How to migrate CA from Server 2003 to Server 2008 R2 – Part IV Post-Migration Tasks

  • Article

本系列包含四大部份 , 相關連結如下

How to migrate CA from Server 2003 to Server 2008 R2 – Part I Backup CA & Uninstall ...

How to migrate CA from Server 2003 to Server 2008 R2 – Part II Install CA Role on Destin ...

How to migrate CA from Server 2003 to Server 2008 R2 – Part III Restore CA on Destinatio ...

How to migrate CA from Server 2003 to Server 2008 R2 – Part IV Post-Migration Tasks

 

Part IV

確認CA的CDP & AIA Extenstion是否設定正常
==================================

開啟CA管理畫面 – 對CA名稱點右鍵 – 內容
clip_image001

點選延伸的標籤 , 分別確認CDP & AIA部份的設定是否正確
clip_image002

確認AD資料庫內CDP & AIA容器的權限
==================================

於DC上開啟dssite.msc , 點選檢視-顯示服務節點
clip_image003
找到下圖CDP-SourceCA , 針對右邊所有cRLDistributionPoint類型的物件修改安全性 , 加入目的端Server的電腦帳號並給予完全控制的權限
clip_image005

針對AIA內的CA名稱確認目的端Server是否有完全控制的權限

image

       
   
安裝新的憑證範本
==================================

用Enterprise Admins群組的成員登入CA , 開啟CA管理畫面 , 對憑證範本點右鍵 – 管理
clip_image006

此時會出現底下對話框 – 點選[是]來安裝新的憑證範本
clip_image007

新增別名紀錄確保CRL Checking正常
==================================

如果目的端Server跟來源Server的電腦名稱不一樣時,我們可以再DNS Server裡面新增一筆Source Server的CNAME對應到目的端Server
確保先前發出去的憑證在進行CRL Checking時不會有問題
clip_image009

發佈原先的憑證範本
==================================

根據先前於來源Server執行certutil -catemplates > CATemplates.txt所產生的文字檔案將原先發佈的憑證範本重新發佈
clip_image010

 

確認CA運作正常
==================================

1. 找一台Client測試憑證是否可以正常申請憑證

2. 確認新舊憑證的CRL Checking是正常的

分別找一個新申請的憑證 & 先前申請的憑證 , 將其匯出成CertNew.cer & CertOld.cer
執行此指令certutil -verify -urlfetch Name.cer 確認CRL的檢測是否成功
(如下圖,確認AIA & CAP都是已確認 , 而且最後有顯示成功通過憑證撤銷檢查)
clip_image012

clip_image014

clip_image015