Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019

Zertifizierungsstellen können sehr verschieden eingerichtet sein. Es gibt keine Anleitung, die für alles passt, aber ich sage Ihnen für welches Szenario sie geschrieben wurde. Entsprechend müssen Sie es nur noch für Ihre Situation anpassen.

Wichtiger Hinweis

Wichtig: Machen Sie vorher ein Backup und planen Sie ihre Schritte! Auch übernehme ich keine Gewährleistung oder Support falls etwas schief geht.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 8124ee8e5f2b497da2424d0695ac2f18 - 1

Die Annahmen für diese Anleitung

  • Die Pfade und URLs für die CA zeigen auf einen DNS-Alias, in diesem Fall „ca.adg.local“
  • Die neue Zertifizierungsstelle kommt auf einen neuen Server mit neuen Computernamen und neuer IP-Adresse
  • Die Zertifizierungsstelle besteht nur aus einem Computer (Damit ist keine Mehrstufige CA oder Offline CA gemeint, da gilt jede Sub-CA oder CA als eigene Zertifizierungsstelle)
  • Die Sprache des Betriebssystems ist identisch
  • Zertifizierungsstellen-Webregistrierung ist installiert

Voraussetzungen

Der Windows Server 2019 sollte aktualisiert sein, und es sollten keine Updates oder Neustarts mehr ausstehen. Wichtig ist, die Sprache des Betriebssystems sollte sicherheitshalber nicht gewechselt werden. Es empfiehlt sich, wie immer, auch mal die Ereignisanzeige und das Server Dashboard zu prüfen ob alles mit dem System in Ordnung ist, bevor wir mit der Migration anfangen.

Hinweis zu Veränderungen an dem Aufbau der CA bei der Migration

Bitte beachten Sie auch, wenn Sie eine CA mit mehreren Servern (Eine Mehrstufige CA, zum Beispiel mit Offline CA ist nicht gemeint.) haben, benötigen Sie auch die passende Anzahl an Windows Server 2019 Maschinen. Passen Sie ihre Pläne für die Migration entsprechend an.

Das Umbauen des Aufbaues und der Rollen der Zertifizierungsstelle kann wärend der Migration nicht geändert werden.

Diese Anleitung geht davon aus, dass die CA auf einen neuen Server mit neuem Namen migriert wird. Dabei ist zu beachten das Eventuell die Pfade für die Prüflisten angepasst werden müssen. Generell kann man auch mit einem CName im DNS arbeiten. Wenn die Zertifizierungsstelle vorrauschauend geplant wurde, ist dieses Szenario berücksichtigt worden.

Vorbereitungen an der alten Zertifizierungsstelle auf dem Windows Server 2012R2

Auf der alten CA müssen ein paar Schritte beachtet werden.

Sicherung der alten Zertifizierungsstelle

Als erstes muss eine Datensicherung der alten CA gemacht werden. Die Datensicherung kann mit dem PowerShell Befehl

Backup-CARoleService -path C:\ADCA-Backup -Password (Read-Host -prompt "Password:" -AsSecureString)

Oder der Verwaltungskonsole der Zertifizierungsstelle getan werden.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW1 - 2

Wichtig ist bei der Datensicherung nicht nur die Datenbank und das Protokoll zu sichern, sondern auch das Zertifikat und den Privaten Schlüssel.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW2 - 3

Als nächstes müssen noch Einstellungen aus der Windows-Registry gesichert werden. Diese finden sie unter „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration“ und dem Namen Ihrer Zertifizierungsstelle. Den Export können Sie entweder mit dem Registrierungseditor durchführen

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW3 - 4

oder mit dem Befehl

reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration C:\ADCA-Backup\RegBackup.reg

Sichern der Zertifikatsvorlagen

Als nächstes sollten Sie noch die Zertifikatsvorlagen sichern.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW4 - 5

Dafür sollten Sie den folgenden CertUtil-Befehl verwenden:

certutil.exe -catemplates > C:\ADCA-Backup\CertTemplates.txt

Wenn bei der Installation Ihrer Zertifizierungsstelle eine CAPolicy.inf verwendet wurde, sichern Sie diese auch!

Das aufräumen

Verschieben Sie nun die Daten vom alten auf den neuen Server.

Deinstallieren Sie Die Active Directory Zertifikatsdienste auf dem alten Server. Dies können Sie mit dem Server-Manager oder dem PowerShell Befehl

Remove-WindowsFeature ADCS-Web-Enrollment; Remove-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

Im Anschluss muss der Server neugestartet werden.

