Windows Server

⌘K
  2. Domů
  4. Dokumentace
  6. Windows Server
  8. Role serveru
  10. Migrace CA

Migrace CA

Přesun certifikační autority (CA) na jiný server

Při migraci nebo obnově infrastruktury může být potřeba přesunout certifikační autoritu (CA) z jednoho Windows Serveru na jiný. Tento proces zahrnuje zálohování, odinstalaci role, přenesení dat a opětovné nastavení CA na novém serveru. Postup níže vychází z oficiální dokumentace Microsoftu.

Co je potřeba připravit

  • Administrátorský přístup na oba servery
  • Stejný název CA jako na původním serveru
  • Shodná systémová cesta (%SystemRoot%) nebo přizpůsobení během obnovy
  • Cílový server musí mít nainstalovanou roli Active Directory Certificate Services (AD CS)

1. Zálohuj původní CA

Na původním serveru spusť nástroj certsrv.msc a proveď:

  • Záloha privátního klíče a CA certifikátu:
    • Klikni pravým tlačítkem na název CA → All Tasks → Back up CA
    • Zvol složku pro uložení záloh a nastav heslo
  • Export databáze certifikátů a logů
    • Zaškrtni “Private key and CA certificate” i “Certificate database and log”
  • Export konfigurace z registru powershellZkopírovatUpravitreg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ "C:\CAConfigBackup.reg"

2. Odeber roli CA ze starého serveru

powershellZkopírovatUpravitRemove-WindowsFeature ADCS-Cert-Authority

Ujisti se, že nejsou zpracovávány žádné čekající žádosti. Tento krok je nezbytný k tomu, aby se CA název mohl znovu použít.

3. Nainstaluj roli CA na novém serveru

powershellZkopírovatUpravitInstall-WindowsFeature ADCS-Cert-Authority

Spusť průvodce konfigurací role (např. přes Server Manager) a zvol:

  • Enterprise CA
  • Existing private key
  • Načti zálohovaný klíč + CA certifikát

4. Obnov registry a databázi

  • Importuj registry: powershellZkopírovatUpravitreg import C:\CAConfigBackup.reg
  • Nakopíruj zálohovanou databázi a logy do původní cesty (obvykle C:\Windows\System32\CertLog)

5. Restartuj službu CA

powershellZkopírovatUpravitRestart-Service CertSvc

Ověř správnou funkčnost služby a přístup k vystaveným certifikátům.

6. Otestuj funkčnost

  • Připoj se přes certsrv webovou konzoli (http://<new-server>/certsrv) a ověř dostupnost
  • Vystav testovací certifikát
  • Ověř integraci s šablonami a automatickou obnovou (např. pomocí certutil)

Poznámky a doporučení

  • Pokud máš i publikované CRL nebo AIA v síťovém umístění nebo přes HTTP, aktualizuj DNS nebo příslušné cesty
  • Pokud přesun zahrnuje i přechod mezi doménami nebo změnu názvu serveru, doporučuji migraci podle detailního postupu Microsoftu zde

Zdroj:
Move Certification Authority to Another Server – Microsoft Learn

Jak Vám můžeme pomoci?