Administrator mora da kreira plan oporavka nakon katastrofe da bi osigurao da može brzo da restaurira sisteme i podatke i time obezbedi normalne operacije u slučaju karastrofe. Da bi se zaštitili od gubitka kritičnih podataka, potrebno je bekapovati CA bazu podataka, CA sertifikate, i CA ključeve. Potrebno je  regularno bekapovati CA, na osnovu broja sertifikata koji su dodeljeni u istom intervalu.

U ovoj lekciji, naučićete o nekim CA bekap i restore metodima koje nudi Windows Server 2003.

Nakon kompletne lekcije, moći ćete da:

• Opišete metode za bekapovanje CA
• Opišete metode za restauraciju CA
• Opišete savete za bekapovanje Certificate Services

Metodi za bekapovanje CA

Administrator može da bekapuje Certificate Services na Windows Server 2003 koristeći dva metoda: System State bekap ili ručni bekap. Potrebno je planirati bekapovanje CA na regularnoj osnovi, i bez obzira o toga da li je CA offline CA ili je Issuing CA.

Bekap metodi: Dva metoda bekapa CA su:

• System State: Ovaj metod je preporučeni metod za bekapovanje CA. Možemo da bekapujemo System State back up koristeći Windows Server 2003 Backup Utility. Ovaj bekap treba odraditi na kompjuteru koji hostuje Certificate Services da bi bekapovali CA bazu podataka, log fajlove, CA par ključeva, IIS meta bazu (metabase), i sve postavke za registry u Certificate servisu.
• Ručni bekap: Administrator takođe može ručno da bekapuje CA koristeći certificate Services Backup Wizard ili Certutil - restore komandu. Ručni bekap uključuje CA bazu podataka i CA log fajlove. Takođe uključuje CA par ključeva. Ne uključuje IIS meta bazu i informacije o postavkama za registry. Potrebno je koristiti ručno bekapovanje samo kada System State bekap nije moguć.

Metodi za restauraciju Certificate Servisa

Da bismo odradili restauraciju CA, moramo da restauriramo certificate Services. Metod koji koristimo za restauraciju Sertifikat servisa zavisi od toga šta želimo da restauriramo. Ako menjamo hardver koji CA koristi, moramo da restauriramo sertifikat servise iz System State bekapa. Ako želimo da restauriramo Certificate Services samo na CA, moramo da izvršimo restauraciju sertifikat servisa i iz Certificate Services bekapa i iz IIS metabase bekapa.

Metod restauracije takođe se razlikuje u zavisnosti od toga da li je CA bekapovan koristeći System State bekap ili koristeći Certification Authority Beckup Wizard i Internet Information Services (IIS) bekap wizard. Ako smo odradili bekap koristeći System state bekap, tada je jedini dozvoljeni metod za restauraciju Certificate Services restore system state.

Restauracija iz System State Backup-a

Da bi se uspešno odradila restauraciju iz System State Backup-a, potrebno je startovati kompjuter koji hostuje Certificate Services u Directory Services Restore Mode-u, ako je CA instaliran na domenskom kontroleru. Korišćenje Directory Services Restore Mode je potrebno zbog toga što System State backup uključuje druge System State informacije, kao što su informacije o bazi podataka u Aktivnom direktorijumu kao dodatak kompletnoj konfiguraciji Certificate Services. Ako CA nije instaliran da domenskom kontroleru, možemo da izvršimo restauraciju System State Backup-a bez restartovanja CA u drugačijem modu.

Kako se odrađuje restauracija Certificate Services iz System State Backup-a:

1. Iz System Tools-a, otvorimo Backup.
2. Backup Utility prozoru, kliknemo na Restore and Manage Media karticu.
3. U konzolinom drvetu, proširimo Latest Backup Set, i nakon toga selektujemo System State.
4. U Restore Files to listi, odredimo originalnu lokaciju, i nakon toga kliknemo na Start Restore.
5. Kada je restauracija završena, restartujemo kompjuter.

Administrator takođe može da restaurira Certificate Services koristeći Certificate Services Backup Wizard da bi izvršio restauraciju ranije urađenog ručnog bekapa sertifikat servisa. U toku Restore procedure, moramo da naznačimo koji bekap folder sadrži ručni bekap CA baze podataka.

Restauracija iz ručnog bekapa:

1. Ulogujemo se kao član Backup Operators grupe.
2. Otvorimo komandnu liniju.
3. Na komandnoj liniji, upišemo certutil - restore BackupDirectory, gde je
4. BackupDirectory folder u kojem se nalazi ručni bekap CA baze podataka.

Nakon što smo odradili restauraciju CA ručno, moramo da odradimo sledeće zadatke:

• Restauraciju IIS metabase: Ovaj korak je potreban samo ako je IIS metabase-a uništena ili oštećena zajedno sa Certificate Services informacijom. Sve dok ne odradimo restauraciju IIS metabase-a, nećemo moći da učitamo Certificate Services Web stranice.
• Restauracija svih postavki za registry: Ručna restauracija ne uključuje nijednu postavku za Certificate Services registry. Preporučuje se da kreiramo skriptu svih postavki u regisrey-ju koristeći sledeću komandu: certutil - setreg CARegistrykey Value.

Kreiranjem skripte registry postavki, mi kreiramo dokumentaciju svih registry postavki koje su definisane na CA i nude mogućnost restauracije svih registry postavki u toku oporavka od katastrofe (Disaster Recovery).

Saveti za bekapovanje Certificate Services-a

Planiranje bekap solucije za CA ne razlikuje se mnogo od planiranja bekap solucije za druge sisteme. Glavna svrha bekap solucije treba da bude dozvoljavanje brze restauracije CA u normalno stanje bez gubljenja podataka.

Da bi osigurali da CA može da bude restauriran u normalno stanje, potrebno je uveriti se da bekap strategija uključuje bekapovanje CA baze podataka, CA sertifikata, CA ključeva. Bekap interval bi trebalo da bude određen brojem dodeljenih sertifikata. Bekap interval može da ide od nekoliko sati do nekoliko dana, zavisno od broja sertifikata koji bi morali ponovo da se iznajmljuju ako bekap ne može da se odradi.

Saveti:

• Bekapovati CA par ključeva.
• Bekapovati CA na regularnoj osnovi.
• Planirati bekap interval na osnovu broja izdatih sertifikata.
• Smestiti sve bekap medije na sigurnu lokaciju.
• Testirati restauraciju CA na regularnoj osnovi da bi se uverili da su sve bekap kopije uspešne.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

Ime Nick Email Title Sigurnosni kod

CommentText

• Backup-ovanje i restauracija CA 1

• Backup-ovanje i restauracija CA 2

• Backup-ovanje i restauracija CA 3

• Backup-ovanje i restauracija CA 4