应用于Windows 2000 Server、Windows Server 2003的证书服务器迁移和重装的环境

官方链接:http://support.microsoft.com/kb/298138/zh-cn

Windows Server 2003

警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

1、记下在证书颁发机构管理单元的“证书模板”文件夹中配置的证书模板。证书模板设置存储在 Active Directory 中。这些信息不会自动备份。必须在新的 CA 上手动配置证书模板设置以保持模板集相同。

注意:“证书模板”文件夹仅存在于企业 CA 上。独立 CA 不使用证书模板。因此,此步不适用于独立 CA。

2、使用证书颁发机构管理单元备份 CA 数据库和私钥。为此,请按照下列步骤操作:

1)在证书颁发机构管理单元中,右键单击 CA 名称,单击“所有任务”,然后单击“备份 CA”以启动证书颁发机构备份向导。

2)单击“下一步”,然后单击“私钥和 CA 证书”。

3)单击“证书数据库和证书数据库日志”。

4)使用一个空文件夹作为备份位置。确保新服务器可以访问该备份文件夹。

5)单击“下一步”。如果指定的备份文件夹不存在,则证书颁发机构备份向导将创建它。

6)键入并确认 CA 私钥备份文件的密码。

7)单击“下一步”,然后验证备份设置。应当显示下列设置:

私钥

CA 证书颁发的日志

挂起的申请

8)单击“完成”。

3、保存此 CA 的注册表设置。为此,请按照下列步骤操作:

1)单击“开始”,单击“运行”,在“打开”框中键入 regedit,然后单击“确定”。

2)找到下面的注册表子项,然后右键单击它:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

3)单击“导出”。

4)将注册表文件保存在第 2d 步中定义的 CA 备份文件夹中。

4、删除旧服务器上的证书服务。

5、重新命名旧服务器,或者将其永久与网络断开连接。

6、在新服务器上安装证书服务。为此,请按照下列步骤操作。

注意:新服务器的计算机名称必须与旧服务器的计算机名称相同。

1)在控制面板中,双击“添加或删除程序”。

2)单击“添加/删除 Windows 组件”,单击 Windows 组件向导中的“证书服务”,然后单击“下一步”。

3)在“CA 类型”对话框中,单击适当的 CA 类型。

4)单击“用自定义设置生成密钥对和 CA 证书”,然后单击“下一步”。

5)单击“导入”,键入备份文件夹中 .P12 文件的路径,再键入在第 2f 步中选择的密码,然后单击“确定”。

6)在“公钥/私钥对”对话框中,验证是否选中“使用现有密钥”。

7)单击两次“下一步”。

8)接受“证书数据库设置”的默认设置,单击“下一步”,然后单击“完成”结束证书服务的安装。

7、停止证书服务的相关服务。

8、找到在第 3 步中保存的注册表文件,然后双击该文件以导入注册表设置。

9、使用证书颁发机构管理单元还原 CA 数据库。为此,请按照下列步骤操作:

1)在证书颁发机构管理单元中,右键单击 CA 名称,单击“所有任务”,然后单击“还原 CA”。

证书颁发机构还原向导启动。

2)单击“下一步”,然后单击“私钥和 CA 证书”。

3)单击“证书数据库和证书数据库日志”。

4)键入备份文件夹位置,然后单击“下一步”。

5)验证备份设置。应当显示“颁发的日志”和“挂起的申请”设置。

6)单击“完成”,然后单击“是”以在还原 CA 数据库时重新启动证书服务。

10、在证书颁发机构管理单元中,手动添加或删除证书模板以复制在第 1 步中所记录的证书模板设置。