Ordinateurs

Migrer l’autorité de certification racine vers Windows Server 2019

Administrateur système et réseau accompli avec plus de 10 ans d’expérience dans la gestion d’infrastructures de serveurs et d’opérations de centres de données.

Microsoft a mis fin à la prise en charge de Windows 2003R2 le 14 juillet 2015. Cependant, certaines entreprises exécutent toujours cette version en raison de la complexité de la migration des applications et des services vers une version plus récente du système d’exploitation Windows.

J’ai décidé de faire un tutoriel sur la mise à niveau de Windows 2003R2 Certificate Authority (CA) car j’ai dû en migrer une récemment.

Nous ne pouvons pas mettre à niveau l’autorité de certification directement de 2003R2 à 2019. Nous devons d’abord mettre à niveau vers une version de Windows antérieure à 2019. La base de données CA 2003R2 n’est pas compatible avec la version CA 2019. Dans ce didacticiel, nous utiliserons 2012R2 comme version intermédiaire.

Si l’autorité de certification s’exécute sur n’importe quelle version de Windows à partir de 2008R2 et versions ultérieures, elle peut être mise à niveau directement vers 2019.

Ce qui suit est un résumé de haut niveau des étapes que nous utiliserons pour migrer une autorité de certification d’un serveur à un autre.

migrer-ca-de-windows-2003r2-to-2019-server

Résumé des étapes

Sur le serveur d’origine :

  1. Sauvegardez l’autorité de certification
  2. Sauvegardez la clé de registre CA
  3. Désinstaller le rôle CA

Sur le serveur de destination :

  1. Installer le rôle CA
  2. Configurer l’autorité de certification
  3. Importer le certificat CA
  4. Modifiez l’entrée Server Name de la clé de registre exportée avec le nom du nouveau serveur
  5. Arrêter le service CA
  6. Importer la clé de registre modifiée
  7. Restaurer la base de données CA
  8. Démarrer le service CA

Sauvegarder l’autorité de certification

Ouvrez l’application Autorité de certification.

migrer-ca-de-windows-2003r2-to-2019-server

Cliquez avec le bouton droit sur le nom de l’autorité de certification et sélectionnez Backup CA.

migrer-ca-de-windows-2003r2-to-2019-server
Cliquez sur Suivant

Cliquez sur Suivant

Faites défiler pour continuer

Sélectionnez Clé privée et certificat CA, Base de données de certificats et journal de la base de données de certificats, puis sélectionnez un emplacement pour stocker les fichiers de sauvegarde. Cliquez sur Suivant.

migrer-ca-de-windows-2003r2-to-2019-server

Entrer le mot de passe. Ce mot de passe sera utilisé ultérieurement pour restaurer le certificat de l’autorité de certification racine et les fichiers de sauvegarde. Cliquez sur Suivant.

migrer-ca-de-windows-2003r2-to-2019-server
Appuyez sur Terminer

A lire aussi :  Comment créer un menu déroulant dans Microsoft Excel

Appuyez sur Terminer

Sauvegardez la clé de registre CA

Utilisez Regedit pour exporter la clé de registre pour le service d’autorité de certification.

migrer-ca-de-windows-2003r2-to-2019-server

Aller vers :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSVC\Configuration

Cliquez avec le bouton droit sur la clé portant le nom de l’autorité de certification racine et sélectionnez Exporter.

migrer-ca-de-windows-2003r2-to-2019-server

Saisissez un nom pour enregistrer le fichier. Pour plus de commodité, je stockerai le fichier de registre exporté dans le même dossier que les fichiers de sauvegarde CA.

migrer-ca-de-windows-2003r2-to-2019-server

Nous devrions avoir quelque chose comme ci-dessous dans le dossier contenant nos fichiers de sauvegarde CA et l’exportation du registre.

migrer-ca-de-windows-2003r2-to-2019-server

Désinstaller le rôle CA

Nous devons maintenant supprimer le rôle d’autorité de certification du serveur.

Dans Windows 2003R2, nous devons accéder à Panneau de configuration-> Ajouter ou supprimer des programmes.

migrer-ca-de-windows-2003r2-to-2019-server

Sélectionner Ajouter/supprimer des composants Windows

migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server

Décochez Services de certificatet cliquez Prochain.

migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server
Cliquez sur Terminer

Cliquez sur Terminer

Installer le rôle CA sur le serveur de destination

Le serveur intermédiaire vers lequel nous allons choisir de migrer est le serveur Windows Server 2012R2. Nous aurions pu choisir de migrer vers n’importe quel système d’exploitation de 2008R2 à 2016 directement à partir de 2003R2.

