Шаг за шагом: Миграция Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2

[gotch]

Несколько, как мне кажется, полезных дополнений:

1. Перед миграцией выпустите новые CRL и проверьте публикацию всех актуальных CRL. Если какой-то CRL не актуален (например, корневого CA), опубликуйте certutil -dspublish NNN.CRL. В противном случае будут проблемы при запуске службы нового CA.

2. Экспортируйте выдаваемые шаблоны сертификатов из старого CA — certutil.exe –catemplates > c:\temp\CA\catemplates.txt

3. После ввода нового сервера в домен проверьте, что он имеет разрешения на запись в
CN=Enterprise CA,CN=KRA,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=test
CN=Enterprise CA,CN=NEW_CA_NAME,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=test
CN=Enterprise CA,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=test

В зависимости от того, как вы вывели старый сервер из домена и ввели новый, могут быть нюансы.

4. Импортируйте выгруженные шаблоны командой certutil -setcatemplates +NNNN (NNN из файла catemplates.txt)