将2003证书服务器迁移到2008R2服务器上

[url=]二、迁移证书颁发机构[/url]
[url=]1[/url]、备份源证书服务器 CA 数据库和私钥
（1） 以域管理员身份，登录到源服务器。
（2） 打开“证书颁发机构”管理单元。
（3） 右键单击CA名称，指向“所有任务”，然后单击“备份 CA”。

（4） 在 CA 备份向导的“欢迎”页上，单击“下一步”。
（5）在“要备份的项目”页上，选中“私钥和 CA 证书”以及“证书数据库和证书数据库日志”复选框，指定备份位置例如D:\CABACKUP，然后单击“下一步”。

（3） 在“选择密码”页上，键入用于保护 CA 私钥的密码，并单击“下一步”。
（7） 在“正在完成备份向导”页上，单击“完成”。
（8）备份完成后，验证所指定的位置中的以下文件：
①包含 CA 证书和私钥的 CA 名称.p12

②包含文件 certbkxp.dat、edb#####.log 和 CA 名称.edb 的 Database 文件夹
（9）打开命令提示符窗口，并键入 net stop certsvc 以停止“Active Directory 证书服务”服务。
（10）将所有备份文件复制到可从目标服务器中访问的位置（C：\windows\sysvol\sysvol）。
[url=]2[/url]、备份源证书服务器 CA 注册表设置
（1）以域管理员登陆源服务器
（2）单击“开始”，指向“运行”，并键入 regedit 以打开注册表编辑器。
（3）在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 中，右键单击“Configuration”，然后单击“导出”。

（5） 指定C：\windows\sysvol\sysvol位置存储和文件名为careg，然后单击“保存”。
[url=]3[/url]、备份源证书服务器CAPolicy.inf
（1）打开我的电脑，找到c:\windows，没有找到CAPolicy.inf文件，直接搜索C盘也无CAPolicy.inf文件。注意：已经需要打开文件夹显示隐藏文件属性。
（2）说明用户没有自定义CAPolicy.inf，因此不需要备份这个文件。
[url=]4[/url]、从源服务器中删除 CA 角色服务
（1）以域管理员身份登录源服务器。
（2）打开控制面板，使用“添加/删除 Windows 组件”，卸载证书服务器。

（3）等卸载完成，后点击完成。
[url=]5[/url]、将 CA 角色服务添加到目标服务器
（1）以域管理员身份登录目标服务器
（2）打开管理工具---服务器管理器，添加角色
（3）添加AD证书服务，下一步

（4）选择证书颁发机构和证书颁发机构web注册，下一步

（5）选择企业，下一步。

（6）根CA，下一步

（7）在“设置私钥”页上，选择“使用现有私钥”和“选择一个证书并使用其关联私钥”。

（8）在“证书”列表中，单击导入的 CA 证书，然后单击“下一步”。
注意：需要提前将源服务器中的cabackup文件夹和careg.reg,和catemplates.txt文件拷贝到本地C盘根目录。
（9）选择cabackup文件夹.p12文件，并输入备份时的密码，确定。

（10）选择chinalifereca，然后下一步

（11）在“配置证书数据库”页上，下一步。

（12）在“确认安装选择”页上查看消息，然后单击“安装”。

（13）安装完成，选择关闭。

[url=]6[/url]、在目标服务器上还原 CA 数据库
（1）以域管理登陆目标服务器
（2）打开管理工具---证书颁发机构
（3）右键单击包含 CA 名称的节点，指向“所有任务”，然后单击“还原 CA”。如果出现提示，请单击“确定”停止 CA 服务。
（4）在“欢迎”页上，单击“下一步”。
（5）在“要还原的项目”页上，选择“证书数据库和证书数据库日志”。
（6）单击“浏览”，选择C:\cabackup \目录，按下一步。

（6） 输入密码，下一步。
（7）点击完成
（8）单击“是”重新启动 CA 服务。
[url=]7[/url]、在目标 CA 上导入源 CA 注册表备份
（1）以域管理员身份登录目标服务器
（2）以管理员身份运行“命令提示符”。
（3）键入 net stop certsvc 并按 Enter。

（4）切换到存放careg.reg文件的目录，键入 reg import careg.reg，并按 Enter。
注意：需要提前将源服务器中的careg.reg,文件拷贝到本地C盘根目录。

