CA 인증기관 제거 및 변경
<백업절차>
1. 변경되거나 마이그레이션할 경우 모드 FQDN이 같이야 한다!!
2. CA 인증기관에서 백업 먼저 실행
-> 저장 경로를 복구할 디렉터리 name과 같게 해야 한다.(중요!)
3. 레지스트리 경로 백업
-> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
(내보내기로 백업)
4. 인증서 템플릿 유형 확인( 자동으로 복구가 되지 않기 때문에 템플릿이 어떤 것들이 있었는지 스샷)
<복원절차>
1. FQDN 같게 설정
2. CA설치
3. 레지스트리 복원
4. CA 복원으로 복구
5. 템플릿 유형 추가
* Window Server 2003에서 2008로 옮길 경우 2008로 먼저 마이그레이션 진행을 해야 합니다!!
===============================================================================================
CA를 다른 컴퓨터로 이동
적용 대상: Windows Server 2008
CA(인증 기관)는 수년 또는 수십년간 사용되도록 구성되며 이 기간 동안 CA를 지원하는 운영 체제 및 하드웨어를 업그레이드해야 할 수 있습니다.
CA를 한 컴퓨터에서 다른 컴퓨터로 이동할 때는 다음 절차를 수행합니다.
- 첫 번째 컴퓨터에서 CA 백업
- 두 번째 컴퓨터에서 CA 복원
또한 CA를 복원하는 컴퓨터의 이름과 CA를 백업한 컴퓨터의 이름이 같아야 합니다. 이름이 다른 경우에는 Microsoft 기술 자료 문서 298138(http://go.microsoft.com/fwlink/?LinkId=94223)(페이지는 영문일 수 있음)을 참조하십시오.
CA를 Windows Server 2003을 실행하는 서버에서 Windows Server® 2008을 실행하는 서버로 이동하려면 Windows 업그레이드를 먼저 완료한 다음 CA를
이동하거나, CA를 먼저 이동한 다음 Windows를 업그레이드할 수 있습니다.
- 먼저 Windows를 업그레이드하려면: 첫 번째 서버를 Windows Server 2003에서 Windows Server 2008으로 업그레이드하고, 이 서버에서 CA를 백업한 다음, Windows Server 2008을 실행하는 두 번째 서버에서 CA를 복원합니다.
- 먼저 CA를 이동하려면: Windows Server 2003을 실행하는 컴퓨터에서 CA를 백업하고, Windows Server 2003을 실행하는 두 번째 컴퓨터에서 CA를 복원한 다음 두 번째 서버를 Windows Server 2008으로 업그레이드합니다.
이 절차를 완료하려면 CA 관리자 권한이 있어야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.
CA를 백업하려면
-
인증 기관 스냅인을 엽니다.
-
엔터프라이즈 CA를 백업할 때는 CA의 인증서 템플릿을 클릭하여 나열되는 인증서 템플릿의 이름을 기록합니다.
.gif)
참고 인증서 템플릿 설정은 AD DS(Active Directory 도메인 서비스)에 저장되며 자동으로 백업되지 않습니다. 필요한 인증서 템플릿을 새 CA에 수동으로 추가해야 합니다.
-
인증 기관 스냅인에서 CA 이름을 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 CA 백업을 클릭하여 인증 기관 백업 마법사를 시작합니다.
-
다음을 클릭하고 개인 키 및 CA 인증서 및 인증서 데이터베이스 및 인증서 데이터베이스 로그 확인란을 선택합니다.
-
빈 폴더나 저장소 미디어를 백업 위치로 지정하고 다음을 클릭합니다.
-
CA 개인 키 백업 파일에 대한 암호를 입력하고 한 번 더 입력하여 암호를 확인합니다.
-
다음을 클릭하고 개인 키 및 CA 인증서 및 발급된 로그 및 보류 중인 요청 백업 설정이 표시되는지 확인한 다음 마침을 클릭합니다.
-
시작, 실행을 차례로 클릭하고 regedit를 입력한 다음 확인을 클릭합니다.
.gif)
주의 레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해야 합니다.
-
다음 레지스트리 하위 키를 찾아서 마우스 오른쪽 단추로 클릭합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
-
내보내기를 클릭합니다.
-
인증 기관 백업 마법사에서 사용한 CA 백업 폴더에 레지스트리 파일을 저장합니다.
