PKI: А ларчик просто открывался (восстановление CA на новом компьютере)
CA восстанавливается проще, чем кажется, нас (будем честными), не интересует revoke list, issued certificates и т.д. (если интересует, этот журнал не то, что вам следует читать об администрировании центров сертификации). Нам нужно одно: для людей, которые уже оторвали свою задницу от мышки и так и установили себе в (компьютеры|КПК) наш корневой сертификат, для новых серверов, иметь возможнось выписывать новые сертификаты с той же подписью от того же CA, чей паблик кей уже поставило себе дофига народу.
Я не знаю почему, но восстановление CA штатными средствами у меня не получилось (не получилось оно даже с использованием System State внутри виртуалки). В лучшем случае (когда удавалось убедить винды, что на этом стоит загрузиться), я получал потрясающие сообщения о которых почти не знает гугл и ничего не знает майкрософт. Например:
Certificate Services did not start: Could not load or verify the current CA certificate. domain.ru Bad Key. 0x80090003 (-2146893821).
Или (если я силком подкладывал старую базу):
certsrv.exe (####) Attempted to attach database c:\windows\system32\certlog\domain.ru.edb but it is a database restored from a backup set on which hard recovery was not started or did no complete successully.
Вполне понятное сообщение (второе). Однако, чем именно я должен complete hard recovery мне не сказали, а гугл упорно рассказывал ужастики про использование eseutil. Которая таки эксчейнжевая, и на базу CA смотрит как на ... .
Другими словами, вырисовывалась задница с перспективой установки нового сертификата CA у всех страждущих (и не очень - например, очень тяжело объяснить, как установить сертификат человеку, который звонит из роуминга из Китая с вопросом, как ему прочитать свою почту срочно и сейчас).
Однако, ларчик существенно проще. Нам не нужна БАЗА CA. В базе содержится история выданых сертификатов, отозванных, отклоённых запросов и прочая хрень. Нам НУЖЕН центр сертификации, который бы подписывал сертификаты тем же самым сертификатом, что раньше.
Соответственно, вместо восстановления, мы говорим "создать новый CA". И указываем ему на старый сертификат (domain.ru.p12), который должен лежать в бэкапе CA. Вуаля, всё готово.
Я не знаю почему, но восстановление CA штатными средствами у меня не получилось (не получилось оно даже с использованием System State внутри виртуалки). В лучшем случае (когда удавалось убедить винды, что на этом стоит загрузиться), я получал потрясающие сообщения о которых почти не знает гугл и ничего не знает майкрософт. Например:
Certificate Services did not start: Could not load or verify the current CA certificate. domain.ru Bad Key. 0x80090003 (-2146893821).
Или (если я силком подкладывал старую базу):
certsrv.exe (####) Attempted to attach database c:\windows\system32\certlog\domain.ru.edb but it is a database restored from a backup set on which hard recovery was not started or did no complete successully.
Вполне понятное сообщение (второе). Однако, чем именно я должен complete hard recovery мне не сказали, а гугл упорно рассказывал ужастики про использование eseutil. Которая таки эксчейнжевая, и на базу CA смотрит как на ... .
Другими словами, вырисовывалась задница с перспективой установки нового сертификата CA у всех страждущих (и не очень - например, очень тяжело объяснить, как установить сертификат человеку, который звонит из роуминга из Китая с вопросом, как ему прочитать свою почту срочно и сейчас).
Однако, ларчик существенно проще. Нам не нужна БАЗА CA. В базе содержится история выданых сертификатов, отозванных, отклоённых запросов и прочая хрень. Нам НУЖЕН центр сертификации, который бы подписывал сертификаты тем же самым сертификатом, что раньше.
Соответственно, вместо восстановления, мы говорим "создать новый CA". И указываем ему на старый сертификат (domain.ru.p12), который должен лежать в бэкапе CA. Вуаля, всё готово.