[Перевод] Шаг за шагом: Миграция Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R207.04.2015 15:48

Как вы уже должны знать, поддержка Windows Server 2003 и Windows Server 2003 R2 заканчивается 14 июля 2015 года. Зная это, ИТ профессионалы либо уже провели миграцию, либо этот процесс должен находиться в самом разгаре. В этой статье будут описаны шаги, необходимые для миграции Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2. 5x0fqb8bjou4sfgo_4e12kb8 Для демонстрации будут использованы следующие установки:

Имя сервера Операционная система Роли сервера canitpro-casrv.canitpro.local Windows Server 2003 R2Enterprise x86 AD CS (EnterpriseCertificate Authority) CANITPRO-DC2K12.canitpro.local Windows Server 2012 R2×64 Шаг 1. Резервная копия конфигурации и базы данных центра сертификации Windows Server 2003Заходим в Windows Server 2003 под учетной записью из группы локальных администраторов.Выбираем Start — Administrative Tools — Certificate Authority 6h1vnfo7j68r53p3yhzknn4p Щелкаем правой кнопкой мыши по узлу сервера. Выбираем All Tasks, затем Back up CA 1vfpljr3x-zt_hj5nlxxi4s7_ Откроется «Certification Authority Backup Wizard» и нажимаем «Next» для продолжения. 1ywvm_sr3nyxsghq566w2sh8u В следующем окне выбираете те пункты, которые подсвечены, чтобы указать нужные настройки и нажмите «Browse» для того, чтобы указать место сохранения резервной копии. Нажмите «Next» для продолжения. 1y3zw0x1wt5pol-r4it4qx_2p Далее вам будет предложено ввести пароль для того, чтобы защитить закрытый ключ и файл сертификата центра сертификации. После того, как введете пароль, нажмите «Next». 1g6mhc3wb34ldvn1jous_y_nw В следующем окне будет запрошено подтверждение. Если все в порядке — нажмите «Finish» для завершения процесса.Шаг 2. Резервирование параметров реестра центра сертификации Нажмите Start, затем Run. Напечатайте regedit и нажмите ОК. 1py3-tz6c6xol9zuqe9t32qq6 Затем откройте HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvcЩелкните правой кнопкой мыши по ключу «Configuration» и выберите «Export» o5inxzjk-dd2rc7py24lknze В следующем окне укажите путь, по которому вы хотите сохранить резервный файл и укажите его имя. Затем нажмите «Save», чтобы закончить резервирование. 1jmmf48_qj-n37rdjcucs_awk Теперь у нас есть резервные файлы центра сертификации и мы можем переместить эти файлы на новый сервер Windows Server 2012 R2. 7dexjnh8j68i8q8vyyewjnho Шаг 3. Удаление службы центра сертификации с Windows Server 2003 Теперь, когда готовы резервные файлы и прежде, чем настроить службы сертификации на новом Windows Server 2012 R2, мы можем удалить службы центра сертификации с Windows Server 2003. Для этого нужно проделать следующие шаги.Щёлкаем Start > Control Panel > Add or Remove Programs 1vdqd32ma5hiux_60v_2fs2ys Затем выбираем «Add/Remove Windows Components» 1q-6_o4imlh3e_1k13nkakrxh В следующем окне уберите галочку с пункта «Certificate Services» и нажмите «Next» для продолжения 17ms67fme1vm6czeoze_m01bp После завершения процесса, вы увидите подтверждение и можете нажать «Finish» 1h169mjozjxz2cg6pk6ldjzp На этом этапе мы закончили работу со службами центра сертификации на Windows Server 2003 и следующим шагом будем настраивать и конфигурировать центра сертификации на Windows Server 2012 R2.Шаг 4. Установка служб сертификации на Windows Server 2012 R2 Зайдите на Windows Server 2012 R2 под учетной записью или администратора домена, или локального администратора.Перейдите в Server Manager > Add roles and features. fty48606gerpiheytefkmya7 Запустится «Add roles and features», нажмите «Next» для продолжения.В следующем окне выберите «Role-based or Feature-based installation», нажмите «Next» для продолжения.Из списка доступных серверов выберите ваш, и нажмите «Next» для продолжения.В следующем окне выберите роль «Active Directory Certificate Services», установите все сопутсвующие компоненты и нажмите «Next». 1uu4rof5_kuxihz_f6s4kh1c_ В следующих двух окнах нажимайте «Next». После этого вы увидите варианты выбора служб для установки. Мы выбираем Certificate Authority и Certification Authority Web Enrollment и нажимаем «Next» для продолжения. u_ro3ln-qqsqcopvu3u6bmmq Для установки Certification Authority Web Enrollment необходимо установить IIS. Поэтому в следующих двух окнах посмотрите краткое описание роли, выберите нужные компоненты и нажмите «Next».Далее вы увидите окно подтверждения. Если все в порядке, нажмите «Install» для того, чтобы начать процесс установки. 1vb5gs5jlpbnkgu2srewfg4ic После того, как установка завершена, вы можете закрывать мастер установки и переходить к следующему шагу.Шаг 5. Настройка AD CS В этом шаге мы рассмотрим как настроить и восстановить те файлы резервирования, которые мы создали.