Как стать автором
Обновить

Неудачная миграция Certificate Authority(CA) с Windows 2008R на Windows 2012 R2

Время на прочтение3 мин
Количество просмотров6K
Добрый день, уважаемый читатель!

Я расскажу Вам о своем кошмаре, который я пережил мигрируя CA с Windows 2008R2 на Windows 2012 R2. В инете очень много статьй по этому поводу и никаких проблем не должно было быть.

К своему сожалению — я не особо Windows Admin, я больше *nix админ, но была поставлена задача миграции CA — её нужно сделать.

Под катом я расскажу, как я прошел этот процесс и получил не совсем HappyEnd в конечном итоге.

Итак, поехали…

Исходные данные:
Источник — Windows 2008 R2 с Root CA
Таргет — Windows 2012R2

Сервер Windows 2012R2 у меня был уже установлен и минимально настроен.

Изначально план действий был такой(укороченные действия):

  1. Делаем Backup CA+Private Key и копируем его на общую шару для обоих компов
  2. Выводим target из домена и меняем IP
  3. Делаем snapshot сервера
  4. Меняем IP на источнике
  5. Заходим на новый сервер Windows 2012R2 под админом — вводим его в домен с таким же именем и назначаем старый IP
  6. Ставим роль Active Directory Certificate Service (CA, CA Web Enrollment, NDES, Online Responder)
  7. Указываем, что это Enterprise CA
  8. Восставливаем CA+Private Key из бэкапа
  9. Happy End

Согласитесь ну ничего сложного нет. И я приступил к реализации. На самом деле никаких проблем не было и все прошло, как по маслу… Сервис стартанул, Certificate Templates появились и сами сертификаты появились. Вообщем все ОК. Поэтому я пошел спать. Утром никаких жалоб на работу CA не поступало и поэтому считал я, что все работает, и приступил к другим задачам. В процессе их решения мне понадобился сертификат. Я создал .csr и пошел по ссылке vm_ca/certsvc, чтобы подписать и получить сертификат и вот на этом этапе произошла ошибка. К сожалению скриншот я не сделал, но там говорилось о mismatch user information и еще какие-то ошибки. Ну вот и приплыли — подумалось мне. Начал гуглить, но к сожалению ничего внятного не нашел.

Уже вечером решили удалить CA Windows 2012R2 и поставить все по новой и тут допустил ошибку, вместо Enterprise CA я выбрал вариант Standalone CA (о своей ошибке правда я уже узнал позже). Проделал все операции вновь… все прошло без ошибок — но при выборе папки Certificate Templates — я получаю Element not found, хотя если выбрать Manage — то templates на месте.

Я подумал, что не хватает прав для данной CN=Certificate Templates, поэтому при помощи ADSI Edit дал Read для vm_ca$. Перезапустил CertSvc и… результат: Element not found.

Тут мне взгрустнулось ибо на часа 2 ночи… и CA не работает. Выключаю CA Windows 2012R2 и восставливаю VM CA Windows 2008R2 из snapshot. Возвращаю сервер в AD (т.к. при попытке входа под доменной учетке выходит ошибка взаимоотношений между сервером и AD).

Ну думаю… все теперь-то будет ОК, но увы… все так же Certificate Templates — я получаю Element not found. Оставлю все до утра — ибо утро вечера мудренее.

Утром погуглил, почитав разного рода статьи — решаюсь на переустановку CA уже на старом сервере в надежде решить проблему Element Not Found и выдачей сертификатов через Web.

Процесс довольно простой:

  1. Удаяем роль CA
  2. Перегружаемся
  3. Ждем завершения процесса удаления
  4. Добавляем роль CA (указывем CA, CA Web Enrollment, NDES, Online Responder)
  5. Указываем, что у меня Enterprise CA и у меня есть приватный ключ
  6. Ждем завершения установки и восставливаем все из бэкапа, который мы делали в самом начале.
  7. Как обычно, все проходит на ура — без ошибок и сервис стартанул

С замиранием сердца на щелкаю на Certificate Templates — и… мне выдался список — это уже маленькая победа. Остается проверить работу выдачи сертификата через Веб. Прохожу по ссылке: vm_ca/certsvc и кликаю на Request a Certificate и далее advanced certificate request… указываю .csr запрос и получаю готовый сертификат. Выдахаю… Восстановить CA получилось.

Выводы:

  1. Обязательно делайте бэкап и snapshot
  2. Документируйте свои действия — это поможет вернуть все обратно или же найти ошибку быстрее

P.S. Мне же предстоит вновь попробовать миграцию CA с Windows 2008R на Windows 2012R2.
Теги:
Хабы:
Всего голосов 12: ↑10 и ↓2+8
Комментарии11

Публикации

Истории

Работа

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань