Eine Zertifizierungsstelle gehört zu den Serverrollen die über viele Jahre gleich bleiben und einige Hardware- bzw. Betriebsystem- Lifecycles überdauern. Aus diesem Grund kann es vorkommen dass man eine CA von einem Server auf einen anderen migrieren muss.
Wichtig dabei ist dass der Name des Servers sich nicht ändern sollte, kann man eine Änderung nicht verhindern gibt es hier einen KB Artikel der die Vorgehensweise beschreibt. Aber wie gesagt, besser/einfacher ist es den Namen nicht zu ändern.
Nun denn, zuerst gilt es eine Strategie zu wählen, ich habe es so gemacht dass ich die CA gesichert habe, CA deinstalliert, DC heruntergestuft, Server aus der Domain genommen. Neuen Server mit gleichem Namen installiert, zum DC hochgestuft, CA installiert, CA widerhergestellt und läuft.
Also zum ersten Schritt, Sichern einer Zertifizierungsstelle:
- Im CA SnapIn auf den CA Namen klicken und All Tasks –> Backup CA wählen
- Beide Checkboxen (Private key and CA certificate and Certificate database, certificate database log) aktivieren
- Einen Ordner angeben wohin das Ganze gesichert wird (sollte leer sein)
- Ein Kennwort für den Private Key angeben (sollte man sich natürlich merken)
- regedit öffnen und zum Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration wechseln, Rechtsklick auf den Schlüssel und Export wählen. Wieder einen Ordner wählen um den Registry Key abzulegen.
Deinstallieren einer Zertifizierungsstelle:
-
Server Manager öffnen, Remove Roles wählen
-
Active Directory Certificate Services entfernen
-
Neu Starten und fertig
-
folgende Daten bleiben auf dem Server (Achtung bei Entsorgung!!)
- CA database, CA public and private keys, CA's certificates in the Personal store
- CA chain's root certificate in the Trusted Root Certification Authorities store
- CA chain's intermediate certificates in the Intermediate Certification Authorities store
- The CA's CRL
Wiederherstellen einer Zertifizierungsstelle:
-
Server Manager öffnen, Add Roles wählen
-
Active Directory Certificate Services hinzufügen
-
Bei “Specify Type” den entsprechenden Typ auswählen, Standalone oder Enterprise
-
Bei “Set up Private Key” muss man “Use existing private Key” wählen, darunter “Select a certificate and use its associated private key”
-
Jetzt wird das vorher gesicherte Zertifikat (*.p12 Datei) ausgewählt und das entsprechende Passwort eingegeben
-
Bei “Configure Database” ist noch darauf zu achten dass der CertLog Ordner im gleichen Pfad liegt wie auf dem alten Server (Standard %systemroot%\system32\CertLog)
-
Jetzt wird die CA installiert
- Ist die Installation abgeschlossen, die Dienstkonsole öffnen (services.msc) und den Dienst “Active Directory Certificate Services” beenden
- Jetzt das vorher exportierte Registry File doppelklicken und die Einstellungen importieren
- CA SnapIn öffnen und auf den CA Namen klicken, All Tasks –> Restore CA wählen
- Wieder beide Checkboxen (Private key and CA certificate and Certificate database, certificate database log) aktivieren
- Jetzt kann der Dienst “Active Directory Certificate Services” wieder gestartet werden und die CA läuft wieder
Weihnachtliche Grüße
tom