Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019

A screenshot of a cell phone

Zertifizierungsstellen können sehr verschieden eingerichtet sein. Es gibt keine Anleitung, die für alles passt, aber ich sage Ihnen für welches Szenario sie geschrieben wurde. Entsprechend müssen Sie es nur noch für Ihre Situation anpassen.

Wichtiger Hinweis

Wichtig: Machen Sie vorher ein Backup und planen Sie ihre Schritte! Auch übernehme ich keine Gewährleistung oder Support falls etwas schief geht.

Die Annahmen für diese Anleitung

  • Die Pfade und URLs für die CA zeigen auf einen DNS-Alias, in diesem Fall “ca.adg.local”
  • Die neue Zertifizierungsstelle kommt auf einen neuen Server mit neuen Computernamen und neuer IP-Adresse
  • Die Zertifizierungsstelle besteht nur aus einem Computer (Damit ist keine Mehrstufige CA oder Offline CA gemeint, da gilt jede Sub-CA oder CA als eigene Zertifizierungsstelle)
  • Die Sprache des Betriebssystems ist identisch
  • Zertifizierungsstellen-Webregistrierung ist installiert

Voraussetzungen

Der Windows Server 2019 sollte aktualisiert sein, und es sollten keine Updates oder Neustarts mehr ausstehen. Wichtig ist, die Sprache des Betriebssystems sollte sicherheitshalber nicht gewechselt werden. Es empfiehlt sich, wie immer, auch mal die Ereignisanzeige und das Server Dashboard zu prüfen ob alles mit dem System in Ordnung ist, bevor wir mit der Migration anfangen.

Hinweis zu Veränderungen an dem Aufbau der CA bei der Migration

Bitte beachten Sie auch, wenn Sie eine CA mit mehreren Servern (Eine Mehrstufige CA, zum Beispiel mit Offline CA ist nicht gemeint.) haben, benötigen Sie auch die passende Anzahl an Windows Server 2019 Maschinen. Passen Sie ihre Pläne für die Migration entsprechend an.

Das Umbauen des Aufbaues und der Rollen der Zertifizierungsstelle kann wärend der Migration nicht geändert werden.

Diese Anleitung geht davon aus, dass die CA auf einen neuen Server mit neuem Namen migriert wird. Dabei ist zu beachten das Eventuell die Pfade für die Prüflisten angepasst werden müssen. Generell kann man auch mit einem CName im DNS arbeiten. Wenn die Zertifizierungsstelle vorrauschauend geplant wurde, ist dieses Szenario berücksichtigt worden.

Vorbereitungen an der alten Zertifizierungsstelle auf dem Windows Server 2012R2

Auf der alten CA müssen ein paar Schritte beachtet werden.

Sicherung der alten Zertifizierungsstelle

Als erstes muss eine Datensicherung der alten CA gemacht werden. Die Datensicherung kann mit dem PowerShell Befehl

Backup-CARoleService -path C:\ADCA-Backup -Password (Read-Host -prompt "Password:" -AsSecureString)

Oder der Verwaltungskonsole der Zertifizierungsstelle getan werden.

Wichtig ist bei der Datensicherung nicht nur die Datenbank und das Protokoll zu sichern, sondern auch das Zertifikat und den Privaten Schlüssel.

Als nächstes müssen noch Einstellungen aus der Windows-Registry gesichert werden. Diese finden sie unter “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration” und dem Namen Ihrer Zertifizierungsstelle. Den Export können Sie entweder mit dem Registrierungseditor durchführen

oder mit dem Befehl

reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration C:\ADCA-Backup\RegBackup.reg

Sichern der Zertifikatsvorlagen

Als nächstes sollten Sie noch die Zertifikatsvorlagen sichern.

Dafür sollten Sie den folgenden CertUtil-Befehl verwenden:

certutil.exe -catemplates > C:\ADCA-Backup\CertTemplates.txt

Wenn bei der Installation Ihrer Zertifizierungsstelle eine CAPolicy.inf verwendet wurde, sichern Sie diese auch!

Das aufräumen

Verschieben Sie nun die Daten vom alten auf den neuen Server.

Deinstallieren Sie Die Active Directory Zertifikatsdienste auf dem alten Server. Dies können Sie mit dem Server-Manager oder dem PowerShell Befehl

Remove-WindowsFeature ADCS-Web-Enrollment; Remove-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

Im Anschluss muss der Server neugestartet werden.

