证书角色的安装及配置在之前的博客中有写,这里就不再多做赘述,直接开始进行还原吧。
打开服务器管理器,在工具中点击证书颁发机构;
右键CA服务器,在所有任务中点击还原;
是否停止AD证书服务,点击确定;
进入还原向导界面,点击下一步;
选择要还原的项目,然后在浏览中选择我们备份的CA文件,点击下一步;
输入我们备份时输入的密码,点击下一步;
点击完成并开始还原;
还原成功,是否启动AD证书服务,这里我们暂时不启动,因为我们还需去还原注册表,点击否;
找到我们备份的CA注册表并双击添加;
CA注册表添加成功,点击确定关闭;
在CMD中输入net start certsvc启动CA相关服务;
打开证书颁发机构,右键服务器选择属性;
在扩展窗口中,选择扩展为CRL分发点,并点击添加按钮;
在添加位置中,输入以下路径:ldap:/// CN = <CATruncatedName> <CRLNameSuffix>,CN = Server Name,CN = CDP,CN =Public Key Service,CN =Services,<ConfigurationContainer> <CDPObjectClass>,完成后点击确定;
确保添加的CRL扩展已勾选以下选项,点击确定;
是否要重启AD证书服务,点击是;
打开AD站点和服务,在查看选项卡中点击显示服务节点;
依次展开Services/Public Key Services,右键AIA选择属性;
在安全选项卡中点击添加;
查找添加本地计算机账户,点击确定;
赋予完全控制权限后,点击确定;
至此,CA角色还原成功。
这里多嘴一句,如果你是在生产环境中,做CA升级的话,建议将根证书导出再导入到新的CA服务器中,这样就免去应用的麻烦,否则应用服务器需要重新颁发证书。