Доброго времени суток.
Начал "боевую" миграцию. Всё вроде пошло нормально, но в итоге вернулся к ошибкам на ЦР (ранее при тестировании уже писал).
Проблемы начались на ЦР:
- восстановление базы с версии 1.5 прошло без проблем;
- запрос на сертификат ЦР прошел без проблем;
- запрос на сертификат web-узла (во время разворачивания Роли ЦР) прошел без проблем;
- Ошибка во время запроса на сертификат Администратора ЦР: "ОШИБКА: Инициализатор типа "RegistrationService.BusinessEntities.RaTableSchema" выдал исключение.". Ссылается на недоступность MSDTC (даже если его принудительно напустить в Службах).

Также заметил в журнале множество предупреждений и ошибок, повторяющихся с периодичностью раз в минуту-две. Плюс есть предупреждение в журнале PowerShell о недоступности службы MSDTC на машине ЦР.







Здесь...
https://www.cryptopro.ru...aspx?g=posts&t=11256
...вроде обсуждали подобную проблему, но ответов не появилось.

На виртуальной машине с тех же самых дистрибутивов с тем же количеством ресурсов с тем же восстановлением баз ЦР всё сразу заработало.

ОС: Windows 7 Pro (x86) (сервер не поддерживает x64)
ОЗУ: 2ГБ
DB: SQL Express 2012 (пробовал на 2014, когда тестировал, не заработало. заработало на 2012), позже 2008.
Windows Management Framework 3.0 (из дистрибутива).
ДСЧ: Аккорд АМДЗ, Биологический, Исходный материал.

Может кто-то что посоветует?

При выполнении 9.1.7 Импорт запросов, возникли проблемы:
1. ПРЕДУПРЕЖДЕНИЕ: В сертификате по запросу (RequestId = 01c4b514-0a71-e711-8b19-000c298eff3a, CompatRequestId = 1, RequestNameId = 02c4b514-0a71-e711-8b19-000c298eff3a) отсутствует расширение AuthorityKeyIdentifier.
Такое предупреждение выскакивает не на всех сертификатах. Но во всех есть информация "Идентификатор ключа субъекта" и "Идентификатор ключа центра сертификации".
2. ПРЕДУПРЕЖДЕНИЕ: Cертификат с идентификатором запроса 6 не будет импортирован, так как для него не найден сертификат издателя.
Такое предупреждение выскакивает не на всех сертификатах. Сертификат который выпускался в тот же день импортируется а соседний нет. Все ключи ЦС (их 2) установлены и привязаны к Администратору ЦС.
3. ПРЕДУПРЕЖДЕНИЕ: Запрос (RequestId = d8c8b514-0a71-e711-8b19-000c298eff3a, CompatRequestId = 409, RequestNameId = d9c8b514-0a71-e711-8b19-000c298eff3a) содержит повторяющийся открытый ключ.
Вообще не понятно что за таке.
4. И самое главное: импорт с ошибкой прекращается. Данный ключ это ключ ЦС.
Import-CARequest.GIF (34kb) загружен 28 раз(а).

Спасибо за ответы!
1. Да действительно это корневые ЦС были.
2. Это сертификаты с неудачными запросами. Не знаю как от них избавиться, но можно закрыть глаза на их НЕ перенос.
3. Данная ошибка появилась на паре сертификатов, которые являются корневыми ЦС в момент, когда мы меняли орг форму и юр. адрес - силами (выезд к нам в офис) КриптоПРО был выпущен новый сертификат, я уж не знаю почему выдается ошибка при импорте.
4. Как я и говорил, ошибка на корневом ЦС.

В итоге сам разобрался: помог ключ -SkipDuplicateCertificates в Import-CARequest, проверил все запросы и сертификаты импортнулись - за исключением пункта 2.

Теперь ошибка при загрузке ключа (старого, он только для подписи CRL) в Агенте ЦС: пишет "Отказано в доступе", хотя текущий ключий загрузил без ошибок. Ключ уже переустанавливал, Агент запускается под тем же пользователем. Подскажите в чем причина?

Да, CSP 4.0.9842.
Я правильно понимаю, что при миграции нужно было Import-CACertificate делать только корневых ЦС (у нас их два) с привязкой к Администратору ЦС? Если да, то они оба еще действующие и один из них не получается Загрузить в Агенте ЦС.

Это я прекрасно понимаю. Ключ выпущен 11.02.2013 на 5 лет. Подскажите как посмотреть срок ключа у корневого, а то малоли я ошибаюсь? Т.к. сам сертификат то на 15 лет.