Installation der Zertifizierungsstelle auf dem neuen Server

Installation der Features

Die Zertifizierungsstelle kann entweder mit dem Windows Server Manager oder dem PowerShell-Befehl

Install-WindowsFeature ADCS-Cert-Authority,ADCS-Web-Enrollment,Web-Mgmt-Console

installiert werden. Nach der Installation muss über den Server-Manager der Konfigurationsassistent ausgeführt werden.

Installation der Zertifizierungsstelle

Installieren Sie die Zertifizierungsstelle wie zuvor. Wählen Sie dieselben Rollendienste und den gleichen Installationstyp und Zertifizierungsstellen-Typ (ZS-Typ) wie zuvor aus.

Bei dem Schritt “Privater Schlüssel” wählen Sie “Vorhanden privaten Schlüssel verwenden” mit der untergeordneten Option “Zertifikat auswählen und zugehörigen privaten Schlüssel verwenden”

Importieren Sie im nächsten Schritt das Exportierte Zertifikat mit dem privaten Schlüssel

Stellen Sie sicher, dass Sie das richtige Zertifikat ausgewählt haben.

Die weiteren Einstellungen wir zum Beispiel die Datenbank belassen Sie im Standard. Schließen Sie den Assistenten ab.

Wiederherstellung der Zertifizierungsstelle

Starten Sie die Verwaltungskonsole der Zertifizierungsstelle. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle und wählen “Alle Aufgaben” und dann “Zertifizierungsstelle wiederherstellen”

Bestätigen Sie die Warnung das die Active Directory-Zertifikatdienste gestoppt werden.

Im Wiederherstellungsassistenten wählen sie bitte die Wiederherstellungsoptionen “Privater Schlüssel und Zertifizierungsstellenzertifikat” und “Zertifikatdatenbank und Zertifikatdatenbankprotokoll” zur Wiederherstellung aus. Geben Sie dazu auch den Speicherpfad der Datensicherung an.

Geben Sie das Kennwort ein, das Sie bei der Sicherung angegeben haben.

Und stellen sie den Assistenten fertig. Klicken Sie bei der Nachfrage ob Sie nach der ausgeführten Wiederherstellung die Active Directory-Zertifikatdienste starten möchten auf “Nein”.

Importieren Sie jetzt die gesicherten Windows Registry Einstellungen. Starten Sie im Anschluss die CA aus der Verwaltungskonsole.

Zertifikatsvorlagen veröffentlichen

Jetzt kommt der Schritt, der meistens vergessen wird. Leider habe ich dafür keine Möglichkeit der Automatisierung gefunden. Wenn ihr eine kennt, schreibt mir bitte einen Kommentar der eine E-Mail.

Jetzt müssen die Zertifikatsvorlagen neu freigegeben werden. Welche entnehmt ihr der exportierten Liste.

Für bestimmte Funktionen der Webschnittstelle muss ein HTTPS-Zertifikat im IIS noch eingestellt werden.

Wenn Sie mit einem CName für die CA arbeiten, zum Beispiel für Sperrlisten, muss den jetzt auch geändert werden.

Testen der Zertifizierungsstelle

Und geht es? Gute Frage… Die Frage ist welche Zertifikate stellen Sie wann aus. Dem entsprechend sollten Sie diese Szenarien einmal durchspielen.

Hier jetzt mal ein einfacherer Test, ein neues Webserver-Zertifikat mit dem Richtigen DNS Alias für den IIS auf der CA.

Dafür erstelle ich bei mir erstmal eine neue “Benutzerdefinierte Anforderung”

Das soll ein Webserverzertifikat nach meiner Vorlage werden.

Klicken Sie auf die Schaltfläche “Eigenschaften” um den DNS-Alias (Subject Alternativ Names, Kurz SAN) hinzuzufügen.

Fügen Sie die DNS-Namen hinzu, für die das Zertifikat gültig sein soll.

Speichern Sie den Request und importieren Ihn in die CA. Das ausgestellte Zertifikat können Sie in die Zertifikatskonsole importieren

und im IIS einstellen.

Jetzt der Test von einem anderen System aus

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau. Zu finden ist er auch auf folgenden Plattformen: WebXingLinkedInFacebookTwitter - Microsoft TechNetPowerShell Gallery

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere