Wichtig beim Update alter Windows Server auf Server 2019

So migrieren Sie Active-Directory-Zertifikatdienste

| Autor / Redakteur: Thomas Joos / Andreas Donner

Bei der Migration auf eine neue Serverversion müssen auch die Active-Directory-Zertifikatsdienste mit umgezogen werden.
Bei der Migration auf eine neue Serverversion müssen auch die Active-Directory-Zertifikatsdienste mit umgezogen werden. (Bild: © svetazi - stock.adobe.com)

Unternehmen, die noch auf ältere Versionen von Windows-Server setzen, zum Beispiel auf Windows Server 2008 R2, müssen früher oder später zu einer neuen Version migrieren, wir zeigen, wie die dann notwendige Übernahme der Daten von Zertifizierungsstellen funktioniert.

Windows Server 2008/2008 R2 nähert sich dem Ende seines Supports. Ab dem 14.01.2020 wird Microsoft keine Updates mehr veröffentlichen. Es ist daher vor allem für Sicherheitsrelevante Dienste, wie den Active-Directory-Zertifikatsdienst wichtig, diese auf ein aktuelles Serversystem umzustellen, am besten zu Windows Server 2019. Wir zeigen die Vorgehensweise dazu. Dabei gehen wir von einer Zertifizierungsstelle auf einem einzelnen Server aus, keiner verteilten Zertifizierungsstelle.

Vorbereitungen für die Migration der Active-Directory-Zertifikatsdienste

Zunächst muss klargestellt werden, dass es keine allgemeingültige Anleitung für die Migration der Zertifizierungsstellen geben kann, da die Active-Directory-Zertifikatsdienste viele unterschiedliche Serverdienste und Einstellungen ermöglichen. Daher unterscheiden sich die verschiedenen Umgebungen voneinander. Vor der eigentlichen Migration sollte also genau geplant werden, wie die Vorgehensweise ist.

Vor einer Migration und der damit verbundenen Änderungen sollte die beteiligten Server gesichert werden. Hier bieten sich vollständige Datensicherungen an. Zusätzlich gibt es auf Windows-Servern auch die Möglichkeit, die Active-Directory-Zertifikatsdienste zu sichern. Im Kontextmenü der Zertifizierungsstelle in der Verwaltungskonsole certsrv.msc steht die Option „Alle Aufgaben/Zertifizierungsstelle sichern“ zur Verfügung. Anschließend startet der Assistent, über den die Zertifizierungsstelle und deren Daten gesichert werden können.

Auf der nächsten Seite des Assistenten wird ausgewählt, welche Dateien gesichert werden sollen und in welcher Datei die Sicherung abgelegt wird. Anschließend wird ein Kennwort für die Sicherung festgelegt, damit keine unberechtigten Personen Zugriff auf die Daten erhalten. Im Anschluss wird die Zertifizierungsstelle gesichert. Auf dem gleichen Weg lassen sich auch Daten wiederherstellen.

Der Server, auf den die Daten der Zertifizierungsstelle migriert werden sollen, muss im Vorfeld installiert und aktualisiert sein. Er sollte fehlerfrei funktionieren, damit sich die Daten übertragen lassen.

Migration beginnen

Die Migration einer Zertifizierungsstelle beginnt mit der Sicherung der Daten auf dem Quell-Server. Das kann entweder in der grafischen Oberfläche erfolgen, oder in der PowerShell mit:

Backup-CARoleService -path C:\Backup -Password (Read-Host -prompt "Password:" -AsSecureString)

Der Befehl legt das Verzeichnis an, es muss im Vorfeld nicht vorhanden sein. Wichtig ist, dass bei der Sicherung alle Daten mit eingebunden werden, auch die privaten Schlüssel und das Zertifikat der Zertifizierungsstelle. Parallel ist es sinnvoll, auch die Registry-Schlüssel zu exportieren, in denen die Daten der CA gespeichert sind. Diese befinden sich im Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

Am besten wird der ganze Schlüssel „Configuration“ über das Kontextmenü exportiert. Der Befehl kann auch in der Befehlszeile/PowerShell durchgeführt werden:

reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration C:\Backup\BackupCa.reg

Auch die Zertifikatsvorlagen sollten gesichert werden. Dazu wird in der Befehlszeile der folgende Befehl genutzt:

certutil.exe -catemplates > C:\Backup\vorlagen.txt

Wenn alle Daten gesichert wurden, kann die alte Zertifizierungsstelle deinstalliert werden.

Ziel-Server konfigurieren

Um die Daten der Zertifizierungsstelle zu übernehmen, muss auf dem Ziel-Server zunächst die Installation der Active-Directory-Zertifikatsdienste erfolgen. Hier müssen alle Rollen und Features installiert werden, die auch auf dem Quell-Server installiert worden sind.

Wichtig ist, dass beim Auswählen der Option für den privaten Schlüssel die Option „Vorhandenen privaten Schlüssel verwenden“ aktiviert werden muss. Auch die Option „Zertifikat auswählen und zugehörigen privaten Schlüssel verwenden“ muss gesetzt sein. Anschließend werden diese Daten aus dem Sicherungsverzeichnis importiert. Die weiteren Einstellungen entsprechen dem Standard.

Nach der Einrichtung erfolgt die Wiederherstellung der Active-Directory-Zertifikatsdienste mit dem gleichen Assistenten, mit dem auf dem Quell-Server die Sicherung erfolgt ist. Für die Wiederherstellung werden auf dem Ziel-Server die Daten der Sicherung des Quell-Servers verwendet. Wichtig ist, dass die Optionen „Privater Schlüssel und Zertifizierungsstellenzertifikat“ sowie „Zertifikatdatenbank und Zertifikatdatenprotokoll“ ausgewählt werden.

Nach Abschluss der Wiederherstellung sollten die Zertifikatsdienste noch nicht neu gestartet werden. zuerst sollten noch die Registry-Daten importiert werden, die zuvor auf dem Quell-Server gesichert wurden. Danach kann die CA gestartet werden.

Im nächsten Schritt werden die exportierten Zertifikatvorlagen des Quell-Servers importiert. Auch hier wird die entsprechende Datei verwendet. Anschließend wird die Zertifizierungsstelle getestet. Unter Umständen müssen daraufhin noch Einträge in den Einstellungen und SSL-Zertifikate für die Zertifizierungsstelle selbst angepasst werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46193742 / Client-/Server-Administration)