Mobile-Menu

Active-Directory-Zertifikatdienste auf einen neuen Server migrieren So aktivieren Sie SHA-2 und Key Storage Provider

Von Thomas Joos

In vielen Umgebungen sind die Active-Directory-Zertifikatdienste nicht optimal eingestellt und nutzen nicht aktuelle Verschlüsselungstechnologien wie SHA-2. Das lässt sich durch eine Migration aber erledigen.

Firma zum Thema

Viele Active-Directory-Zertifikatsdienste nutzen noch SHA-1. Höchste Zeit also, jetzt auf SHA-2 und eine neue Certification Authority umzustellen.
Viele Active-Directory-Zertifikatsdienste nutzen noch SHA-1. Höchste Zeit also, jetzt auf SHA-2 und eine neue Certification Authority umzustellen.
(Bild: © Olivier Le Moal - stock.adobe.com)

Viele Zertifikatsdienste in Active Directory laufen bereits einige Zeit und nutzen noch SHA-1. Mittlerweile steht mit SHA-2 aber eine neue und sichere Version zur Verfügung. SHA-2 bietet SHA-256, SHA-384 und SHA-512, also Hash-Werte mit 256, 384 oder 512 Bit. Im Gegensatz dazu setzt SHA-1 auf 160 Bit. Hinzu kommt, dass in vielen Umgebungen noch veraltete Kryptografieanbieter genutzt werden.

Hier gibt es in Active-Directory-Zertifikatsdiensten die beiden Anbieter Cryptographic Service Provider (CSP) und Schlüsselspeicheranbieter (Key Storage Provider, KSP). Bei KSP handelt es sich um den Nachfolger von CSP. Auch hier sollte möglichst die neue Version zum Einsatz kommen. Bei der Erstellung einer einen CA (Certification Authority) auf einem Server können Hash-Alogorithmus und auch CSP oder KSP für den Betrieb ausgewählt werden.

Bildergalerie
Bildergalerie mit 6 Bildern

Nach dem Aufrufen des Verwaltungsprogrammes für Zertifizierungsstellen über „certsrv.msc“ kann in den Eigenschaften der CA auf der Registerkarte „Allgemein“ überprüft werden, ob bereits die neuen Standards zum Einsatz kommen. Bei „Anbieter“ sollte dazu „Microsoft Software Key Storage Provider“ stehen und bei „Hashalgorithmus“ mindestens SHA256.

Bei der Installation gleich Key Storage Provider und SHA-2 nutzen

Im Rahmen der Installation der Active-Directory-Zertifikatsdienste kann bei der Einrichtung mit dem Assistenten auf der Seite „Kryptografie“ bei „Kryptografieanbieter“ gleich „Microsoft Key Storage Provider“ ausgewählt werden.

Bei „Wählen Sie den Hashalgorithmus aus, mit dem Zertifikate dieser Zertifizierungsstelle signiert werden sollen“ steht neben SHA265 auch SHA384 und SHA512 zur Verfügung. SHA-1 sollte auf modernen Servern nicht mehr genutzt werden. Normalerweise werden bei der Einrichtung der Zertifikatsdienste in Windows Server 2016/2019 und Windows Server 2022 bereits automatisch „Microsoft Key Storage Provider“ und SHA265 ausgewählt.

Der Hashalgorithmus kann auch ohne Migration geändert werden. Dazu wird zum Beispiel der folgende Befehl verwendet, um in Zukunft auf SHA512 zu setzen:

certutil -setreg ca\csp\CNGHashAlgorithm SHA512

Danach muss der Dienst der Zertifizierungsstelle noch neu gestartet werden. Das erfolgt in der PowerShell zum Beispiel mit:

Restart-service certsvc

Bei der Änderung von SHA-1 zu SHA-2 muss unter Umständen auch das Stammzertifikat erneuert werden. Das geht einfach über die Konsole „certsrv.msc“ und den Befehl „Alle Aufgaben\Zertifizierungsstellenzertifikat erneuern“. In der Konsole kann in den Eigenschaften auch wieder überprüft werden, welcher Hashalgorithmus zum Einsatz kommt.

Vor Änderungen Backup durchführen

Bevor Änderungen vorgenommen werden, sollten die aktuellen Einstellungen der CA gesichert werden. Das kann bei aktuellen Versionen von Windows Server mit der PowerShell erfolgen:

Backup-CARoleService -path C:\Backup -Password (Read-Host -prompt „Password:“ -AsSecureString)

Eine Wiederherstellung kann ebenfalls in der PowerShell erfolgen. Dazu steht das Cmdlet „Restore-CARoleService“ zur Verfügung. Die Sicherung kann aber auch direkt in der Verwaltungskonsole der Active-Directory-Zertifikatsdienste erfolgen. Der Start erfolgt am schnellsten mit „certsvr.msc“. Unternehmen, die noch auf ältere Versionen von Windows-Server setzen, müssen früher oder später zu einer neuen Version migrieren.

Zunächst muss klargestellt werden, dass es keine allgemeingültige Anleitung für die Migration der Zertifizierungsstellen geben kann, da die Active-Directory-Zertifikatsdienste viele unterschiedliche Serverdienste und Einstellungen ermöglichen. Daher unterscheiden sich die verschiedenen Umgebungen voneinander. Vor der eigentlichen Migration sollte also genau geplant werden, wie die Vorgehensweise ist.

Vor einer Migration oder anderen Änderungen sollten die beteiligten Server gesichert werden. Hier bieten sich eine vollständige Datensicherungen an. Zusätzlich gibt es auf Windows-Servern auch die Möglichkeit, die Active-Directory-Zertifikatsdienste zu sichern. Im Kontextmenü der Zertifizierungsstelle in der Verwaltungskonsole „certsrv.msc“ steht dafür die Option „Alle Aufgaben/Zertifizierungsstelle sichern“ zur Verfügung. Anschließend startet der Assistent, über den die Zertifizierungsstelle und deren Daten gesichert werden können.

Auf der nächsten Seite des Assistenten wird ausgewählt, welche Dateien gesichert werden sollen und in welcher Datei die Sicherung abgelegt wird. Anschließend wird ein Kennwort für die Sicherung festgelegt, damit keine unberechtigten Personen Zugriff auf die Daten erhalten. Im Anschluss wird die Zertifizierungsstelle gesichert. Auf dem gleichen Weg lassen sich auch Daten wiederherstellen.

Der Server auf den die Daten der Zertifizierungsstelle migriert werden sollen, muss im Vorfeld installiert und aktualisiert sein. Er sollte fehlerfrei funktionieren, damit sich die Daten übertragen lassen.

Migration der Zertifikatsdienste beginnen

Wichtig ist, dass bei der Sicherung alle Daten mit eingebunden werden, auch die privaten Schlüssel und das Zertifikat der Zertifizierungsstelle. Parallel ist es sinnvoll auch die Registry-Schlüssel zu exportieren, in denen die Daten der CA gespeichert sind. Diese befinden sich im Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

Am besten wird der ganze Schlüssel „Configuration“ über das Kontextmenü exportiert. Der Befehl kann auch in der Befehlszeile/PowerShell durchgeführt werden:

reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration C:\Backup\BackupCa.reg

Auch die Zertifikatsvorlagen sollten gesichert werden. Dazu wird in der Befehlszeile der folgende Befehl genutzt:

certutil.exe -catemplates > C:\Backup\vorlagen.txt

Wenn alle Daten gesichert wurden, kann die alte Zertifizierungsstelle deinstalliert werden. Anschließend lassen sich die CA auf einem neuen Server installieren und die Daten aus der Datensicherung wiederherstellen.

(ID:47906738)