迁移微软CA的证书 (1)

最新推荐文章于 2019-03-23 13:58:26 发布
最新推荐文章于 2019-03-23 13:58:26 发布
阅读量240 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34250709/article/details/85103294
版权

最近豆子需要清理一下公司的PKI服务器。由于历史原因,公司之前内网里面搭建了2台Enterprise Root级别的CA服务器,老板让我再搭建一个新的,然后把之前的2台处理掉。微软的AD环境里面是允许同时搭建多个PKI结构的,不过这样导致的后果就是可能客户端申请证书的时候会随机申请一个,这样的后果是很难管理的。


经过一番研究,发现一般的处理流程如下:

  1. 安装新的CA

  2. 旧的CA上卸载掉Certificate Template(证书模板),这样就不能继续签发新的证书

  3. 新的CA上添加对应的模板

  4. 对于手动签发的证书可以手动的更新

  5. 对于自动Enroll的证书可以通过ReEnroll指向新的CA,这里需要配置对应的组策略

  6. 重复4-5,直到所有的证书都成功修改替换,最后关掉旧的CA

  7. 如果需要立刻关掉旧的CA,需要考虑延长CRL的时间


首先搭建了一个模拟环境来试试


基本环境:

2012 R2 域控 DC1

2012 R2 证书服务器 CA2 (新的CA)

2008 R2 证书服务器 CA1  (旧的CA)

2008 R2  网页服务器 WEB1

Window 7 客户端 Win7


wKioL1Ye4xOBfQ79AACWalPgcik289.jpg


实验流程:从CA1签发EFS证书 ,DomainController证书和 Web Server 证书,在对应的客户端进行配置; 然后安装CA2 为新的Root CA;手动更改证书到新的CA


接下来首先模拟签发的过程


首先在CA1上安装AD CS,过程略


安装成功以后可以通过IIS查看

wKiom1Ye4vPxFUjCAAMHVqVveSs917.jpg


接下来配置EFS的证书,EFS可以允许用户加密自己的文档。


登录Win7 客户端,控制面板

wKioL1Ye4xbijPCDAADrV-sWAtc880.jpg


创建一个新的证书

wKiom1Ye4vaS_tJbAAFUEFXQ-JA010.jpg


从域内的CA签发

wKioL1Ye4xigWBHlAAEhueUFcyo845.jpg


成功的从CA1签发

wKiom1Ye4vmAhPctAAD1iV7KjkE358.jpg


wKiom1Ye4viDMv6bAAFkalIAyVM567.jpg


指定用这个证书加密的对象

wKioL1Ye4xvAinrfAADkW03VeTM468.jpg


完成证书的创建以后,退回到C:\Confidential 文件夹,打开加密的选项

wKiom1Ye4vug9dJ4AAHGTqbj3H4276.jpg

可以看见这个文件夹变成绿色了,然后在里面创建一个新的文件,他会自动用证书加密。

wKioL1Ye4x3w-Q0bAAF7IVIMUu0721.jpg



接下来,我需要创建一个DomainController的证书。登录到域控,从MMC添加Certificate SnapIn

然后发送一个证书请求

wKioL1Ye4yGCA4DzAAFPTOtHGl0887.jpg


wKiom1Ye4wKjZ-nAAACa06w8lb0383.jpg


wKioL1Ye4yPiveIkAACiFLlN8H0858.jpg

选择需要的证书类型

wKiom1Ye4wSyzOxOAADB0joO3s8085.jpg

成功签发

wKioL1Ye4yagq1fHAADuXg4a5Ow772.jpg



最后需要签发一个Web Server的证书。登录WEB1,打开IIS,Server Certificate里面可以进行请求

wKiom1Ye4wbigYZSAAEq_BDSjqo390.jpg


具体的步骤略

wKioL1Ye4yjQr-nPAAEHEFWcuKg519.jpg


成功导入证书后,然后绑定证书到https

wKiom1Ye4wnw0qj-AADRtcAx76g153.jpg


现在已经成功的签发了 EFS, Domain和 Web Server的证书了。

wKiom1Ye4wnBGmppAAD4gw9oJAM036.jpg


下一步我们来看看如何更新到CA2上。




参考资料:

1.http://blogs.technet.com/b/askds/archive/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki.aspx

2.http://blogs.technet.com/b/pki/archive/2012/01/27/steps-needed-to-decommission-an-old-certification-authority-without-affecting-previously-issued-certificates-and-then-switching-all-operations-to-a-new-certification-authority.aspx



