Skype for business/Lync之证书解析（三）：关于证书服务器的迁移

Skype for business/Lync之证书解析（三）：关于证书服务器的迁移

• 为什么要迁移证书服务器？

通常是证书相关的服务器要进行系统升级，比如原来证书服务与DC共存于一台服务器，现在DC要升级到新的版本，这个时候需要把证书服务迁移到其他服务器，此时建议把证书服务迁移到一台独立的证书服务专用的虚拟机中，不再与DC共存。

• 如何迁移？

最权威的步骤当然是按照微软官方指南：https://technet.microsoft.com/zh-cn/library/ee126170(v=ws.10).aspx。不过，步骤太多，可能看得你晕头转向，实际上每个企业环境不同，不一定非要根据这个指南完成所有步骤，微软这个指南是适合所有场景，在大多数情况下，是可以大大简化下面的步骤的，可以简化到只要红框中的几步，所花时间也就10分钟左右。

下面对上面一些重要的红框做些说明，关于具体操作请参见微软文档，此不赘述。

先说第一个红框：备份CA数据库和私钥：

为什么要备份CA的私钥，这样保证迁移后根证书不会变，如果根证书变了，想想很多终端要重新导入根证书，迁移就没有意义了。

为什么要备份CA数据库，其实不备CA数据库问题不大，不像私钥那么重要，但有一个问题，比如有个邮件证书要到期了，需要续订，那如果不恢复备份，证书颁发机构里面没有记录肯定是续订不了的，所以备份还是要恢复，只是注册表就不用恢复了。

下图是备份的结果：

另外注意就是在新服务器上部署证书服务时，要选择使用现有私钥，如下图，以便让上面的备份生效。