Зайдите на сервере с правами Enterprise AdministratorПерейдите в Server Manager > AD CS 1owjf7wbhcpx53twlzmljze7_ C правой стороны на панели вы увидите всплывающее окно, как на скриншоте и нажмите «More» b6vqtd6n_3s924mqj0t47lgq Откроется окно, в котором вам нужно нажать «Configure Active Directory Certification Service…» t6u-dzp6f444e9a_l3qokjec Откроется окно мастера настройки роли, в котором появится возможность изменить учетную запись. Т.к. мы уже вошли в систему с учетной записью Enterprise Administrator, то мы оставим то, что указано по умолчанию и нажмем «Next» 22d3-vgwvzf1e52cp6liq0l11 В следующем окне спросят, каким службы мы хотим настроить. Выберите Certificate Authority и Certification Authority Web Enrollment и нажимаем «Next» для продолжения. 13ukf5tyehcq8_-jz3rf02uxy Это будет Enterprise CA, поэтому в следующем окне выберите в качестве типа установки Enterprise CA и нажмите «Next» для продолжения. 1a4ye6j2672wvojtm1gw2348g В следующем окне выберите «Root CA» в качестве типа CA и нажмите «Next» для продолжения. 1x6n5q9hm5w0ygl_xaysqygia Следующая настройка очень важна. Если бы это была новая установка, то мы могли бы просто создать новый закрытый ключ. Но так как это процесс миграции, у нас уже есть зарезервированный закрытый ключ. Поэтому здесь выберите вариант, который отмечен на скриншоте и нажмите «Next» для продолжения. 1p1_f7_3r2owpzlztoo8x5i40 В следующем окне нажмите кнопку «Import». 1g0e896w75w8p55x3gjvv9mx9 Здесь у нас появляется возможность выбрать тот ключ, который мы зарезервировали с Windows Server 2003. Указываем путь к этому ключу и вводим пароль, который мы использовали. Затем нажимаем OK. 54myjupy_5eup980x2_mzhmu Далее, если импорт прошел успешно, то мы увидим наш сертификат. Выбираем его и нажимаем «Next» для продолжения. 7_-oi78t7anaa7k_3jtxgakx В следующем окне мы можем определить путь к базе данных сертификата. Я оставил то, что указано по умолчанию и нажимаю «Next» для продолжения. 1z09vydbo1_cmioyeuynzf4zl В следующем окне будет предоставлена вся информация для настройки. Если все нормально, то нажимаем «Configuration» для запуска процесса. mpfpiflnxgn3gdwgdgj1nmk4 После того, как процесс завершен, закрываем мастера конфигурации.Шаг 6. Восстановление зарезервированного CA Теперь мы переходим к наиболее важной части всего процесса миграции, в которой мы восстановим зарезервированный в Windows Server 2003 CA.Открываем Server Manager > Tools > Certification Authority 24fjq8cgi3iq9x6inrsvjzw3 Щелкаете правой кнопкой мыши по имени сервера и выбираете All Tasks > Restore CA 1yblpvhdvqacvke0-djw1ovw Далее появится предупреждение о том, что служба сертификатов должна быть установлена для продолжения. Нажмите ОК. wpmipllk72-kruu3l6c2obib Запустится Certification Authority Restore Wizard, нажмите «Next» для продолжения.В следующем окне укажите путь к папке, в которой находится резервная копия. Затем выберите теже настройки, что и я на скриншоте. Нажмите «Next» для продолжения. td0hbk-zdqkgbloa27v92zxf В следующем окне вы можете ввести пароль, который мы использовали для того, чтобы защитить закрытый ключ в процессе резервирования. После ввода, нажмите «Next» для продолжения. 1vfibtvyuddn78bu4caoqs9c7 В следующем окне нажмите «Finish» для завершения процесса импорта.После успешного завершения процесса, система спросит, можно ли запустить центр сертификации. Запустите службу.Шаг 7. Восстановление информации в реестре Во время создания резервной копии CA мы также создали резервную копию ключа реестра. Теперь нужно ее восстановить. Для этого откройте папку, которая содержит зарезервированный ключ реестра. Щелкните по нему дважды левой кнопкой мыши.Появится предупреждающее окно. Нажмите «Yes» для восстановления ключа реестра. m20qng_5ewnlw1chcmeic_ex По окончании вы получите подтверждение об успешном восстановлении. -34x1bdfq5avxgy0-m19trne Шаг 8. Перевыпуск шаблона сертификата Мы завершили процесс миграции, и сейчас нужно перевыпустить сертификаты. У меня были настройки шаблона в окружении Windows Server 2003, который назывался «PC Certificate», с помощью которого выпускались сертификаты для компьютеров, включенных в домен. Теперь посмотрим, как я перевыпущу шаблон.Открывает консоль Certification AuthorityЩелкаем правой кнопкой мышки по Certificate Templates Folder > New > Certificate Template to Reissue. thhyu4g96d-x9fbccplcbivz Из списка шаблонов сертификатов выберите подходящий шаблон сертификата и нажмите ОК. 22o6yn3i4ioiggez3w0di9f7b Шаг 9. Тестируем CA Теперь, когда шаблон сертификата установлен на компьютер, его нужно установить на автоматический режим. Для проверки я установил компьютер с операционной системой Windows 8.1, назвал его demo1 и добавил в домен canitpro.local. После его первой загрузки, на сервере я открываю консоль центра сертификации и разворачиваю раздел «Issued Certificate». Там я могу увидеть новый сертификат, который выпущен для компьютера. 1xa16jefzx4p17nx9vwh2o4eu На этом процесс миграции успешно завершен.