn吗?如下哪种才是正确的?

    1:C:\WINDOWS\system32\CertSrv\CertEnroll\newca.test.com_%3%4.crt
    3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
    2:http://newca.test.com/CertEnroll/newca.test.com_%3%4.crt
    0:file://\\newca.test.com\CertEnroll\newca.test.com_%3%4.crt

    1:C:\WINDOWS\system32\CertSrv\CertEnroll\newca_%3%4.crt
    3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
    2:http://newca.test.com/CertEnroll/newca_%3%4.crt
    0:file://\\newca.test.com\CertEnroll\newca_%3%4.crt


    2020年10月14日 5:45
  • 您好,

    不客气,非常感谢您的回复。

    1,证书连接CA验证,主要包含证书链检查和证书吊销检查。证书成功的条件包含:确保链中所有的证书都在客户端的受信任存储中,确保链中的所有证书在其最终有效日期之前都未被吊销。其中证书链检查一是能够访问AIA路径,二是证书的AKI必须匹配颁发CA证书的SKI,三是以受信任的根存储中的自签名证书结尾。证书吊销检查一是能够访问CPD路径,二是证书不在吊销的列表内。

    一般,证书迁移的话,为避免证书的正常使用,都是建议在非工作时间操作。先是在原服务器上移除CA角色服务,然后在目标服务器上面添加CA角色服务。

    根据我的理解,一旦关闭CA服务器的话,就会影响到证书的使用的。

    2,在目标CA的主机名与源CA的主机名不同的情况下,由源CA颁发的证书的AIA和CDP扩展中引用的URL可能包含对旧主机名的引用。 为避免由此引起的错误,我们需要更新AIA和CDP扩展。具体我们可以参考上封邮件中提供的文档。

    上述的操作,根据我的理解,我们是在注册表文件里面做修改,对吗?请问我们是参考的文档吗?如果是的话,可以分享下我看看吗?

    我们可以在使用证书颁发机构管理单元导入这些值之后更新这些值。这些值位于“ CA属性的扩展”选项卡上。       
    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2020年10月15日 7:38
    2020年10月15日 7:00