CA证书的迁移

证书迁移准备工做:

1,备份CA模板列表:

Certutil -catemplates >c:\cabackup\catemplates.txt

2,记录CA的签名算法和CSP:

   Certutil -getreg ca\csp\* >c:\cabackup\csp.txt    

3,吊销的证书发布有效期延长

4,备份CA数据库和私钥:

4.1,用PowerShell:

Backup-CARoleService –path <BackupDirectory>

注:BackupDirectory指定建立备份文件的目录。指定的值能够是相对路径或绝对路径。若是指定的目录不存在，则建立该目录。备份文件在名为Database的子目录中建立。

4.2,用Certutil.exe

Net stop certsrv

Certutil -backupDB c:\cabackup\db  //注:导入所指定的文件夹必须是空文件夹

Certutil -backupkey c:\cabackup         //注:输入以后会要求输入一个密码以确保安全

5,备份CA注册表设置

5.1,用regedit.exe

单击“开始”、指向“运行”，而后键入 regedit 以打开注册表编辑器。在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 右键单击“配置”，而后单击“导出”。指定位置和文件名，而后单击“保存”。这将建立包含源 CA 的 CA配置数据的注册表文件。

5.2,使用Reg.exe备份CA注册表设置

             打开命令提示符窗口

键入reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration  <output file> .reg并按Enter。注 : output file 就一个绝对路径文件名将注册表文件复制到可从目标服务器访问的位置; 例如，共享文件夹或可移动媒体。

6,备份CAPolicy.inf

在C:\windows文件夹下 (通常状况下没有)

7,中止源CA服务器

8,在目标服务器上还原数据

8.1,在新CA服务器上安装CA证书颁机构--->AD CS配置时必须导入源CA的私钥.

8.2,还原数据库

8.2.1,用PowerShell

Stop-service certsvc

Restore-CARoleService -path c:\cabackup\ -databaseonly -force

Start-service certsvc

8.2.2,用Certutil

Net stop certsrv

Certutil.exe -f -restoredb  c:\cabackup

Net start certsrv

8.3,还原CA注册表设置

8.3.1,用reg.exe

在目标CA上导入源CA注册表备份

1.               以本地Administrators组成员的身份登陆到目标服务器。

打开命令提示符窗口。

键入net stop certsvc并按Enter。

键入reg import  <Registry Settings Backup.reg>，而后按Enter。 //注:Registry Settings Backup.reg为备份的注册表文件位置

编辑CA注册表设置

DBDirectory

DBLogDirectory

DBSystemDirectory

DBTempDirectory

单击“ 开始”，在“ 搜索程序和文件”框中键入regedit.exe，而后按Enter以打开注册表编辑器。

在控制台树中，找到密钥HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ CertSvc \ Configuration，而后单击“ 配置”。

在详细信息窗格中，双击DBSessionCount。

单击十六进制。在“ 数值数据”中，键入64，而后单击“ 肯定”。

验证如下设置中指定的位置是否适用于目标服务器，并根据须要进行更改以指示CA数据库和日志文件的位置。

8.3.2,修改 CAServerName

将源CAServerName修改成新CA的CAServerName

8.4,还原证书模板列表

使用管理凭据登陆到目标CA.

打开命令提示符窗口。

键入certutil -setcatemplates +  <templatelist>，而后按Enter。 // 注:templatelist 为源CA导出的模板列表文件 catemlates.txt里面的文件名称

certutil -setcatemplates + Administrator，User，DomainController

8.5, 授予AIA和CDP容器权限(在DC上完成)

若是目标服务器的名称与源服务器不一样，则必须为目标服务器授予AD DS中源服务器的CDP和AIA容器的权限

8.5.1,以Enterprise Admins组成员的身份登陆到安装

ActiveDirectory站点和服务管理单元的计算机。打开Active Directory站点和服务（dssite.msc）

8.5.2,对这两个容器添加新CA计算机彻底控制权限

(ps:若是在CDP扩展中使用文件// \ computer \ share语法将CRL发布到共享文件夹位置，则可能须要调整该共享文件夹的权限，以便目标CA可以写入该文件夹地点。若是您在目标服务器上托管CDP并使用包含别名的AIA或CDP路径（例如，pki.contoso.com）做为目标，则可能须要调整DNS记录以使其指向正确的目标IP地址。)