Просмотр

09.04.2006 14:05:40

Проблема с переносом УЦ на другой сервер

Ответов: 5

Андрей

Помогите восстановить работающий на севере А сервер MS CertSrv.
Так получилось, что ключ УЦ помечен как не экспортируемый.
Как можно перенести всю базу на сервер Б.
Если я делаю резервную копию и поднимаю на новом месте, база УЦ пуста (в нем нет ни одного пользовательского запроса)

Ответы:

11.04.2006 11:41:21

Андрей

Скажите пожалуйста, имеет ли какое-то значение имя компьютера или домен нового сервера ? Или же для восстановления требуется полное соответствие этих параметров ?

13.04.2006 16:38:53

Василий

Лучше полное соответствие:
1) имени компьютера
2) принадлежности к домену
3) имени системного диска
4) имени системной папки Windows

14.04.2006 12:08:40

Андрей

:) Все не совпадает !
Вопрос отпал сам собой. Пришлось установтиь новый корневой УЦ, потому что начались страшные глюки с сертификатами на веб-узлы, выданные этим (старым) УЦ.
Выход не самый лучший, но действенный :)

14.04.2006 15:40:51

mvv

а в чем проявление глюков?

17.04.2006 11:23:16

Андрей

Сложно это описать.
Изначально был выдан серфтикат на Веб-узел с этого УЦ.
Веб-узел требует клиентский сертификат, и настроено так, чтобы клиент мог подсовывать сертификаты только от нашего УЦ.
С этого УЦ были выданы также сертификаты для пользователей. Все работало как часы.
Потребовалось перенести УЦ в другой домен, на другое железо. Была проблема, что закрытый ключ от УЦ был помечен как неэкспортируемый. То есть перенести при помощи бэкапа не получится. Я сделал renew сертификата и выпустил еще несколько сертификатов клиентам. Перенес УЦ на железо с одним закрытым ключом. После переноса пришлось потанцевать с бубном чтобы подцепить списки "Выданных", "в очереди" и т.д.
На следующий день такая бага:
Симптомы:
1. Клиент, не имеющий сертификат, получает окошко с запросом серфтиката, нажимает ок. Так как у него нет серфтиката, он получает 403.13.
2. Клиент, получивший сертификат от нового узла сразу вывваливается по недоступности сайта. Даже без запроса сертификатов. В логах IIS никаких ошибок нет.
3. Часть клиентов, имеющих старые сертификаты спокойно работают как обычно. Часть вываливаются по недоступности сайта.

Вот такой глюк. На заметку УЦ на Win2003 Srv. IIS и УЦ живут на одной железяке.