How to migrate CA from Server 2003 to Server 2008 R2 – Part IV Post-Migration Tasks

Posted over 2 years ago

by

Carrey Lin

本系列包含四大部份 , 相關連結如下

How to migrate CA from Server 2003 to Server 2008 R2 – Part I Backup CA & Uninstall ...

How to migrate CA from Server 2003 to Server 2008 R2 – Part II Install CA Role on Destin ...

How to migrate CA from Server 2003 to Server 2008 R2 – Part III Restore CA on Destinatio ...

How to migrate CA from Server 2003 to Server 2008 R2 – Part IV Post-Migration Tasks

Part IV

確認CA的CDP & AIA Extenstion是否設定正常
==================================

開啟CA管理畫面 – 對CA名稱點右鍵 – 內容

點選延伸的標籤 , 分別確認CDP & AIA部份的設定是否正確

確認AD資料庫內CDP & AIA容器的權限
==================================

於DC上開啟dssite.msc , 點選檢視-顯示服務節點

找到下圖CDP-SourceCA , 針對右邊所有cRLDistributionPoint類型的物件修改安全性 , 加入目的端Server的電腦帳號並給予完全控制的權限

針對AIA內的CA名稱確認目的端Server是否有完全控制的權限

安裝新的憑證範本
==================================

用Enterprise Admins群組的成員登入CA , 開啟CA管理畫面 , 對憑證範本點右鍵 – 管理

此時會出現底下對話框 – 點選[是]來安裝新的憑證範本

新增別名紀錄確保CRL Checking正常
==================================

如果目的端Server跟來源Server的電腦名稱不一樣時,我們可以再DNS Server裡面新增一筆Source Server的CNAME對應到目的端Server
確保先前發出去的憑證在進行CRL Checking時不會有問題

發佈原先的憑證範本
==================================

根據先前於來源Server執行certutil -catemplates > CATemplates.txt所產生的文字檔案將原先發佈的憑證範本重新發佈

確認CA運作正常
==================================

1. 找一台Client測試憑證是否可以正常申請憑證

2. 確認新舊憑證的CRL Checking是正常的

分別找一個新申請的憑證 & 先前申請的憑證 , 將其匯出成CertNew.cer & CertOld.cer
執行此指令certutil -verify -urlfetch Name.cer 確認CRL的檢測是否成功
(如下圖,確認AIA & CAP都是已確認 , 而且最後有顯示成功通過憑證撤銷檢查)

How to migrate CA from Server 2003 to Server 2008 R2 – Part III Restore CA on Destination Server

Posted over 2 years ago

by

Carrey Lin

本系列包含四大部份 , 相關連結如下

How to migrate CA from Server 2003 to Server 2008 R2 – Part I Backup CA & Uninstall ...

How to migrate CA from Server 2003 to Server 2008 R2 – Part II Install CA Role on Destin ...

How to migrate CA from Server 2003 to Server 2008 R2 – Part III Restore CA on Destinatio ...

How to migrate CA from Server 2003 to Server 2008 R2 – Part IV Post-Migration Tasks

Part III

1. 開啟CA管理畫面進行還原CA動作

2. 還原CA時會先停止CA服務 , 按確定

3. 開始後點選下一步

4. 勾選兩個選項並選擇備份的資料夾

5. 輸入先前備份時設定的密碼

6. 點選完成

7. 點選是啟動CA服務

8. 用Notepad開啟先前備份的CA機碼檔案

編輯CAServerName的值(如果Server名稱一樣則不需要進行更改)

如果原先是使用Standalone CA , 然後轉到Server 2008 R2要使用Enterprise CA時 , 需修改CAType的值成0
修改完成後點兩下匯入, 匯入後請將Certificate Service進行重新啟動的動作讓其生效

CAType值的意義
=============
CAType = 0 (This means it is installed as Enterprise Root CA)
CAType = 1 (This means it is installed as Enterprise Subordinate CA)
CAType = 3 (This means it is installed as Stand Alone CA)
CAType = 4 (This means it is installed as Stand Alone Subordinate CA)

9. 將Source Server的C:\windows\system32\Certsrv\CertEnroll裡面的SourceServerName.domain.com_CAName(X).crt檔案
複製到目的端Server的C:\windows\system32\Certsrv\CertEnroll資料夾內 (如下圖 , server2003是Source Server , 08r2-wins是Destination server)