Комментарии 11
а вторым номером поднять не получилось? потом первый загасить и отозвать по прошествии некоторого времени.
К выводам я бы добавил ещё один: тестируйте!!!
Ничто не мешало сделать копии виртуалок и по заранее подготовленному чеклисту попробовать пройти сценарий и попробовать проверить, насколько успешно прошла миграция.
Тут главное — полная изоляция тестового контура от боевой сети.
Ничто не мешало сделать копии виртуалок и по заранее подготовленному чеклисту попробовать пройти сценарий и попробовать проверить, насколько успешно прошла миграция.
Тут главное — полная изоляция тестового контура от боевой сети.
Можно для плавного перехода выпустить на действующем CA сертификат не клиентский, а intermediate CA, его уже передать в новый сервер и сделать его там выдающим. И уже потом развлекаться и плавно переводить клиентские серты.
Необходимо и достаточно было прочитать Vadims Podans! )
После всех этих опытов настоятельно рекомендую зайти в ADSIEDIT и посмотреть точки подключения:
Configuration --> Services --> Public Key Services
После всех этих опытов настоятельно рекомендую зайти в ADSIEDIT и посмотреть точки подключения:
Configuration --> Services --> Public Key Services
Пример, как не надо заниматься системным администрированием.
Если это Windows, то Next-next-next-finish? Печально, что не разбираясь в технологии, вы решили не изучая ее взяться за работу.
Опыт предшественников тоже не заслуживает внимания?
Если это Windows, то Next-next-next-finish? Печально, что не разбираясь в технологии, вы решили не изучая ее взяться за работу.
Опыт предшественников тоже не заслуживает внимания?
Добрый. Я именно по этому этой доке и делал.все удачно прошло… т.е все перенеслось… все работало… Только при попытке получить сертификат через веб были ошибки… а так все перенеслось нормально...
Да, извините, резковато ответил. Эмоции.
Смотрите, что у вас еще могло сломаться.
Если вы про реестр забыли, а я его не вижу в статье, то возможно несовпадение точек распространения CRL, а при обновлении ключа и AIA.
Из-за удаления учетной записи компьютера, могут слететь разрешения в
CN=имя вашего CA,CN=KRA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ваш,DC=домен
CN=имя вашего CA,CN=сервер,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=ваш,DC=домен
CN=имя вашего CA,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ваш,DC=домен
Так же стоит проверить что все шаблоны, которые раньше обслуживал «старый» CA, теперь обслуживает новый. Или просто добавить его к выдаче типа
certutil -setcatemplates +DomainController
certutil -setcatemplates +WebServer
certutil -setcatemplates +Machine
certutil -setcatemplates +User
certutil -setcatemplates +SubCA
Если использовали CAPolicy.inf — перенесите его, сыграет роль при обновлении ключа.
Смотрите, что у вас еще могло сломаться.
Если вы про реестр забыли, а я его не вижу в статье, то возможно несовпадение точек распространения CRL, а при обновлении ключа и AIA.
Из-за удаления учетной записи компьютера, могут слететь разрешения в
CN=имя вашего CA,CN=KRA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ваш,DC=домен
CN=имя вашего CA,CN=сервер,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=ваш,DC=домен
CN=имя вашего CA,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ваш,DC=домен
Так же стоит проверить что все шаблоны, которые раньше обслуживал «старый» CA, теперь обслуживает новый. Или просто добавить его к выдаче типа
certutil -setcatemplates +DomainController
certutil -setcatemplates +WebServer
certutil -setcatemplates +Machine
certutil -setcatemplates +User
certutil -setcatemplates +SubCA
Если использовали CAPolicy.inf — перенесите его, сыграет роль при обновлении ключа.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Неудачная миграция Certificate Authority(CA) с Windows 2008R на Windows 2012 R2