證書服務器,備份,還原

CA備份

即使你不打算對CA做遷移，你也應該對CA做一個備份，CA的備份與我們通常所進行的備份時不同的，CA的備份需要通過以下的步驟實現(xiàn)：

如果你正準備備份一個企業(yè)CA，在CA控制臺中點擊證書模板，然后記錄下證書模板中列出的名稱。這些模板都是存儲在AD域中的，所以你不需要對它們進行備份。你必須要清楚的知道進行遷移的模板有哪些是由CA發(fā)布的，因為你必須在遷移之后手動的添加這些模板。

在CA控制臺，右鍵點擊CA名稱，選擇"所有任務"，然后點擊"備份CA"打開CA備份向?qū)?，在備份向?qū)е校阈枰x擇備份CA的私鑰，CA證書，證書數(shù)據(jù)庫以及證書數(shù)據(jù)庫日志。你還可以指定一個合適的備份內(nèi)容的存放位置，考慮到安全性因素，最好設定密碼對CA私鑰進行保護。

在完成備份之后，你應該打開注冊表編輯器，找到并導出以下的注冊表的子鍵：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

注意：我們推薦將該注冊表鍵值的導出文件保存到CA備份的文件夾中。

4. 做完上面的操作后，一旦你想將CA遷移到其他的電腦，你需要將CA從舊的服務器上卸載，然后將舊 服務器重命名或斷開它的網(wǎng)絡連接。

CA還原

CA的還原通常是在必須修復當前CA或需要遷移到其他服務器時進行的。

還原CA需按照以下步驟操作：

在目標計算機上安裝AD CS角色。選擇安裝獨立CA或者企業(yè)CA，這取決于你需要遷移的CA的類型。當你見到"指定私鑰類型"頁面時，點擊"使用現(xiàn)有私鑰"，然后選中"選擇一個證書并使用其關聯(lián)私鑰"，這樣可以讓你在新的CA服務器上繼續(xù)使用原來舊服務器的證書。

在"現(xiàn)有證書"頁面，點擊導入，輸入備份CA時生成.p12文件的存儲路徑，接著輸入備份時設定的密碼，然后點擊確認，當你被提示"公鑰和私鑰秘鑰對"時，確保選中了現(xiàn)有秘鑰，如果你想使用相同的根CA證書，這個步驟非常關鍵。

當你進入到"證書數(shù)據(jù)庫"頁面，指定一個和舊服務器相同的存放位置去存放證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志，這些步驟都完成后，點擊"配置"，等待安裝向?qū)У膱?zhí)行完畢。

安裝完成后，打開AD CS服務的服務插件，還原舊服務器的設置。

找到備份時導出的注冊表文件，然后雙擊將它導入到注冊表中。

還原了注冊表設置后，打開CA管理控制臺，右鍵點擊CA名稱，點擊"所有任務"，接著點擊"還原CA"，這時會出現(xiàn)CA還原向?qū)?，在向?qū)е心憧梢赃x擇"私鑰和CA證書"和"證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志"，這里是為了指定你想要還原的對象。下一步就輸入一個備份文件夾位置并確認還原的設置沒有問題。還原設置中"頒發(fā)日志"和"掛起申請"應該是"顯示"。

當還原完成后，選擇重啟AD CS服務。

如果你還原的是企業(yè)CA，你需要確認之前記錄的AD域中保存的證書模板在新的CA上能夠看到，并且是可用的。