WIN2003 CA KEY RECOVERY AGENT实战(三)
出处:Winmag 作者:Yinjie(本站Exchange版主)翻译 时间:2005-5-30 13:52:00
上次讲到用户证书的恢复操作,今天来看看从KMS到CA的迁移了。
十二、从以前的EXCHANGE 2000 KMS到CA的迁移
说明:因本部分实验涉及的环境较多,我的虚拟机有一些问题,因此先把官方资料上的截图给大家看,以保持文章的完整性,很快会把实际的操作图贴上来。期待。。
我们知道,在EXCHANGE的部署里,最重要的也是最难的就是加密和签名电子邮件了,在以前版本(EXCHANGE5.5/2000)里,加密和签名电子邮件都是通过KMS(密钥管理服务)来完成的,当然,KMS也需要有CA的支持,因此它和CA是合作完成的。在EX2003里,由于WIN2003 CA的强大功能,使微软下决心把加密/签名邮件部分的证书也交给了CA来处理,因此从EXCHANGE组件里删除了KMS组件。因此如果你计划从早期版本的EXCHANGE升级到EX2003,就必须将原来的证书从KMS里迁移到WINDOWS CA里了。下面我们就来看看这一操作的步骤:
1、如果你仍在运行EX5.5的KMS,请你升级到EX2000
2、把你的WINDOWS 2003 CA配置成允许KRA(见前面的章节)
3、确保要迁移的证书是可用的
4、要配置CA允许导入外部证书(即非CA颁发的证书)
5、接下来最重要的是从KMS数据库里导出用户证书
6、最后一步,是将导出的数据导入CA数据库。
重要:如果原来的证书是由KMS发布的V1版本的,那么在KMS迁移到CA后,这些V1版本的证书将不能被吊销,因为原来的CRL是发布在GAL里的。所以推荐在V1版本证书都已到期时再迁移。如果原来的证书是由KMS通过WIN2000 CA颁发的,那么需要注意的是,原来的CA仍需要继续维护CRL直到所有的证书都已到期或失效。
建立迁移用的交换证书
将KMS迁移到CA的过程中,从KMS中导出证书的操作是需要有一个公钥来保护的,且要求由CA来解密导出文件。所以我们需要在CA上建立一个交换证书。
重要:该证书的密钥长度不要超过1024位
允许CA导入外部CA证书
如果你的KMS运行在EX5.5上,且不使用CA协助颁发证书,那么要允许你的CA可以接受CA的证书导入。
1)运行命令:certutil –setreg ca\KRAFlags +KRAF_ENABLEFOREIGN
2)使用-f参数导入外部CA:Certutil.exe –f –importKMS [name of import file]
从KMS里导出用户证书
有了上述的描述,我们具备了从KMS里导出用户证书的条件了。
警告:在导出用户证书之前,必须对KMS数据库进行完全备份并确保备份有效,导出操作是破坏性的,导出的密钥将被从KMS数据库里删除!!
重要:如果在导出过程中,KMS或CA在线,那么导出过程将试图吊销所有的V3证书,这样你必须立即在WIN2003 CA里对用户重新登记证书,如果你不希望这样,可以使CA离线。
导出过程
1、打开ESM
2、启动KMS(注意:启动KMS需要手工输入启动密码或从软盘读取),选择所人任务的导出用户。
3、输入KMS的管理密码,默认为password
4、导出向导开始工作,按NEXT
5、选择加密用的交换证书
6、这是加密用的交换证书
7、继续执行向导
8、使用资源管理器打开刚才选择的交换证书,确认证书有效性
9、打开证书的属性,记录下前八位指印。
10、在下一个确认页面中输入刚才记录的八位指印,确认证书有效性
11、输入导出的文件名,注意:只输入文件名,不输入路径,它的路径是默认的:
C:\program files\exchsrvr\KMSDATA
12、继续
13、选择导出证书的查看方式,可以以用户字母排序或管理组
14、继续执行,选择要导出的证书
15、准备导出操作
开始导出数据,平均每100条记录大约需要一分钟时间(取决你的硬件性能)
16、导出完成后按NEXT
17、导出的结果见图
所有的导出文件将位于下面的目录里
C:\program files\exchsrvr\KMSDATA
18、请将这些文件复制到目标CA的计算机上以便导入。
注意:当导出大量用户的时候,可能产生多个文件,这些文件都应该被导入到新的CA中。
导入用户证书到CA
导入过程
1、以CA管理员登录计算机
2、打开命令行(CMD)
3、更改目录到包含KMS导出文件的目录
4、执行:CertUtil.exe –f –importkms <name of export file>
这里的-f是必须的。
输出的结果告诉你导入的状态以及成功导入的用户数,这里显示的用户数应和KMS导出的一样,以下是输出的成功样本:
---------
Processing KMS exports from:
O=microsoft,C=US
KMS export file signature verifies
Lock box opened, symmetric key successfully decrypted
..................................
