微软CA证书授权机构服务器迁移遇到的问题
迁移场景
既然迁移那么肯定有一台旧的微软CA服务器,一台新的微软CA服务器,两台服务器位于同一个微软域环境下
旧CA服务器
1、CA的备份
2、注册表的备份
导出注册表的位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
新CA服务器
1、安装时的管理员需要加入到Enterprise Admins组中
2、添加角色
3、配置服务
4、对CA进行备份恢复
5、导入备份的注册表
常见故障问题1:通过web申请证书时,报以下错误:找不到证书模板,没有权限请求证书,或访问域目录时发生错误。
No certificate templates could be found. You do not have permission to request a certificate from this CA, or an error occurred while accessing the Active Directory.
问题解决
在域控服务器上验证dNSHostName属性值,在新CA服务器验证sServerConfig的值是否一致
1、域控上进入命令adsiedit.msc,选择configuration,导航到CN= CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= MyDomain,DC=com,即可查看到dNSHostName,如果显示的是旧CA服务器的名称,则改为新的CA服务器名称。
2、在新的CA服务器证书目录位置,通常在c:\windows\system32\certsrv下,找到Certdat.inc并打开检查sServerConfig的值是否和域控一值。检查IIS中certsrv的虚拟目录是否关闭了匿名访问并开启了Windows验证访问。
常见故障问题2:申请证书时登陆用户后无法看到Web server证书模板的问题
搭建好CA服务器后,在进行证书授权的时候发现,竟然看不到“web服务器”的选项,如图所示:
解决方法
直接登录服务器,查看证书颁发机构,发现存在“web服务器”模板,如图:
右击证书模板,选择“管理”:
右击“web服务器”,选择“属性”,如图:
点击“安全”-“添加”,把使用的账号添加进去:
再次申请证书,可以看到了“web服务器”模板:
所登陆账号对所访问的证书模板的权限问题
