| ||||
| ||||
| Добрый день, в форуме Вы писали: >Перенос MS CA возможен при следующих ограничениях: >1) имена компьютеров (старого и нового) должны совпадать >2) эти компьютеры должны принадлежать к одному домену (или не входить в домен) >3) буквы системных дисков на этих компьютерах должны быть одинаковыми >4) названия системной папки Win должны быть одинаковыми (для 2000 Server по умолчанию это WINNT) >Если Вас всё устраивает - могу прислать инструкцию МЫ используем КриптоПро 2.0 сертификаты выдаем используя Цент Сертификации Windows2000Server. Не могли бы Вы выслать инструкцию. | ||||
| Ответы: | ||||
| ||||
| Собственно говоря, в случае использования CSP 2.0 и если CA не является подчинённым, инструкция по переносу достаточно простая: 1) на старом сервере делаем стандартный бэкап MS CA (без закрытого ключа). Отдельно сохраняем в файл корневой сертификат. 2) на новом сервере ставим CSP, настраиваем нужный носитель 3) устанавливаем корневой сертификат из файла в "Доверенные корневые ЦС" ЛОКАЛЬНОГО КОМПЬЮТЕРА (для этого в контекстном меню файла выбираем "Установить" и, при выборе хранилища, ставим галку "показать физические хранилища", затем раскрываем "Доверенные..." и выбираем "Локальный компьютер") 4) приносим ключ на носителе со старого сервера, через панель CSP - Сервис - Установить личный сертификат - выбираем этот же файл сертификата и обзором - контейнер ключа с носителя (перед нажатием Обзор переключаем на контейнеры "компьютера"). Во время ввода пароля (если он есть) обязательно ставим "Запомнить пароль". Когда спросит имя хранилища - выбираем Личные. 5) Запускаем установку MS CA, ставим галку Дополнительные параметры, выбираем нужный CSP, потом существующий контейнер и "связанный с ним сертификат" 6) после завершения установки, в MS CA нажимаем восстановить и указываем папку бэкапа, сделанного на шаге 1 7) Если хочется вводить пароль каждый раз при старте MS CA, в панели CSP - Сервис - "Удалить запомненные пароли" - Компьютера Если в п.4 использовался реестр в качестве носителя ключа, то переносим раздел HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys\<имя ЦС> со старого сервера на новый, далее так же | ||||
| ||||
| Используем КриптоПро 1.1 сертификаты выдаем через MA CA Win2000 Server. Необходимо перенести Центр Сертификации на другой сервер Win2003 Server и использовать КриптоПро 3.0. Делаю по шагам, как описано в форуме от 29.01.2007 15:41:01: 1) на старом сервере делаем стандартный бэкап MS CA (без закрытого ключа). Отдельно сохраняем в файл корневой сертификат. --- сделал 2) на новом сервере ставим CSP, настраиваем нужный носитель --- захожу в Оборудование, Сервис, Настроить носители, но там нет таковых, хотя в считывателях есть Дисковол А. Делаю добавить, доступных ключевых носителей в списке нет, поэтому нажимаю Установить с диска, но среди доступных установщиков дисковода или реестра нет. Что делаю не так? 3) устанавливаем корневой сертификат из файла в "Доверенные корневые ЦС" ЛОКАЛЬНОГО КОМПЬЮТЕРА (для этого в контекстном меню файла выбираем "Установить" и, при выборе хранилища, ставим галку "показать физические хранилища", затем раскрываем "Доверенные..." и выбираем "Локальный компьютер") --- сделал 4) приносим ключ на носителе со старого сервера, через панель CSP - Сервис - Установить личный сертификат - выбираем этот же файл сертификата и обзором - контейнер ключа с носителя (перед нажатием Обзор переключаем на контейнеры "компьютера"). Во время ввода пароля (если он есть) обязательно ставим "Запомнить пароль". Когда спросит имя хранилища - выбираем Личные. --- сделал 5) Запускаем установку MS CA, ставим галку Дополнительные параметры, выбираем нужный CSP, потом существующий контейнер и "связанный с ним сертификат" --- вроде получилось, хотя галку Дополнительные параметры не нашел 6) после завершения установки, в MS CA нажимаем восстановить и указываем папку бэкапа, сделанного на шаге 1 --- указываю папку бэкапа, но пишет "Ожидаемые данные не существуют в этом каталоге. Не удается найти указанный файл. 0x80070002(WIN32: 2). В папке бэкапа у меня есть следующие файлы: "ca bankrus08.edb", "ca bankrus08.pat", "certback.dat", "edb00009.log". Непонятно какой файл нужен ещё? | ||||
| ||||
| Нет, Microsoft так просто не обманешь :) Бекап MS CA от 2000 сервера не подходит для восстановления на 2003-м. Официально они предлагают обновлять саму ОС на исходном сервере с 2000 на 2003, а потом уже переносить на новый сервер. Неофициально - берите сами файлы БД ЦС %windir%\system32\certlog и записывайте их поверх существующих файлов в той же папке на новом сервере (всё это при остановленных службах CA там и там). Далее запускайте MS CA на 2003 - есть вероятность, что запустится. | ||||
| ||||
| Спасибо, CA заработал. | ||||
Солнцев Антон