在之前的文章里提到WS2003即将停止支持,所以迁移的项目开始多了起来。CA的迁移尤为重要。从windows server 2003 迁移至windows server 2012 R2的跨度,改名还是不改名。在实际迁移场景中都是需要考虑的问题。(由于CA往往与其他的服务共存,所以有极大的可能是需要改名迁移。)

本文只介绍单台根CA改名迁移,步骤比较多,实际操作过程中需要足够的耐心和细心才能保证不出问题。

 

1、首先备份源服务器CA设置:备份目录为C:\CABackup

p_w_picpath

 

clip_p_w_picpath006

clip_p_w_picpath008

p_w_picpathclip_p_w_picpath012

 

2、备份证书模板:备份文件也放在C:\CAbackup里

p_w_picpath

 

3、备份CA注册表信息,备份时需要停止CA服务。备份文件同样放在C:\CAbackup下,注册表路径如图:

clip_p_w_picpath016

clip_p_w_picpath018

 

4、备份签名算法与CSP信息

p_w_picpath

 

5、截图备份源CA的AIA与CRL配置信息。特别是有自定义CRL分发点时,记住下面勾选的设置位置。

实验环境,分发点和访问点的勾选属性基本保持默认。但实际环境中还是需要记住这一点的。

p_w_picpathp_w_picpath

clip_p_w_picpath026 clip_p_w_picpath028

clip_p_w_picpath030 clip_p_w_picpath032

clip_p_w_picpath034 clip_p_w_picpath036

 

6、在一些环境里还会涉及到证书策略,如果存在证书策略,则应该备份%SystemRoot%下的CAPolicy.inf文件。

一般情况下则是 C:\WINDOWS\CAPolicy.inf。

最好打开显示系统文件和隐藏文件,在C盘搜索一下。确保该文件位置。

7、全部备份完毕后,在源CA服务器上移除CA角色

clip_p_w_picpath002[7]

 

至此,源CA服务器的备份就做完了。下一步开始准备目标CA服务器。