Suchen

Alte Windows Server auf Server 2019 umstellen Active-Directory-Zertifikatdienste migrieren

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Unternehmen, die noch auf ältere Versionen von Windows-Server setzen, zum Beispiel auf Windows Server 2008 R2, müssen früher oder später zu einer neuen Version migrieren, wir zeigen, wie die dann notwendige Übernahme der Daten von Zertifizierungsstellen funktioniert.

Firmen zum Thema

Bei der Migration auf eine neue Serverversion müssen auch die Active-Directory-Zertifikatsdienste mit umgezogen werden.
Bei der Migration auf eine neue Serverversion müssen auch die Active-Directory-Zertifikatsdienste mit umgezogen werden.
(Bild: © svetazi - stock.adobe.com)

Das Supportende von Windows Server 2008/2008 R2 naht: Ab dem 14.01.2020 wird Microsoft keine Updates mehr veröffentlichen. Es ist daher vor allem für Sicherheitsrelevante Dienste, wie den Active-Directory-Zertifikatsdienst wichtig, diese auf ein aktuelles Serversystem umzustellen, am besten zu Windows Server 2019. Wir zeigen die Vorgehensweise dazu. Dabei gehen wir von einer Zertifizierungsstelle auf einem einzelnen Server aus, keiner verteilten Zertifizierungsstelle.

Bildergalerie
Bildergalerie mit 12 Bildern

Vorbereitungen für die Migration der Active-Directory-Zertifikatsdienste

Zunächst muss klargestellt werden, dass es keine allgemeingültige Anleitung für die Migration der Zertifizierungsstellen geben kann, da die Active-Directory-Zertifikatsdienste viele unterschiedliche Serverdienste und Einstellungen ermöglichen. Daher unterscheiden sich die verschiedenen Umgebungen voneinander. Vor der eigentlichen Migration sollte also genau geplant werden, wie die Vorgehensweise ist.

Vor einer Migration und der damit verbundenen Änderungen sollte die beteiligten Server gesichert werden. Hier bieten sich vollständige Datensicherungen an. Zusätzlich gibt es auf Windows-Servern auch die Möglichkeit, die Active-Directory-Zertifikatsdienste zu sichern. Im Kontextmenü der Zertifizierungsstelle in der Verwaltungskonsole certsrv.msc steht die Option „Alle Aufgaben/Zertifizierungsstelle sichern“ zur Verfügung. Anschließend startet der Assistent, über den die Zertifizierungsstelle und deren Daten gesichert werden können.

Auf der nächsten Seite des Assistenten wird ausgewählt, welche Dateien gesichert werden sollen, und in welcher Datei die Sicherung abgelegt wird. Anschließend wird ein Kennwort für die Sicherung festgelegt, damit keine unberechtigten Personen Zugriff auf die Daten erhalten. Im Anschluss wird die Zertifizierungsstelle gesichert. Auf dem gleichen Weg lassen sich auch Daten wiederherstellen.

Der Server, auf den die Daten der Zertifizierungsstelle migriert werden sollen, muss im Vorfeld installiert und aktualisiert sein. Er sollte fehlerfrei funktionieren, damit sich die Daten übertragen lassen.

Migration beginnen

Die Migration einer Zertifizierungsstelle beginnt mit der Sicherung der Daten auf dem Quell-Server. Das kann entweder in der grafischen Oberfläche erfolgen, oder in der PowerShell mit:

Backup-CARoleService -path C:\Backup -Password (Read-Host -prompt "Password:" -AsSecureString)

Der Befehl legt das Verzeichnis an, es muss im Vorfeld nicht vorhanden sein. Wichtig ist, dass bei der Sicherung alle Daten mit eingebunden werden, auch die privaten Schlüssel und das Zertifikat der Zertifizierungsstelle. Parallel ist es sinnvoll, auch die Registry-Schlüssel zu exportieren, in denen die Daten der CA gespeichert sind. Diese befinden sich im Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

Am besten wird der ganze Schlüssel „Configuration“ über das Kontextmenü exportiert. Der Befehl kann auch in der Befehlszeile/PowerShell durchgeführt werden:

reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration C:\Backup\BackupCa.reg

Auch die Zertifikatsvorlagen sollten gesichert werden. Dazu wird in der Befehlszeile der folgende Befehl genutzt:

certutil.exe -catemplates > C:\Backup\vorlagen.txt

Wenn alle Daten gesichert wurden, kann die alte Zertifizierungsstelle deinstalliert werden.

Bildergalerie
Bildergalerie mit 12 Bildern

Ziel-Server konfigurieren

Um die Daten der Zertifizierungsstelle zu übernehmen, muss auf dem Ziel-Server zunächst die Installation der Active-Directory-Zertifikatsdienste erfolgen. Hier müssen alle Rollen und Features installiert werden, die auch auf dem Quell-Server installiert worden sind.

Wichtig ist, dass beim Auswählen der Option für den privaten Schlüssel die Option „Vorhandenen privaten Schlüssel verwenden“ aktiviert werden muss. Auch die Option „Zertifikat auswählen und zugehörigen privaten Schlüssel verwenden“ muss gesetzt sein. Anschließend werden diese Daten aus dem Sicherungsverzeichnis importiert. Die weiteren Einstellungen entsprechen dem Standard.

Nach der Einrichtung erfolgt die Wiederherstellung der Active-Directory-Zertifikatsdienste mit dem gleichen Assistenten, mit dem auf dem Quell-Server die Sicherung erfolgt ist. Für die Wiederherstellung werden auf dem Ziel-Server die Daten der Sicherung des Quell-Servers verwendet. Wichtig ist, dass die Optionen „Privater Schlüssel und Zertifizierungsstellenzertifikat“ sowie „Zertifikatdatenbank und Zertifikatdatenprotokoll“ ausgewählt werden.

Nach Abschluss der Wiederherstellung sollten die Zertifikatsdienste noch nicht neu gestartet werden. Vorher sollten noch die Registry-Daten importiert werden, die zuvor auf dem Quell-Server gesichert wurden. Danach kann die CA gestartet werden.

Im nächsten Schritt werden die exportierten Zertifikatvorlagen des Quell-Servers importiert. Auch hier wird die entsprechende Datei verwendet. Anschließend wird die Zertifizierungsstelle getestet. Unter Umständen müssen danach noch Einträge in den Einstellungen und SSL-Zertifikate für die Zertifizierungsstelle selbst angepasst werden.

(ID:46219743)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist