証明機関を別のサーバーに移動する方法

この記事では、証明機関 (CA) を別のサーバーに移動する方法について説明します。

適用対象:  WindowsServer 2003
元の KB 番号:   298138

注意

この記事は、2000 年Windows適用されます。 2000 Windowsのサポートは、2010 年 7 月 13 日に終了します。 2000 Windowsエンド オブ サポート ソリューション センターは、2000 年から移行戦略を計画するWindowsです。 詳細については、「Microsoft サポート ライフサイクル ポリシー 」を参照してください

概要

証明機関 (CAs) は、組織の公開キー基盤 (PKI) の中心的なコンポーネントです。 CA は何年も何十年も存在するように構成されています。その間、CA をホストするハードウェアはおそらくアップグレードされます。

Windows 2000 Server を実行しているサーバーから Windows Server 2003 を実行しているサーバーに CA を移動するには、まず Windows 2000 Server を実行している CA サーバーを Windows Server 2003 にアップグレードする必要があります。 次に、この記事で説明されている手順に従います。

ターゲット サーバーの %Systemroot% が、システム状態のバックアップを実行するサーバーの %Systemroot% と一致する必要があります。

CA サーバー コンポーネントをインストールするときに、CA ファイルのパスを変更して、バックアップの場所と一致する必要があります。 たとえば、D: Winnt System32 Certlog フォルダーからバックアップする場合は、バックアップを \ \ \ D: \ Winnt \ System32 Certlog フォルダーに復元する \ 必要があります。 バックアップを C: \ Winnt \ System32 \ Certlog フォルダーに復元することはできません。 バックアップを復元した後、CA データベース ファイルを既定の場所に移動できます。

バックアップを復元しようとして、バックアップとターゲット サーバーの %Systemroot% が一致しない場合は、次のエラー メッセージが表示されることがあります。

フル イメージから復元を実行する前に、増分イメージの復元を実行できません。 ディレクトリ名が無効です。 0x8007010b (WIN32/HTTP:267)

証明書サービスを 32 ビット オペレーティング システムから 64 ビット オペレーティング システムに、またはその逆に移動すると、次のいずれかのエラー メッセージが表示される場合があります。

予想されるデータは、このディレクトリに存在しません。

増分イメージの復元 0x8007010bは、フル イメージ から復元を実行する前に実行できません (WIN32/HTTP:267)

データベース形式が 32 ビット バージョンから 64 ビット バージョンに変更された場合、非互換性が発生し、復元がブロックされます。 これは、サーバー 2000 からサーバー 2003 CA Windowsへの移行Windows似ている。 ただし、32 ビット バージョンの Windows Server 2003 から 64 ビット バージョンへのアップグレード パスはありません。 したがって、既存の 32 ビット データベースをサーバー 2003 ベースの Windows 上の 64 ビット データベースに移動することはできません。 ただし、Windows Server 2003 CA (Windows Server 2003 x86 で実行) から Windows Server 2008 R2 CA (Windows Server 2008 R2 x64 で実行) にアップグレードできます。 このアップグレードはサポートされています。

x64 ベースのバージョンの Windows Server 2003 R2 CD2 は、EM64T アーキテクチャまたは AMD64 アーキテクチャに基づく 64 ビット バージョンの Windows Server 2003 のみを更新します。

サーバー 2003 で証明機関のキーとデータベースをバックアップWindowsする

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「レジストリをバックアップおよび復元する方法」を参照Windows。

  1. 証明機関スナップインの [証明書テンプレート] フォルダーで構成されている証明書テンプレートに注意してください。 証明書テンプレートの設定は Active Directory に保存されます。 これらは自動的にバックアップされません。 同じ一連のテンプレートを維持するには、新しい CA の証明書テンプレート設定を手動で構成する必要があります。

    注意

    証明書テンプレート フォルダーは、エンタープライズ CA にのみ存在します。 スタンドアロン CA は証明書テンプレートを使用しない。 したがって、この手順はスタンドアロン CA には適用されません。

  2. 証明機関スナップインを使用して、CA データベースとプライベート キーをバックアップします。 これを行うには、次の手順を実行します。

    1. 証明機関スナップインで、CA 名を右クリックし、[すべてのタスク]をクリックし 、[CA のバックアップ] をクリックして証明機関のバックアップ ウィザードを開始します。
    2. [次 へ] をクリックし、[プライベート キー と CA 証明書] をクリックします
    3. [証明書 データベースと証明書データベース ログ] をクリックします
    4. バックアップ場所として空のフォルダーを使用します。 新しいサーバーからバックアップ フォルダーにアクセス可能な場所を確認します。
    5. [次へ] をクリックします。 指定したバックアップ フォルダーが存在しない場合は、証明機関のバックアップ ウィザードによって作成されます。
    6. CA のプライベート キー バックアップ ファイルのパスワードを入力して確認します。
    7. [次 へ] をクリックし、バックアップ設定を確認します。 次の設定が表示されます。
      • プライベート キーと CA 証明書
      • 発行済みログと保留中の要求
    8. [完了] をクリックします。
  3. この CA のレジストリ設定を保存します。 これを行うには、次の手順を実行します。