Installation der Zertifizierungsstelle auf dem neuen Server

Installation der Features

Die Zertifizierungsstelle kann entweder mit dem Windows Server Manager oder dem PowerShell-Befehl

Install-WindowsFeature ADCS-Cert-Authority,ADCS-Web-Enrollment,Web-Mgmt-Console

installiert werden. Nach der Installation muss über den Server-Manager der Konfigurationsassistent ausgeführt werden.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW5 - 6

Installation der Zertifizierungsstelle

Installieren Sie die Zertifizierungsstelle wie zuvor. Wählen Sie dieselben Rollendienste und den gleichen Installationstyp und Zertifizierungsstellen-Typ (ZS-Typ) wie zuvor aus.

Bei dem Schritt „Privater Schlüssel“ wählen Sie „Vorhanden privaten Schlüssel verwenden“ mit der untergeordneten Option „Zertifikat auswählen und zugehörigen privaten Schlüssel verwenden“

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW6 - 7

Importieren Sie im nächsten Schritt das Exportierte Zertifikat mit dem privaten Schlüssel

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW7 - 8

Stellen Sie sicher, dass Sie das richtige Zertifikat ausgewählt haben.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW8 - 9

Die weiteren Einstellungen wir zum Beispiel die Datenbank belassen Sie im Standard. Schließen Sie den Assistenten ab.

Wiederherstellung der Zertifizierungsstelle

Starten Sie die Verwaltungskonsole der Zertifizierungsstelle. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle und wählen „Alle Aufgaben“ und dann „Zertifizierungsstelle wiederherstellen“

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW9 - 10

Bestätigen Sie die Warnung das die Active Directory-Zertifikatdienste gestoppt werden.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW10 - 11

Im Wiederherstellungsassistenten wählen sie bitte die Wiederherstellungsoptionen „Privater Schlüssel und Zertifizierungsstellenzertifikat“ und „Zertifikatdatenbank und Zertifikatdatenbankprotokoll“ zur Wiederherstellung aus. Geben Sie dazu auch den Speicherpfad der Datensicherung an.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW11 - 12

Geben Sie das Kennwort ein, das Sie bei der Sicherung angegeben haben.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW12 - 13

Und stellen sie den Assistenten fertig. Klicken Sie bei der Nachfrage ob Sie nach der ausgeführten Wiederherstellung die Active Directory-Zertifikatdienste starten möchten auf „Nein“.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW13 - 14

Importieren Sie jetzt die gesicherten Windows Registry Einstellungen. Starten Sie im Anschluss die CA aus der Verwaltungskonsole.

Zertifikatsvorlagen veröffentlichen

Jetzt kommt der Schritt, der meistens vergessen wird. Leider habe ich dafür keine Möglichkeit der Automatisierung gefunden. Wenn ihr eine kennt, schreibt mir bitte einen Kommentar der eine E-Mail.

Jetzt müssen die Zertifikatsvorlagen neu freigegeben werden. Welche entnehmt ihr der exportierten Liste.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW14 - 15

Für bestimmte Funktionen der Webschnittstelle muss ein HTTPS-Zertifikat im IIS noch eingestellt werden.

Wenn Sie mit einem CName für die CA arbeiten, zum Beispiel für Sperrlisten, muss den jetzt auch geändert werden.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW15 - 16

Testen der Zertifizierungsstelle

Und geht es? Gute Frage… Die Frage ist welche Zertifikate stellen Sie wann aus. Dem entsprechend sollten Sie diese Szenarien einmal durchspielen.

Hier jetzt mal ein einfacherer Test, ein neues Webserver-Zertifikat mit dem Richtigen DNS Alias für den IIS auf der CA.

Dafür erstelle ich bei mir erstmal eine neue „Benutzerdefinierte Anforderung“

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW16 - 17

Das soll ein Webserverzertifikat nach meiner Vorlage werden.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW17 - 18

Klicken Sie auf die Schaltfläche „Eigenschaften“ um den DNS-Alias (Subject Alternativ Names, Kurz SAN) hinzuzufügen.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW18 - 19

Fügen Sie die DNS-Namen hinzu, für die das Zertifikat gültig sein soll.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW19 - 20

Speichern Sie den Request und importieren Ihn in die CA. Das ausgestellte Zertifikat können Sie in die Zertifikatskonsole importieren

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW20 - 21

und im IIS einstellen.

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW21 - 22

Jetzt der Test von einem anderen System aus

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019 - 011319 1827 UmzugeinerW22 - 23

Weitere Artikel zum Thema Active Directory Certificate Services


Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau. Zu finden ist er auch auf folgenden Plattformen: -

1 Kommentar zu „Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019