weixin_34250709
关注
Windows 2003 AD升级至Windows 2012 AD之CA服务器迁移
小章BBQ
06-16 2606
Windows 2003 AD升级至Windows 2012 AD之CA服务器迁移前面的博文中我们给大家介绍了如何将Windows 2003 AD升级至Windows 2012 AD以及升级后的DHCP服务器的迁移工作,今天我们就继续为大家介绍Windows 2003 AD升级至Windows 2012 AD之后的CA服务器迁移。好了废话不多说我们开始实验:原有的CA服务器创建在Windows 2
ADCS证书服务
weixin_33976072的博客
06-12 1801
证书服务器是Windows网络基础架构中重要组成部分,因为证书服务特性(不能更改计算机名称、网络参数),因此在部署证书服务器时建议独立部署,不要和域控制器部署在同一台服务器中。否则在迁移或者升级证书服务时,首先要迁移域控制器以及相关的服务(Acitve Directory集成区域DNS服务、DHCP服务、WINS服务等),还要通过策略更改已经部署的系列服务,然后迁移或...
CA证书迁移
weixin_33713707的博客
03-23 1380
证书迁移准备工作:1,备份CA模板列表:Certutil -catemplates >c:\cabackup\catemplates.txt2,记录CA的签名算法和CSP: Certutil -getreg ca\csp\* >c:\cabackup\csp.txt3,吊销的证书发布有效期延长4,备份CA数据库和私钥:4.1,用PowerShell:B...
如何迁移CA证书颁发机构)服务器
weixin_33843947的博客
08-11 638
请参考 http://bbs.winos.cn/viewthread.php?tid=27019&highlight= 转载于:https://blog.51cto.com/laowu/190314
CA证书服务器从2003迁移到2008 R2!
923723914
10-13 501
 1.在源CA服务器中备份相应的CA: 2. 输入相应加密密码: 备份注册表中如下的分支: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration 确认下是否有capolicy.inf 文件,如果有的话则需要进行相应的备份: 备份如下的目录文件: 将模板信息导...
配置微软CA服务器+SCEP
weixin_33772645的博客
07-13 530
配置微软CA服务器 CA安装使用注意事项: 操作系统必须是windows2000 server或windows 2003 安装前,系统系统必须先安装IIS服务。– 进入控制面板,进入添加或删除程序,点“添加/删除Windows组件”,弹出组件向导界面,双击“应用程序服务”,进入应用服务程序界面,勾选 “Internet 信息服务”点击确定,放入w...
windows2008R2下CA(CS)服务迁移
weixin_34040079的博客
10-08 680
windows2008R2下CA(CS)服务迁移 说到CA(CS)服务相信很多人运维人员都比较熟悉的一个服务,CA(Certificate Authority),CS(Certificate Service)不仅在windows服务存在,同样也在linux下存在,主要目的是提高安全性的,CA 也拥有一个证书(内含公钥和私钥)。网上的公众用户通过验证 CA 的签字从而...
数字证书工具
06-21
2. **PFX证书**:PFX(Personal Information Exchange)是微软提出的一种证书格式,它将私钥和公钥以及相关的证书信息打包在一起,支持多证书存储,方便用户在不同系统间迁移和备份密钥对。PFX证书常用于需要保护...
CryptoAPI实现的Pfx,Cer证书生成程序C++
04-05
1. **CryptoAPI**:CryptoAPI是微软提供的一套加密服务,它为应用程序开发者提供了加密、解密、数字签名和哈希操作等密码学功能。通过CryptoAPI,开发者可以方便地集成这些功能,而无需深入了解底层的加密算法。 2....
沃通的证书受到质疑,StartCom CA 受处罚
郑帅的博客
11-20 1521
导读 Lightbot继 Mozilla 做出对沃通WoSign的处罚决定之后,谷歌也跟随了这一做法,从 Chrome 56 开始,不再信任沃通及被其收购的 StartCom 于 2016 年 10 月 21 日之后所颁发的证书。 此前, 苹果已经率先于 9 月 30 日将沃通的根证书证书存储库中移除了。虽然沃通及其被其秘密收购的 StartCom 均存在不同程度的 CA
微软证书系统(CA)创建智能卡登录环境.doc
04-20
如何使用微软证书系统(CA)创建智能卡登录环境 使用微软windows server系统的朋友可能很清楚,2003server系统有一个很好用的免费组件:证书服务。
Windows CA 证书服务器配置—— Microsoft 证书服务安装
04-15
图文并茂,详细讲述如何在Windows server 2003系统上安装配置CA服务器安装和配置,适用于安全机制的配置。
Server2016内置CA证书实现IKEv2详细步骤180张截图1-57
10-13
Windows Server2016内置CA证书,不用域结构和DNS,实现IKEv2详细步骤的屏幕截图.
windows下数字证书工具
10-27
制作数据证书所需一些工具,配套制作流程可参照http://hi.baidu.com/seipher/blog/item/10b728dd3b4e54da8d1029fa.html
构建企业服务之windows 2008 CA证书服务器部署
weixin_33898876的博客
08-24 581
项目环境: Windows Server 2008 部署证书服务器、IIS Windows Server 2003 测试验证申请证书以及访问网站 Windows Server 2008 IP 192.168.19.100 Windows Server 2003 IP 192.168.19.125 实施目的: 通过搭建Windows Server 2008 证书服务...
Windows Server 2008 R2证书服务器迁移Windows Server 2012R2
weixin_34220963的博客
08-10 2519
Windows Server 2008 R2域控制器级别升级到Windows Server 2012 R2,需要删除旧的DC(win08R2),如果CA证书在旧DC上,需要提前迁移到新DC(win12R2)上。 以下是迁移的具体过程,每一个步骤都非常详细,可以做为参考书。 1、备份CA2、停止证书服务器服务 net stop certsvc 3、备份CA注册表设置 4、备份CA策略文件没有定义...
微软混合云迁移:关键考虑与资源
在这个问题中,需要评估一个陈述的准确性,即所有应用在迁移到Microsoft Azure后都会保持在混合环境中。根据提供的答案选项,正确的回答是B,“管理敏感信息的应用”。这意味着并非所有应用都会或应该留在混合环境中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值