    1. [スタート][ファイル名を指定して実行] の順にクリックし、[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
    2. 次のレジストリ サブキーを見つけて右クリックします。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. [エクスポート] をクリックします。
    4. 手順 2d で定義した CA バックアップ フォルダーにレジストリ ファイルを保存します。
  4. 古いサーバーから証明書サービスを削除します。

    注意

    この手順では、Active Directory からオブジェクトを削除します。 この手順は順序が変更されていない場合は実行してください。 ターゲット CA のインストール後にソース CA の削除が実行された場合 (このセクションの手順 6)、ターゲット CA は使用できなくなります。

  5. 古いサーバーの名前を変更するか、ネットワークから完全に切断します。

  6. 新しいサーバーに証明書サービスをインストールします。 それには、以下の手順を実行します。

    注意

    新しいサーバーには、古いサーバーと同じコンピューター名が必要です。

    1. コントロール パネルの [プログラムの追加と削除] をダブルクリックします。
    2. [コンポーネントの追加とWindows] をクリック し、[コンポーネント ウィザード] で [証明書サービスWindows] をクリックし、[次へ] を クリックします
    3. [CA の 種類] ダイアログ ボックスで、適切な CA の種類をクリックします。
    4. [カスタム 設定を使用してキーペアと CA 証明書を生成する] をクリックし、[次へ] を クリックします
    5. [インポート ] を クリックし、 のパスを入力します。P12 ファイルをバックアップ フォルダーに保存し、手順 2f で選択したパスワードを入力し 、[OK] をクリックします
    6. [公開 キーとプライベート キーのペア] ダイアログ ボックスで、[既存のキーを使用 する] がオンになっています
    7. [次へ] を 2 回クリックします。
    8. 証明書データベース の既定の設定受け入れ、[次へ] をクリックし、[完了] をクリックして 証明書 サービスのインストールを完了します。
  7. 証明書サービス サービスを停止します。

  8. 手順 3 で保存したレジストリ ファイルを探し、それをダブルクリックしてレジストリ設定をインポートします。 古い CA からのレジストリ エクスポートに表示されるパスが新しいパスと異なる場合は、レジストリエクスポートを調整する必要があります。 既定では、新しいパスは C: Windows \ Server 2003 Windowsです。

  9. 証明機関スナップインを使用して CA データベースを復元します。 これを行うには、次の手順を実行します。

    1. 証明機関スナップインで、CA 名を右クリックし、[すべてのタスク]をクリックし、[CA の復元]をクリックします

      証明機関の復元ウィザードが起動します。

    2. [次 へ] をクリックし、[プライベート キー と CA 証明書] をクリックします

    3. [証明書 データベースと証明書データベース ログ] をクリックします

    4. バックアップ フォルダーの場所を入力し、[次へ] を クリックします

    5. バックアップ設定を確認します。 [ 発行済みログ][保留中の要求] の設定 が表示されます。

    6. [ 完了] をクリックし、[ い] をクリックして、CA データベースが復元された場合に証明書サービスを再起動します。

    CA バックアップ フォルダーが正しいフォルダー構造形式ではない場合、CA の復元プロセス中に次のエラーが表示される場合があります。

    ---------------------------
    Microsoft 証明書サービス
    ---------------------------

    予想されるデータは、このディレクトリに存在しません。
    別のディレクトリを選択してください。 ディレクトリ名が無効です。 0x8007010b (WIN32/HTTP: 267)

    正しいフォルダー構造は次のとおりです。

    • C: \ \ Ca_Backup CA_NAME.p12
    • C: \ Ca_Backup \ \ certbkxp.dat
    • C: \ Ca_Backup \ データベース \ edb####.log
    • C: \ Ca_Backup \ データベース \ CA_NAME.edb

    ここで、C: Ca_Backupは、手順 2 のバックアップ CA フェーズで選択 \ したフォルダーです。

  10. 証明機関スナップインで、手動で証明書テンプレートを追加または削除して、手順 1 で説明した証明書テンプレート設定を複製します。

2000 Server で証明機関のキーとデータベースをバックアップWindowsする

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「レジストリをバックアップおよび復元する方法」を参照Windows。

  1. 証明機関スナップインの [証明書テンプレート] フォルダーで構成されている証明書テンプレートに注意してください。 証明書テンプレートの設定は Active Directory に保存されます。 これらは自動的にバックアップされません。 同じ一連のテンプレートを維持するには、新しい CA の証明書テンプレート設定を手動で構成する必要があります。

    注意

    証明書テンプレート フォルダーは、エンタープライズ CA にのみ存在します。 スタンドアロン CA は証明書テンプレートを使用しない。 したがって、この手順はスタンドアロン CA には適用されません。

  2. 証明機関スナップインを使用して、CA データベースとプライベート キーをバックアップします。 これを行うには、次の手順を実行します。

    1. 証明機関スナップインで、CA 名を右クリックし、[すべてのタスク]をクリックし 、[CA のバックアップ] をクリックして証明機関のバックアップ ウィザードを開始します。
    2. [次 へ] をクリックし、[プライベート キー と CA 証明書] をクリックします
    3. [ 発行済み証明書ログと保留中の証明書要求キュー] をクリックします。
    4. バックアップ場所として空のフォルダーを使用します。 新しいサーバーからバックアップ フォルダーにアクセス可能な場所を確認します。
    5. [次へ] をクリックします。 指定したバックアップ フォルダーが存在しない場合は、証明機関のバックアップ ウィザードによって作成されます。
    6. CA のプライベート キー バックアップ ファイルのパスワードを入力して確認します。
    7. [ 次へ] を 2 回クリックし、バックアップ設定を確認します。 次の設定が表示されます。
      • プライベート キーと CA 証明書
      • 発行済みログと保留中の要求
    8. [完了] をクリックします。
  3. この CA のレジストリ設定を保存します。 これを行うには、次の手順を実行します。

    1. [スタート][ファイル名を指定して実行] の順にクリックし、[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
    2. 次のレジストリ サブキーを見つけて右クリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. [ 構成] を クリックし、[レジストリ] メニューの [ レジストリ ファイルのエクスポート ] をクリック します。
    4. 手順 2d で定義した CA バックアップ フォルダーにレジストリ ファイルを保存します。
  4. 古いサーバーから証明書サービスを削除します。

    注意

    この手順では、Active Directory からオブジェクトを削除します。 この手順は順序が変更されていない場合は実行してください。 ターゲット CA のインストール後にソース CA の削除が実行された場合 (このセクションの手順 6)、ターゲット CA は使用できなくなります。

  5. 古いサーバーの名前を変更するか、ネットワークから完全に切断します。

  6. 新しいサーバーに証明書サービスをインストールします。 それには、以下の手順を実行します。

    注意

    新しいサーバーには、古いサーバーと同じコンピューター名が必要です。

    1. コントロール パネルの [プログラムの追加と削除] をダブルクリックします。
    2. [コンポーネントの追加とWindows] をクリック し、[コンポーネント ウィザード] で [証明書サービスWindows] をクリックし、[次へ] を クリックします
    3. [証明機関 の種類] ダイアログ ボックスで、適切な CA の種類をクリックします。
    4. [詳細 オプション] をクリック し、[次へ] を クリックします
    5. [公開キー とプライベート キーのペア] ダイアログ ボックスで、[既存のキーを使用する] クリックし、[インポート] を クリックします
    6. のパスを入力します。P12 ファイルをバックアップ フォルダーに保存し、手順 2f で選択したパスワードを入力し 、[OK] をクリックします
    7. [ 次へ] をクリックし、必要に応じて CA の説明を入力し、[次へ] を クリックします。
    8. [データ の保存場所Storage受け入れ、[次へ] をクリックし、[完了] をクリックして 証明書 サービスのインストールを完了します。
  7. 証明書サービス サービスを停止します。

  8. 手順 3 で保存したレジストリ ファイルを探し、それをダブルクリックしてレジストリ設定をインポートします。

  9. 証明機関スナップインを使用して CA データベースを復元します。 これを行うには、次の手順を実行します。

    1. 証明機関スナップインで、CA 名を右クリックし、[すべてのタスク]をクリックし、[CA の復元]をクリックします

      証明機関の復元ウィザードが起動します。

    2. [ 次へ] をクリックし、[発行済み証明書 ログと保留中の証明書要求キュー] をクリックします

    3. バックアップ フォルダーの場所を入力し、[次へ] を クリックします

    4. バックアップ設定を確認します。 次の設定が表示されます。

      • 発行されたログ
      • 保留中の要求
    5. [ 完了] をクリックし、[ い] をクリックして、CA データベースが復元された場合に証明書サービスを再起動します。

  10. 証明機関スナップインで、手動で証明書テンプレートを追加または削除して、手順 1 で説明した証明書テンプレート設定を複製します。

詳細

Windows Server 2003 および Windows Server 2008 のアップグレードと移行のシナリオの詳細については、「Active Directory 証明書サービスのアップグレードと移行ガイド」のホワイト ペーパーを参照してください。 ホワイト ペーパーについては 、「Active Directory 証明書サービスのアップグレードと移行ガイド」を参照してください