Aus verschiedenen Gründen kann es notwendig sein, eine Windows Zertifizierungsstelle (Certification Autority – kurz CA) auf einen anderen Server umzuziehen.

Im folgenden Beispiel soll eine CA von einem Windows 2003 Server auf einem Windows 2008 R2 Server umziehen, dabei ändert sich auch der Servername.

Voraussetzungen:

  1. generell ist es empfehlenswert eine unveränderliche Weblokation für das Root-Zertifikat und die Zertifikatssperrlisten einzutragen
  2. bevor die neue CA installiert wird, muss die alte CA deinstalliert sein
  3. damit es beim wiederherstellen des CA-Backups keine Probleme gibt, sollte die CA-Datenbank möglichst an der Standardstelle installiert sein (siehe: Windows 2003 Zertifikat Authorität Datenbank und Logdateien verscheiben)

Vorgehen:

CA-Datenbank-Backup auf dem alten Server erstellen.

  1. Certification Authority snap-in öffnen und Rechtsklick auf den CA Namen, unter All Tasks > Back up CA
  2. Im Backup-Wizzard fortfahren und „Private key and CA certificate“ sowie „Certificate database and certificate database log“ auswahlen
  3. zur Sicherung sollte ein leerer Zielordner gewählt werden
  4. anschließend wird ein Passwort zur Sicherung des CA-Backups verlangt
  5. anschließend den Vorgang beenden

CA-Registry vom alten Server sichern.

  1. regedit starten
  2. den Registry-Zweig unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration exportieren

CA-Datenbank-Backup und CA-Registry auf neuen Server kopieren.

Nun ist auf dem alten Server der CA-Dienst zu deinstallieren.

Jetzt kann auf dem neuen Server die CA wieder aufgebaut werden.

  1. im Windows 2008 Server Manager unter Roles „Add Roles“ auswählen
  2. die Rolle Active Directory Certificate Services auswählen und fortfahren
  3. in der Detailauswahl muss Certification Authority und ggf. Web Enrollment ausgewählt sein (zusätzlich erforderliche Komponenten werden automatisch vorgeschlagen)
  4. in kleinen Umgebungen kann eine Root-CA auch AD integriert sein, dann ist Enterprise zu wählen – bei einer Standalone-CA entsprechend Standalone
  5. anschließend Root für die Root-CA auswählen
  6. im gewählten Beispiel ist nun das bestehende Schlüsselpaar zu importieren, darum Use existing private key und Select a certificate and use its associated private key
  7. nun das gesicherte Zertifikat auswählen und das Passwort aus dem CA-Backup Schritt eingeben
  8. nur noch die Installation abschließen und fertig

Jetzt kann die CA-Registry Sicherung wieder eingespielt werden.

  1. Merge Option der .reg-Datei ausführen
  2. mittels regedit den Registry-Zweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration durchsuchen und den Servernamen austauschen
  3. besonders die beiden Schlüssel CACertPublicationURLs und CRLPublicationURLs müssen hinsichtlich ihrer Pfade an die neue Infrastruktur angeglichen werden

Abschließend ist noch die CA-Datenbank-Sicherung einzuspielen.

  1. im Windows 2008 Server Manager die Rolle Active Directory Certificate Services öffnen und auf den CA-Namen rechtsklicken dort unter All Tasks > Restore CA auswählen
  2. die Warnung, dass der CA-Dienst für den Vorgang gestoppt werden muss bestätigen
  3. im Restore-Wizzard den Pfad zur CA-Datenbank-Sicherung auswählen (bei Fehlermeldungen ggf. eine Ebene höher ansetzen)
  4. den Vorgang fortsetzen und zum Abschluss den CA-Dienst neustarten lassen

Damit ist der Umzug vollzogen und die CA auf dem neuen Server unter neuem Namen erreichbar.

Ggf. sind noch die Freigaben für die Zertifikate und die Sperrlisten zu erstellen oder anzupassen, damit die CA ordnungsgemäß funktioniert.

Resourcen:

Move a CA to a Different Computer (MS)
How to Move a certification authority to another server (MS)
Active Directoy Certificate Service Upgrade and migration Guidance (MS)

Share