Windows Server 2008 R2 升级之CA角色还原

Posted 2021-02-21

证书角色的安装及配置在之前的博客中有写，这里就不再多做赘述，直接开始进行还原吧。

打开服务器管理器，在工具中点击证书颁发机构；

右键CA服务器，在所有任务中点击还原；

是否停止AD证书服务，点击确定；

进入还原向导界面，点击下一步；

选择要还原的项目，然后在浏览中选择我们备份的CA文件，点击下一步；

输入我们备份时输入的密码，点击下一步；

点击完成并开始还原；

还原成功，是否启动AD证书服务，这里我们暂时不启动，因为我们还需去还原注册表，点击否；

找到我们备份的CA注册表并双击添加；

CA注册表添加成功，点击确定关闭；

在CMD中输入net start certsvc启动CA相关服务；

打开证书颁发机构，右键服务器选择属性；

在扩展窗口中，选择扩展为CRL分发点，并点击添加按钮；

在添加位置中，输入以下路径：ldap：/// CN = <CATruncatedName> <CRLNameSuffix>，CN = Server Name，CN = CDP，CN =Public Key Service，CN =Services，<ConfigurationContainer> <CDPObjectClass>，完成后点击确定；

确保添加的CRL扩展已勾选以下选项，点击确定；

是否要重启AD证书服务，点击是；

打开AD站点和服务，在查看选项卡中点击显示服务节点；

依次展开Services/Public Key Services，右键AIA选择属性；

在安全选项卡中点击添加；

查找添加本地计算机账户，点击确定；

赋予完全控制权限后，点击确定；

至此，CA角色还原成功。

这里多嘴一句，如果你是在生产环境中，做CA升级的话，建议将根证书导出再导入到新的CA服务器中，这样就免去应用的麻烦，否则应用服务器需要重新颁发证书。