Users: 6
Ignored signature certificates: 25
Certificates with keys: 17
Foreign certificates imported: 17
Certificates imported: 17
Keys: 17
Keys archived: 17
CertUtil: -ImportKMS command completed successfully.,
十二、从以前的EXCHANGE 2000 KMS到CA的迁移
说明:因本部分实验涉及的环境较多,我的虚拟机有一些问题,因此先把官方资料上的截图给大家看,以保持文章的完整性,很快会把实际的操作图贴上来。期待。。
我们知道,在EXCHANGE的部署里,最重要的也是最难的就是加密和签名电子邮件了,在以前版本(EXCHANGE5.5/2000)里,加密和签名电子邮件都是通过KMS(密钥管理服务)来完成的,当然,KMS也需要有CA的支持,因此它和CA是合作完成的。在EX2003里,由于WIN2003 CA的强大功能,使微软下决心把加密/签名邮件部分的证书也交给了CA来处理,因此从EXCHANGE组件里删除了KMS组件。因此如果你计划从早期版本的EXCHANGE升级到EX2003,就必须将原来的证书从KMS里迁移到WINDOWS CA里了。下面我们就来看看这一操作的步骤:
1、如果你仍在运行EX5.5的KMS,请你升级到EX2000
2、把你的WINDOWS 2003 CA配置成允许KRA(见前面的章节)
3、确保要迁移的证书是可用的
4、要配置CA允许导入外部证书(即非CA颁发的证书)
5、接下来最重要的是从KMS数据库里导出用户证书
6、最后一步,是将导出的数据导入CA数据库。
重要:如果原来的证书是由KMS发布的V1版本的,那么在KMS迁移到CA后,这些V1版本的证书将不能被吊销,因为原来的CRL是发布在GAL里的。所以推荐在V1版本证书都已到期时再迁移。如果原来的证书是由KMS通过WIN2000 CA颁发的,那么需要注意的是,原来的CA仍需要继续维护CRL直到所有的证书都已到期或失效。
建立迁移用的交换证书
将KMS迁移到CA的过程中,从KMS中导出证书的操作是需要有一个公钥来保护的,且要求由CA来解密导出文件。所以我们需要在CA上建立一个交换证书。
重要:该证书的密钥长度不要超过1024位
允许CA导入外部CA证书
如果你的KMS运行在EX5.5上,且不使用CA协助颁发证书,那么要允许你的CA可以接受CA的证书导入。
1)运行命令:certutil –setreg ca\KRAFlags +KRAF_ENABLEFOREIGN
2)使用-f参数导入外部CA:Certutil.exe –f –importKMS [name of import file]
从KMS里导出用户证书
有了上述的描述,我们具备了从KMS里导出用户证书的条件了。
警告:在导出用户证书之前,必须对KMS数据库进行完全备份并确保备份有效,导出操作是破坏性的,导出的密钥将被从KMS数据库里删除!!
重要:如果在导出过程中,KMS或CA在线,那么导出过程将试图吊销所有的V3证书,这样你必须立即在WIN2003 CA里对用户重新登记证书,如果你不希望这样,可以使CA离线。
导出过程
1、打开ESM
2、启动KMS(注意:启动KMS需要手工输入启动密码或从软盘读取),选择所人任务的导出用户。
3、输入KMS的管理密码,默认为password
4、导出向导开始工作,按NEXT
5、选择加密用的交换证书
6、这是加密用的交换证书
7、继续执行向导
8、使用资源管理器打开刚才选择的交换证书,确认证书有效性
9、打开证书的属性,记录下前八位指印。
10、在下一个确认页面中输入刚才记录的八位指印,确认证书有效性
11、输入导出的文件名,注意:只输入文件名,不输入路径,它的路径是默认的:
C:\program files\exchsrvr\KMSDATA
12、继续
13、选择导出证书的查看方式,可以以用户字母排序或管理组
14、继续执行,选择要导出的证书
15、准备导出操作
开始导出数据,平均每100条记录大约需要一分钟时间(取决你的硬件性能)
16、导出完成后按NEXT
17、导出的结果见图
所有的导出文件将位于下面的目录里
C:\program files\exchsrvr\KMSDATA
18、请将这些文件复制到目标CA的计算机上以便导入。
注意:当导出大量用户的时候,可能产生多个文件,这些文件都应该被导入到新的CA中。
导入用户证书到CA
导入过程
1、以CA管理员登录计算机
2、打开命令行(CMD)
3、更改目录到包含KMS导出文件的目录
4、执行:CertUtil.exe –f –importkms <name of export file>
这里的-f是必须的。
输出的结果告诉你导入的状态以及成功导入的用户数,这里显示的用户数应和KMS导出的一样,以下是输出的成功样本:
---------
Processing KMS exports from:
O=microsoft,C=US
KMS export file signature verifies
Lock box opened, symmetric key successfully decrypted
..................................
Users: 6
Ignored signature certificates: 25
Certificates with keys: 17
Foreign certificates imported: 17
Certificates imported: 17
Keys: 17
Keys archived: 17
CertUtil: -ImportKMS command completed successfully.,
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |