次の設定がデモンストレーションに使用されます。
| サーバー名 | オペレーティングシステム | サーバーの役割 |
|---|---|---|
| canitpro-casrv.canitpro.local | Windows Server 2003 R2
エンタープライズx86 | AD CS(エンタープライズ
認証局) |
| CANITPRO-DC2K12.canitpro.local | Windows Server 2012 R2 x64 |
手順1. Windows Server 2003認証機関の構成とデータベースをバックアップします
ローカル管理者のグループのアカウントでWindows Server 2003にアクセスします。
[スタート]-[管理ツール]-[認証局]を選択します
サーバーノードを右クリックします。 [ すべてのタスク]を選択してから、[ CAをバックアップ ]
「認証機関バックアップウィザード」が開き、 「次へ」をクリックして続行します。
次のウィンドウで、強調表示されている項目を選択して目的の設定を示し、 「 参照 」をクリックしてバックアップを保存する場所を指定します。 「次へ」をクリックして続行します。
次に、秘密鍵と認証局の証明書ファイルを保護するために、パスワードを入力するよう求められます。 パスワードを入力したら、 「次へ」をクリックします。
次のウィンドウで確認を求められます。 すべてが正常な場合- 「 完了 」をクリックしてプロセスを完了します。
手順2.認証局のレジストリ設定を予約する
[ スタート] 、[ 実行 ]の順にクリックします 。 「 regedit」と入力し 、[ OK ]をクリックします。
次に、 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvcを開きます
「 構成 」キーを右クリックして、 「 エクスポート 」を選択します
次のウィンドウで、バックアップファイルを保存するパスとその名前を指定します。 次に、 「保存」をクリックしてバックアップを完了します 。
現在、証明機関のバックアップファイルがあり、これらのファイルを新しいWindows Server 2012 R2サーバーに移動できます。
手順3. Windows Server 2003から認証局サービスを削除する
バックアップファイルの準備ができたので、新しいWindows Server 2012 R2で証明書サービスを構成する前に、Windows Server 2003から認証局サービスを削除できます。これを行うには、次の手順を実行します。
[ スタート]> [コントロールパネル]> [ プログラムの追加と削除]をクリックします。
次に、 「Windowsコンポーネントの追加/削除」を選択します
次のウィンドウで、 「 証明書 サービス 」の チェックを外し 、 「 次へ 」をクリックして続行します。
プロセスが完了すると、確認が表示され、 「 完了 」をクリックできます
この段階で、Windows Server 2003の認証局サービスの使用を終了し、次のステップはWindows Server 2012 R2の認証局の構成と構成です。
手順4. Windows Server 2012 R2に証明書サービスをインストールする
ドメイン管理者またはローカル管理者としてWindows Server 2012 R2にログオンします。
[サーバーマネージャー]> [役割と機能の追加]に移動します 。
「役割と機能の追加」が起動し 、 「次へ」をクリックして続行します。
次のウィンドウで、 「ロールベースまたは機能ベースのインストール」を選択し 、 「次へ」をクリックして続行します。
利用可能なサーバーのリストから、自分のサーバーを選択し、 「 次へ 」をクリックして続行します。
次のウィンドウで、「Active Directory Certificate Services」の役割を選択し、関連するすべてのコンポーネントをインストールして、 「 次へ 」をクリックします。
次の2つのウィンドウで、 「 次へ 」をクリックします。 その後、インストールするサービスを選択するためのオプションが表示されます。 [ 証明機関 ]および[ 証明機関Web登録 ]を選択し、[ 次へ ]をクリックして続行します。
証明機関Web登録をインストールするには、 IISをインストールする必要があります 。 したがって、次の2つのウィンドウで、役割の簡単な説明を確認し、必要なコンポーネントを選択して[ 次へ ]をクリックします。
次に、確認ウィンドウが表示されます。 すべて問題なければ、 「 インストール 」をクリックしてインストールプロセスを開始します。
インストールが完了したら、インストールウィザードを閉じて次の手順に進むことができます。
手順5. AD CSを構成する
この手順では、作成したバックアップファイルを構成および復元する方法について説明します。
エンタープライズ 管理者権限でサーバーにログインします
[サーバーマネージャー]> [AD CS]に移動します
パネルの右側に、スクリーンショットのようにポップアップウィンドウが表示され、 「 その他 」をクリックします
[ Active Directory証明書サービスの構成... ]をクリックする必要があるウィンドウが開きます。
役割設定ウィザードが開き、そこでアカウントを変更できます。 なぜなら エンタープライズ管理者アカウントですでにログインしている場合、デフォルトで指定されているものをそのままにして、 「 次へ 」をクリックします
次のウィンドウでは、設定するサービスを尋ねられます。 [ 証明機関 ]および[ 証明機関Web登録 ]を選択し、[ 次へ ]をクリックして続行します。
これはエンタープライズ CAになるため、次のウィンドウで、インストールのタイプとしてエンタープライズ CAを選択し、 「 次へ 」をクリックして続行します。
次のウィンドウで、CAタイプとして「ルートCA」を選択し、 「 次へ 」をクリックして続行します。
次の設定は非常に重要です。 これが新規インストールの場合、新しい秘密鍵を作成するだけで済みます。 ただし、これは移行プロセスであるため、予約済みの秘密キーが既にあります。 したがって、ここで、スクリーンショットに記載されているオプションを選択し、 「 次へ 」をクリックして続行します。
次のウィンドウで、 「 インポート 」ボタンをクリックします。
ここでは、Windows Server 2003で予約したキーを選択する機会があります。このキーへのパスを示し、使用したパスワードを入力します。 次にOKをクリックします。
さらに、インポートが成功した場合、証明書が表示されます。 それを選択し、 「 次へ 」をクリックして続行します。
次のウィンドウで、証明書データベースへのパスを決定できます。 デフォルトで指定されているものを残し、 「次へ」をクリックして続行します。
次のウィンドウで、構成に関するすべての情報が提供されます。 すべてが正常であれば、 「構成」をクリックしてプロセスを開始します。
プロセスが完了したら、構成ウィザードを閉じます。
ステップ6.予約済みCAの復元
次に、移行プロセス全体の最も重要な部分に進みます。ここでは、Windows Server 2003 CAで予約されているものを復元します。
[ サーバーマネージャー]> [ツール]> [証明機関]を開きます。
サーバー名を右クリックして、[ すべての タスク] > [ CAの 復元]を選択します。
次に、続行するには証明書サービスをインストールする必要があるという警告が表示されます。 OKをクリックします。
証明機関の復元ウィザードが起動し 、[ 次へ ]をクリックして続行します。
次のウィンドウで、バックアップがあるフォルダーへのパスを指定します。 次に、スクリーンショットに表示されているのと同じ設定を選択します。 「 次へ 」をクリックして続行します。
次のウィンドウで、バックアッププロセス中に秘密キーを保護するために使用したパスワードを入力できます。 入力後、 「次へ」をクリックして続行します。
次のウィンドウで、 「 終了 」をクリックしてインポートプロセスを完了します。
プロセスが正常に完了すると、システムは認証局を起動できるかどうかを尋ねます。 サービスを開始します。
ステップ7.レジストリ内の情報を回復する
CAのバックアップ中に、レジストリキーもバックアップしました。 今、あなたはそれを復元する必要があります。 これを行うには、予約済みのレジストリキーを含むフォルダーを開きます。 マウスの左ボタンでダブルクリックします。
警告ウィンドウが表示されます。 [ はい ]をクリックして、レジストリキーを復元します。
完了すると、正常に回復したことの確認が表示されます。
ステップ8.証明書テンプレートの再発行
移行プロセスは完了しました。次に、証明書を再発行する必要があります。 Windows Server 2003環境では、 「 PC 証明書 」と呼ばれるテンプレートの設定があり、ドメインに含まれるコンピューターに対して証明書が発行されました。 次に、テンプレートを再発行する方法を見てみましょう。
証明機関コンソールを開きます
[ 証明書テンプレートフォルダー]> [新規]> [再発行する証明書テンプレート ]を右クリックします。
証明書テンプレートのリストから、適切な証明書テンプレートを選択し、[ OK ]をクリックします。
ステップ9. CAのテスト
証明書テンプレートがコンピューターにインストールされたので、自動モードに設定する必要があります。 検証のために、 Windows 8.1オペレーティングシステムがインストールされたコンピューターをdemo 1という名前でインストールし、 canitpro.localをドメインに追加しました。 最初のダウンロード後、サーバー上で認証局コンソールを開き、「発行済み証明書」セクションを展開します。 そこで、コンピューター用に発行された新しい証明書を見ることができます。
これで移行プロセスが完了します。