-
이전 서버에서 CA를 제거한 다음 이전 서버의 이름을 변경하거나 네트워크에서 영구적으로 분리합니다.
복원 절차를 시작하기 전에 Windows Server 2008을 실행하는 대상 서버의 %Systemroot% 폴더가 백업을 수행한 서버의 %Systemroot% 폴더와 일치하는지 확인합니다.
또한 CA 복원 위치는 CA 백업 위치와 동일해야 합니다. 예를 들어 D:\Winnt\System32\Certlog 폴더에서 CA를 백업한 경우 해당 백업을 D:\Winnt\System32\Certlog 폴더로 복원해야 합니다. 백업을 복원한 뒤에는 CA 데이터베이스 파일을 다른 위치로 이동할 수 있습니다.
이 절차를 완료하려면 최소한 로컬 Administrators 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 엔터프라이즈 CA인 경우 이 절차를 완료하려면 최소한 DomainAdmins 그룹의 구성원이거나 이와 동등한 자격이 필요합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.
새 서버에서 백업 복사본을 사용하여 CA를 복원하려면
-
서버 관리자를 열고 Active Directory 인증서 서비스를 클릭합니다. 다음을 두 번 클릭합니다.
-
역할 서비스 선택 페이지에서 인증 기관 확인란을 선택한 후 다음을 클릭합니다.
-
설치 유형 지정 페이지에서 독립 실행형 또는 엔터프라이즈를 클릭하고 다음을 클릭합니다.
자세한 내용은 인증 기관의 유형을 참조하십시오.
참고 엔터프라이즈 CA를 설치하려면 도메인 컨트롤러에 네트워크로 연결되어 있어야 합니다.
-
CA 유형 지정 페이지에서 적절한 CA 유형을 클릭하고 다음을 클릭합니다.
-
개인 키 설정 페이지에서 기존 개인 키 사용을 클릭하고 인증서를 선택하고 연관된 개인 키를 사용을 클릭한 후 다음을 클릭합니다.
-
기존 인증서 선택 페이지에서 가져오기를 클릭하고, 백업 폴더의 .P12 파일 경로를 입력하고, 이전 절차에서 백업 파일 보호를 위해 선택한 암호를 입력한 다음 확인을 클릭합니다.
-
공개 및 개인 키 쌍 대화 상자에서 기존 키 사용이 선택되었는지 확인합니다.
-
다음을 두 번 클릭합니다.
-
인증서 데이터베이스 구성 페이지에서 인증서 데이터베이스 및 인증서 데이터베이스 로그의 위치를 이전 CA 컴퓨터에서와 동일한 위치로 지정합니다. 다음을 클릭합니다.
자세한 내용은 인증서 데이터베이스를 참조하십시오.
-
설치 옵션 확인 페이지에서 선택한 모든 구성 설정을 검토합니다. 모든 옵션을 승인하려면 설치를 클릭하고 설치 프로세스가 종료될 때까지 기다립니다.
-
서비스 스냅인을 열고 AD CS(Active Directory 인증서 서비스) 서비스를 중지합니다.
-
백업 절차에서 저장한 레지스트리 파일을 찾은 다음 두 번 클릭하여 레지스트리 설정을 가져옵니다. 이전 CA의 레지스트리 내보내기에 표시된 경로가 새 경로와 다른 경우에는 그에 맞게 레지스트리 내보내기를 조정해야 합니다.
주의 레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해야 합니다.
-
인증 기관 스냅인을 열고 CA 이름을 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 CA 복원을 클릭하여인증 기관 복원 마법사를 시작합니다.
-
다음을 클릭하고 개인 키 및 CA 인증서 및 인증서 데이터베이스 및 인증서 데이터베이스 로그 확인란을 선택합니다.
-
백업 폴더 위치를 입력하고 다음을 클릭합니다.
-
백업 설정을 확인합니다. 발급된 로그 및 보류 중인 요청 설정이 표시됩니다.
-
CA 데이터베이스가 복원되면 마침을 클릭하고 예를 클릭하여 AD CS를 다시 시작합니다.
-
엔터프라이즈 CA인 경우에는 이전 절차에서 기록해 두었던 인증서 템플릿을 AD DS에서 복원합니다. 자세한 내용은 인증 기관에 인증서 템플릿 추가를 참조하십시오.