[url=]8[/url]、编辑 目标服务器CA 注册表设置（注意:如果源服务器和目标服务器名称相同，可以直接跳到10步骤）
（1）单击“开始”，在“搜索程序和文件”框中键入 regedit.exe，并按 Enter 以打开注册表编辑器。
注意：更改注册表前，先备份注册表。
（2）在控制台树中，找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration 项

（3）在详细信息窗格中，双击“DBSessionCount”。

（4）单击“十六进制”。在“数值数据”中，键入 64，然后单击“确定”。

（5）验证以下设置中指定的位置对于目标服务器是否正确，并根据需要更改它们以指示 CA 数据库和日志文件的位置。
① DBDirectory

②DBLogDirectory
③DBSystemDirectory
④DBTempDirectory
注意：以上键值中目录位置要和安装CA时的路径一致，否则会出错误。
（6）在注册表编辑器的控制台树中，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration，并单击 CA名称。

（7）通过将源服务器名称替换为目标服务器名称，修改以下注册表设置的值。
① CACertFileName

②ConfigurationDirectory （注意：这个值，在configuration键值下面，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration）
② CAServerName
（8）通过将 %1 替换为目标服务器的完全限定的域名（例如 “[url=]BJ-DC.test.local[/url]”），并将 %2 替换为目标服务器的 NetBIOS 名称（这里为“BJ-DC”），修改以下注册表设置的值
（HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration下面）。
② CACertPublicationURLs

②CRLPublicationURLs
[url=]9[/url]、验证目标 CA 上的证书扩展
（1）打开“证书颁发机构”管理单元。
（2）在控制台树中，单击 CA 的名称。
（3）在“操作”菜单上，单击“属性”，然后单击“扩展”选项卡。请确认“选择扩展”设置为“CRL 分发点(CDP)”。

（4）添加如下一条（如下图：）： “ ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>”
注意：如果目标CA服务器和源CA服务器名称不同，必须有这条。否则吊销服务器不正常。

（5）点击新添加的“ ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>”
更改为下列选项。（注意这里选项要与“一、准备源服务器4”中最后记录CRL和ATA设置一致）

（6）测试时可以将证书CRL发布间隔改为5年，增量改为4年

注意：CRL发布间隔时间长短会对客户端访问证书的性能和证书安全有影响。
[url=]10[/url]、还原证书模板列表
（1）以域管理员登陆目标服务器。
（2）打开证书颁发机构---证书模板

（3）对比源服务器的备份 CA 模板列表

如果缺少某个模板，可以使用一下命令，单独添加
①以管理员身份打开命令提示符窗口。
③ 切换到C盘
④ 例如：添加系统管理员模板（具体模块命令，可以参考（3）中文对照的英文）：
键入 “certutil -setcatemplates +” Administrator””，并按 Enter。
[url=]11[/url]、对 AIA 和 CDP 容器授予权限
（1）以域管理员登陆到目标服务器
(2)单击“开始”，指向“运行”，键入 dssite.msc，打开AD站点和服务，然后单击“确定”。
（3）在控制台树中，单击顶部的节点。
（4）在“视图”菜单上，单击“显示服务节点”。
（5）在控制台树中，展开“服务（Services）”，展开“公钥服务（Public Key Services）”，然后单击“AIA”。

（6）在详细信息窗格中，右键单击源 CA名称，然后单击“属性”。
（7）单击“安全性”选项卡，然后单击“添加”。
（8)单击“对象类型”，单击“计算机”，然后单击“确定”。

（9）键入目标服务器的名称，并单击“确定”。

（10）在“允许”列中，单击“完全控制”，并单击“应用”。

（11）如果源服务器名对象显示在“组或用户名”中，请单击源服务器的名称，然后单击“删除”，再单击“确定”。
（12)在控制台树中，展开“CDP”，然后单击源服务器的名称。
（13）在详细信息窗格中，右键单击列表顶部的“cRLDistributionPoint”项，然后单击“属性”。
（14）单击“安全性”选项卡，然后单击“添加”。
（15）单击“对象类型”，单击“计算机”，然后单击“确定”。
（16）键入目标服务器的名称，并单击“确定”。
(17)在“允许”列中，单击“完全控制”，并单击“应用”。
(18)如果源服务器名称对象显示在“组或用户名”中，请单击源服务器的名称，然后单击“删除”，再单击“确定”。
[url=]12[/url]、启动证书服务
1）以域管理员登陆目标服务器
2）打开管理工具---证书颁发机构，右键选择CA证书名称，所有任务，然后启动服务。
（4） 验证迁移