本文说明如何将证书颁发机构 (CA) 移动到其他服务器。
证书颁发机构 (CA) 是某组织公钥基础结构 (PKI) 的中心组件。CA 经配置可使用许多年或几十年,在这段时间内作为 CA 宿主的硬件可能已升级。
注意:要将 CA 从运行 Windows 2000 Server 的服务器移动到运行 Windows Server 2003 的服务器,必须首先将运行 Windows 2000 Server 的 CA 服务器升级到 Windows Server 2003。然后,才能按照本文所述的步骤进行操作。
备份和还原证书颁发机构的密钥和数据库
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。
- 记下在证书颁发机构管理单元的“证书模板”文件夹中配置的证书模板。证书模板设置存储在 Active Directory 中。这些信息不会自动备份。必须在新的 CA 上手动配置证书模板设置以保持模板集相同。
注意:“证书模板”文件夹仅存在于企业 CA 上。独立 CA 不使用证书模板。因此,此步不适用于独立 CA。 - 使用证书颁发机构管理单元备份 CA 数据库和私钥。为此,请按照下列步骤操作:
- 在证书颁发机构管理单元中,右键单击 CA 名称,单击“所有任务”,然后单击“备份 CA”以启动证书颁发机构备份向导。
- 单击“下一步”,然后单击“私钥和 CA 证书”。
- 单击“颁发的证书日志和待定证书申请队列”。
- 使用一个空文件夹作为备份位置。确保新服务器可以访问备份文件夹。
- 单击“下一步”。如果指定的备份文件夹不存在,则证书颁发机构备份向导将创建它。
- 键入并确认 CA 私钥备份文件的密码。
- 单击两次“下一步”,然后验证备份设置。应当显示下列设置:
- 私钥
- CA 证书颁发的日志
- 挂起的申请
- 单击“完成”。
- 保存此 CA 的注册表设置。为此,请按照下列步骤操作:
- 单击“开始”,单击“运行”,在“打开”框中键入 regedit,然后单击“确定”。
- 找到下面的注册表子项,然后右键单击它:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CertSvc/Configuration
- 单击“配置”,然后单击“注册表”菜单上的“导出注册表文件”。
- 将注册表文件保存在第 2d 步中定义的 CA 备份文件夹中。
- 删除旧服务器上的证书服务。
- 重新命名旧服务器,或者将其永久与网络断开连接。
- 在新服务器上安装证书服务。为此,请按照下列步骤操作。
注意:新服务器的计算机名称必须与旧服务器的计算机名称相同。- 在控制面板中,双击“添加/删除程序”。
- 单击“添加/删除 Windows 组件”,单击 Windows 组件向导中的“证书服务”,然后单击“下一步”。
- 在“CA 类型”对话框中,单击适当的 CA 类型。
- 单击“高级选项”,然后单击“下一步”。
- 在“公钥/私钥对”对话框中,单击“使用现有密钥”,然后单击“导入”。
- 键入备份文件夹中 .P12 文件的路径,键入在第 2f 步中选择的密码,然后单击“确定”。
- 单击“下一步”,如果合适请键入 CA 说明,然后单击“下一步”。
- 接受“数据存储位置”的默认设置,单击“下一步”,然后单击“完成”结束证书服务的安装。
- 停止证书服务的相关服务。
- 找到第 3 步中保存的注册表文件,然后双击该文件以导入注册表设置。
- 使用证书颁发机构管理单元还原 CA 数据库。为此,请按照下列步骤操作:
- 在证书颁发机构管理单元中,右键单击 CA 名称,单击“所有任务”,然后单击“还原 CA”。
证书颁发机构还原向导启动。 - 单击“下一步”,然后单击“颁发的证书日志和待定证书申请队列”。
- 键入备份文件夹位置,然后单击“下一步”。
- 验证备份设置。应当显示下列设置:
- 颁发的日志
- 挂起的申请
- 单击“完成”,然后单击“是”以在还原 CA 数据库时重新启动证书服务。
- 在证书颁发机构管理单元中,右键单击 CA 名称,单击“所有任务”,然后单击“还原 CA”。
- 在证书颁发机构管理单元中,手动添加或删除证书模板以复制在第 1 步中记录的证书模板设置。