2024年4月19日发(作者:)

前言

证书颁发机构 (CA) 是企业内部公钥基础结构 (PKI) 的核心组件。尽管CA 服务器可

使用许多年甚至是几十年或更长,但是我们有可能遇到这样的场景需求:

1. CA服务器已经服役了相当长的时间,而在这段时间内作为 CA 服务器的硬件可能

早已更新换代,所以有必要将CA服务器迁移到新的配置强劲的服务器上;

2. 基于公司的某些具体策略需求,需要将企业内部的CA服务器迁移到另外的服务器

基于这样的需求,我在这里向大家介绍一下如何将证书颁发机构 (CA)迁移到其他服务

器上。

注意:要将 CA 从运行 Windows 2000 Server 的服务器迁移到运行 Windows

Server 2003 的服务器,必须首先将运行 Windows 2000 Server 的 CA 服务器操作系

统升级到 Windows Server 2003。然后,才能按照本文所述的步骤进行迁移操作。

演示环境

环境很简单,我就不画什么拓扑图了,简单交代一下就行了。

Old_CA : (Windows server 2003)

New_CA : (Windows server 2003)

操作步骤

1. 如果你在证书颁发机构管理单元的“证书模板”文件夹中配置过自定义的证书模

板,那么必须在新的 CA 服务器上手动配置证书模板设置以保持模板集相同。打个比方,

如果你曾经在老的CA服务器上自定义过一个证书模板用于某个特殊用途,若仍想让客户

端在新的CA服务器上申请证书时仍能使用该模板的话,那么你需要再次在新的CA服务

器上配置相同的证书模板。因为有关证书模板的设置是存储在 Active Directory 中。这些

信息不会按照本文的操作而自动备份。

注意:“证书模板”文件夹仅存在于企业 CA 上。独立 CA 不使用证书模板。因此,

此步不适用于独立 CA。如果你想将独立CA进行迁移操作,那么请跳过此步骤。

2. 以下操作在老CA服务器上进行。我们需要使用“证书颁发机构”管理单元备份

CA 数据库和私钥。请按照下列步骤操作:

“运行”,输入,打开“证书颁发机构”的管理单元。在“证书颁发机构”

的管理单元中右键单击 CA a. 单击“开始” 名称,单击“所有任务”,然后单击“备份

CA”以启动证书颁发机构的备份向导。 如图1

b. 单击“下一步”,如图2.

c. 然后勾选“私钥和 CA 证书”和“证书数据库和证书数据库日志”。然后使用一

个空文件夹作为备份位置用来保存备份文件,请确保新服务器可以访问该备份文件夹。如

果指定的备份文件夹不存在,则证书颁发机构备份向导将创建它。如图3