CA证书的迁移

证书迁移准备工作:

1,备份CA模板列表:

Certutil -catemplates >c:\cabackup\catemplates.txt

2,记录CA的签名算法和CSP:

   Certutil -getreg ca\csp\* >c:\cabackup\csp.txt    

3,吊销的证书发布有效期延长

4,备份CA数据库和私钥:

4.1,用PowerShell:

Backup-CARoleService –path <BackupDirectory>

注:BackupDirectory指定创建备份文件的目录。指定的值可以是相对路径或绝对路径。如果指定的目录不存在，则创建该目录。备份文件在名为Database的子目录中创建。

4.2,用Certutil.exe

Net stop certsrv

Certutil -backupDB c:\cabackup\db  //注:导入所指定的文件夹必须是空文件夹

Certutil -backupkey c:\cabackup         //注:输入之后会要求输入一个密码以确保安全

5,备份CA注册表设置

5.1,用regedit.exe

单击“开始”、指向“运行”，然后键入 regedit 以打开注册表编辑器。在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 右键单击“配置”，然后单击“导出”。指定位置和文件名，然后单击“保存”。这将创建包含源 CA 的 CA配置数据的注册表文件。

5.2,使用Reg.exe备份CA注册表设置

             打开命令提示符窗口

键入reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration  <output file> .reg并按Enter。注 : output file 就一个绝对路径文件名将注册表文件复制到可从目标服务器访问的位置; 例如，共享文件夹或可移动媒体。

6,备份CAPolicy.inf

在C:\windows文件夹下 (一般情况下没有)

7,停止源CA服务器

8,在目标服务器上还原数据

8.1,在新CA服务器上安装CA证书颁机构--->AD CS配置时必须导入源CA的私钥.

8.2,还原数据库

8.2.1,用PowerShell

Stop-service certsvc

Restore-CARoleService -path c:\cabackup\ -databaseonly -force

Start-service certsvc

8.2.2,用Certutil

Net stop certsrv

Certutil.exe -f -restoredb  c:\cabackup

Net start certsrv

8.3,还原CA注册表设置

8.3.1,用reg.exe

在目标CA上导入源CA注册表备份

1.               以本地Administrators组成员的身份登录到目标服务器。

打开命令提示符窗口。

键入net stop certsvc并按Enter。

键入reg import  <Registry Settings Backup.reg>，然后按Enter。 //注:Registry Settings Backup.reg为备份的注册表文件位置

编辑CA注册表设置

DBDirectory

DBLogDirectory

DBSystemDirectory

DBTempDirectory

单击“ 开始”，在“ 搜索程序和文件”框中键入regedit.exe，然后按Enter以打开注册表编辑器。

在控制台树中，找到密钥HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ CertSvc \ Configuration，然后单击“ 配置”。

在详细信息窗格中，双击DBSessionCount。

单击十六进制。在“ 数值数据”中，键入64，然后单击“ 确定”。

验证以下设置中指定的位置是否适用于目标服务器，并根据需要进行更改以指示CA数据库和日志文件的位置。

8.3.2,修改 CAServerName

将源CAServerName修改为新CA的CAServerName

8.4,还原证书模板列表

使用管理凭据登录到目标CA.

打开命令提示符窗口。

键入certutil -setcatemplates +  <templatelist>，然后按Enter。 // 注:templatelist 为源CA导出的模板列表文件 catemlates.txt里面的文件名称

certutil -setcatemplates + Administrator，User，DomainController

8.5, 授予AIA和CDP容器权限(在DC上完成)

如果目标服务器的名称与源服务器不同，则必须为目标服务器授予AD DS中源服务器的CDP和AIA容器的权限

8.5.1,以Enterprise Admins组成员的身份登录到安装

ActiveDirectory站点和服务管理单元的计算机。打开Active Directory站点和服务（dssite.msc）

8.5.2,对这两个容器添加新CA计算机完全控制权限

(ps:如果在CDP扩展中使用文件// \ computer \ share语法将CRL发布到共享文件夹位置，则可能需要调整该共享文件夹的权限，以便目标CA能够写入该文件夹地点。如果您在目标服务器上托管CDP并使用包含别名的AIA或CDP路径（例如，pki.contoso.com）作为目标，则可能需要调整DNS记录以使其指向正确的目标IP地址。)