שלום חברים,
במאמר זה אני אציג לכם כיצד לבצע העברה מלאה של שירות ה-Certificate Authority בצורה הבטוחה ביותר, נלמד אלו פעולות נדרש מאיתנו לבצע לפני תחילת התהליך, כיצד ניתן לבצע גיבוי ושחזור של שרת ה-CA, נעביר את שירותי ה-CA לשרת חדש\אחר ונגדיר לכל התחנות\שרתים בארגון לעבוד מול שרת ה-CA החדש.
שלב א’ – מיפוי וגיבוי של שירותי ה-CA.
למה צריך לבצע מיפוי אנחנו גם ככה מבצעים גיבוי ושחזור לשירות ה-CA?
הסיבה היא מכיוון שלאחר שמצבעים העברה של שירות ה-CA, רשימת Certificate Templates הנוספים שאתם יצרתם בארגון אכן יעברו לשרת CA החדש אך תצטרכו להגדיר מחדש Certificate Templates to Issue ומסיבה זו אני ממליץ לכם לשמור עותק המכיל רשימה של כל ה Issued template – ולפי רשימה זו תגדירו ה- Templates to Issue בשרת CA החדש כפי שהיה מוגדר בשרת הקודם.
הצגת כל ה-Certificate Template ע”י הרצת הפקודה הבאה ב-Powershell:
Get-CATemplateבנוסף למיפוי ה-Certificate Templates תעברו גם על שאר ה-Roles של שירותי ה-CA ועל האובייקטים האחרים הנמצאים בתוך התיקיות האחרות (Revoked Certificates, Issued Certificates וכו’) ואפילו תקחו צילומי מסך בכדי שתוכלו לוודא בשרת CA החדש שהכל שוחזר באופן תקין.
שלב ב’ – גיבוי שירותי ה-CA.
ביצוע הגיבוי הינו השלב הכי חשוב בתהליך במידה ולא תבצעו גיבוי כמו שצריך, לא תוכלו לבצע שחזור בצורה תקינה חלק מהמידע יאבד ויהיה לכם די קשה לשחזר אותו.
לכן, שימו לב שאתם מבצעים גיבוי מלא לשירותי ה-CA כפי שאציג לכם.
Backup the CA:
- נפתח את ה-Root CA ע”י הרצת הפקודה הבאה:
certsrv.msc - לחצו קליק ימני על ה-RootCA ולאחר מכן
All Tasks –> Back up CA
לחצו Next ובחלונית הבאה תסמנו ב-V את 2 התיבות:
Private key and CA certificate
Certificate database and certificate database log
כעת בחרו את התיקייה שבא אתם רוצים לשמור את גיבוי ה- Database של שרת ה-CA ולחצו Next.
ולסיום הגדירו ססמת הגנה לקובץ הגיבוי בעזרת ססמה חזקה.
כך נראת לאחר תוצאה תקינה לאחר ביצוע הגיבוי:
Backup the CA registry key:
- פתחו את הRegistry ונתבו אל
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSVC\Configuration - לחצו קליק ימני על האובייקט של שרת ה-Root CA שלכם ולאחר מכן Export.
אנא בצעו בדיקה נוספת שאכן בוצע גיבוי ל- Root CA Database וגם לגדרות ה-Registry של ה- Root CA שלכם. לאחר שבדקתם והכל נראה תקין, עבירו את תיקיית הגיבוי אל שרת ה-CA החדש.
שלב ג’ – הסרת CA Roles.
כעת לפני שתבצעו שחזור לשרת CA החדש שלכם, תצטרכו לבצע הסרה מסודרת של שרת ה-CA הישן.
- פתחו אל Server Manager ונתבו אל
Manage –> Remove Roles and Features
- גשו אל לשונית “Server Roles” והסירו את הסימון של כל מה שקשור אל “Active Directory Certificate Services”
יכול להיות מצב שלא תוכלו להסיר את התפקיד של “Certificate Authority” עד שתסירו את התפקידים האחרים שלו. לכן במידה ואתם נתקלים בשגיאה בעת הסרת הRole, בצעו הסרה לכל התפקידים האחרים לדוגמה “Certificate Authority Web Enrollment” ולאחר מכן תסירו את “Certificate Authority”.
- לאחר שביצעתם הסרה מסודרת ל- “Active Directory Certificate Services”ניתן לבמשיך לשלב הבא.
שלב ד’ –שחזור שרת ה-CA מגיבוי חלק 1.
התקינו על השרת החדש את כל ה-CA Roles שהיו מותקנים על השרת CA הישן.
וכעת נתחיל להגיד את שרת ה-CA החדש.
לחצו על:
“Configure Active Directory Certificate Services on the destination server”
תחת לשונית “Credential” תדרשו לספק משתמש העונה לדרישות התקנת ה-Roles של CA.
בחלונית הבאה סמנו ב-V את ה-Roles שאתם רוצים להגדיר
תחת Setup Type בחרו ב-Enterprise או Standalone תלוי בסביבה שלכם. (אצלי זה Enterprise)
ב-CA Type סמנו Root CA
תחת Private Key בחרו ב-“Use existing private key” וב- “Select a certificate and use its associated private key”.
בחלונית הבאה בצעו ייבוא של התעודה שגיביתם מהשרת הישן, הקלידו את הססמה של שנתתם לתעודה ולחצו “OK”.
סמנו את התעודה ולחצו Next.
בלשונית Certificate Database אתם יכולים לשאיר את נתיב ברירת המחדל ללחוץ “Next” ולאחר מכן “Configure”.
כך נראת תוצאה תקינה:
שחזור שרת ה-CA מגיבוי חלק 2.
השביתו את כל ה-Services של “CA Service” ע”י הפקודה הבאה:
net stop certsvc
פתחו את קובץ ה-Registry שגיביתם משרת ה-CA הישן כמסמך Notepad ושנו את השם של השרת הישן לשם של השרת החדש ע”י עריכת הערך הבא:
“CAServerName”
לפני עריכה:
אחרי עריכה:
בצעו שמירה וטענו את קובץ ה-Registry אל בשרת CA החדש.
כעת נבצע שחזור של ה-CA Database
פתחו את Certificate Authority ע”י הרצת הפקודה הבאה:
certsrv.msc
לחצו קליק ימני על שם שרת הCA ולאחר מכן:
All Tasks -> Restore CA
לחצו Next ובחלונית הבאה תסמנו ב-V את 2 התיבות:
Private key and CA certificate
Certificate database and certificate database log
כעת בחרו את התיקייה שבא נמצא גיבוי ה- Database של שרת ה-CA הישן ולחצו Next.
בחלונית הבאה הקלידו את ססמת הגנה שהגדרתם כשביצעתם גיבוי.
לחצו “Finish” התמתינו עד שתקפוץ לכם ההודעה שאומרת שהפעולה הסתיימה בהצלחה, לחצו “Yes” בכדי ששירותי ה-CA יתחילו לעלות ובזה סיימנו את שלב השחזור.
This Article Was Written By Matan Sigavker.
מאמר מעולה תודה לך על המידע
נ.ב
אתר מעולה