Windows CA 迁移 part3. 目标CA配置修改

接上一部分内容，目标CA的数据已经导入完毕，开始修改各类配置。

1、首先修改CRL与AIA的路径，

大致思路：注册表里直接将路径全部写死指向目标CA。

（即自己添加的CRL与AIA路径，全部修改成指向目标CA服务器）

首先修改DBSessionCount为64

然后验证以下四个目录路径是否与源服务器一致

修改CAServerName为当前CA服务器的fqdn，注意注册表路径。

如果你的CA上安装了其他的CA功能，那么以下三个键值也需要做改动：

• CAServerName

• CACertFileName

• ConfigurationDirectory �C 路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

接下来修改CACertPublicationURLs与CRLPublicationURLs 两个键值，将内容里的%1替换为目标服务器的FQDN，将%2替换为目标服务器的NETBIOS名。

这里微软的文档是建议只替换NETBIOS名。为了保险起见，都替换掉也没什么不妥。

2、注册表修改完毕后，打开证书颁发机构的属性栏，在扩展的CRL分发点里新增一条ldap位置，即默认的

ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>

用于处理CA默认的分发路径。（前面的修改是处理管理员增加的CRL）

注意下面的勾选选项，确保每一项与之前截图备份的CRL与AIA路径条目相同。

3、为AIA与CDP容器分配权限，打开AD站点与服务，选中左边的ActiveDirectory站点和服务，然后单击查看 - 查看服务节点。

按照图中路径，选中AIA，修改AIA容器里CA名称的安全权限，删除源CA计算机账户的权限项，添加当前CA服务器的计算机账户，并且赋予完全控制权限。

以同样的方法，修改CDP容器里子项内容的权限，会发现CDP容器下存在以源CA命名的容器，不用管它，修改其中以CA名称命名的内容的权限即可。

&#160;

3、在证书颁发机构MMC中对比证书模板，如果有自定义的，则逐项手动添加即可。

4、全部修改完成之后，重启一次CA服务

&#160;

至此，目标CA的修改全部结束，下一部分就来验证此次迁移究竟成功与否。