Ouvrez le Gestionnaire de serveur et sélectionnez Ajouter des rôles et des fonctionnalités.

migrer-ca-de-windows-2003r2-to-2019-server
Cliquez sur Suivant

Cliquez sur Suivant

Sélectionner Installation basée sur les rôles ou les fonctionnalités. puis clique Prochain.

migrer-ca-de-windows-2003r2-to-2019-server
Cliquez sur Suivant

Cliquez sur Suivant

Sélectionner Service de certificat Active Directory

migrer-ca-de-windows-2003r2-to-2019-server

Cliquez sur Ajouter des fonctionnalités lorsque vous obtenez cette invite après la sélection Assistant de certificat Active Directory

migrer-ca-de-windows-2003r2-to-2019-server
Cliquez sur Suivant

Cliquez sur Suivant

Cliquez sur Suivant

Cliquez sur Suivant

Cliquez sur Suivant

Cliquez sur Suivant

Sélectionner Autorité de certification.

migrer-ca-de-windows-2003r2-to-2019-server

la Assistant Ajouter des rôles et des fonctionnalités vous demandera si vous souhaitez ajouter des rôles et fonctionnalités supplémentaires requis.

Sélectionner Ajouter des fonctionnalités.

migrer-ca-de-windows-2003r2-to-2019-server

Pour une migration intermédiaire, nous n’avons pas besoin de sélectionner d’autres services de rôle.

Cependant, pour ce tutoriel, je sélectionnerai le Inscription Web de l’autorité de certification service de rôle également.

Cliquez sur Prochain.

Cliquez sur Suivant

Cliquez sur Suivant

migrer-ca-de-windows-2003r2-to-2019-server

Acceptez les valeurs par défaut et cliquez sur Prochain.

migrer-ca-de-windows-2003r2-to-2019-server

Cliquez sur installer.

migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server

Configurer l’autorité de certification

Le gestionnaire de serveur aura maintenant un point d’exclamation jaune.

Il veut que nous configurions le Services de certificats Active Directory que nous venons d’installer.

A lire aussi :  Décembre 2017 PC de jeu conçu pour les passionnés

Cliquez sur le lien dans le message.

migrer-ca-de-windows-2003r2-to-2019-server

Pour les informations d’identification, entrez les informations d’identification disposant des droits d’administrateur d’entreprise. Cliquez sur Prochain.

migrer-ca-de-windows-2003r2-to-2019-server

Sélectionnez les services de rôle, puis cliquez sur Prochain.

migrer-ca-de-windows-2003r2-to-2019-server

Sélectionner CA d’entreprise. Cliquez sur Prochain.

migrer-ca-de-windows-2003r2-to-2019-server

Sélectionner Racine Californie. Cliquez sur Prochain.

migrer-ca-de-windows-2003r2-to-2019-server

Importer le certificat CA

Choisir Utiliser la clé privée existanteet choisissez Sélectionnez un certificat et utilisez sa clé privée associée. Cliquez sur Prochain.

migrer-ca-de-windows-2003r2-to-2019-server

Cliquez sur Importer.

migrer-ca-de-windows-2003r2-to-2019-server

Accédez au certificat dans le dossier contenant les sauvegardes de l’autorité de certification et entrez le mot de passe que nous avions utilisé précédemment.

migrer-ca-de-windows-2003r2-to-2019-server

Sélectionnez le certificat et cliquez sur Prochain.

migrer-ca-de-windows-2003r2-to-2019-server

Acceptez les emplacements par défaut.

migrer-ca-de-windows-2003r2-to-2019-server

Cliquez sur Configurer.

migrer-ca-de-windows-2003r2-to-2019-server

Cliquez sur proche.

migrer-ca-de-windows-2003r2-to-2019-server

Modifier la clé de registre exportée

Nous devrons ensuite importer la clé de registre. Modifiez la clé de registre à l’aide de BLOC-NOTES.

migrer-ca-de-windows-2003r2-to-2019-server

Localiser CASserverName et remplacez-le par le nom du serveur vers lequel nous migrons actuellement.

migrer-ca-de-windows-2003r2-to-2019-server

Arrêter le service CA

arrête le Service CA.

migrer-ca-de-windows-2003r2-to-2019-server

Importer la clé de registre modifiée

Double-cliquez sur la clé de registre exportée. Un message apparaîtra. Cliquez sur oui continuer.

migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server

Restaurer la base de données CA

Nous devons maintenant restaurer les sauvegardes CA. Faites un clic droit sur le nom de l’autorité de certification et sélectionnez Toutes les tâches -> Restaurer l’autorité de certification

migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server
Cliquez sur Suivant

Cliquez sur Suivant

Localisez le dossier de sauvegarde à l’aide de Parcourir et cliquez Prochain

migrer-ca-de-windows-2003r2-to-2019-server

Entrez le mot de passe que nous avons utilisé précédemment. Cliquez sur Prochain.

migrer-ca-de-windows-2003r2-to-2019-server

Cliquez sur Finir.

migrer-ca-de-windows-2003r2-to-2019-server

Cliquez sur oui à l’invite de démarrage Services de certificats Active Directory.

migrer-ca-de-windows-2003r2-to-2019-server

Ceci termine maintenant la migration vers le serveur intermédiaire.

migrer-ca-de-windows-2003r2-to-2019-server

Les étapes précédentes devront être répétées pour migrer du serveur intermédiaire vers le serveur de destination finale.

Je ne montrerai qu’un bref aperçu de cette dernière phase dans ce tutoriel, car à part les différences d’interface graphique entre 2003R2 et 2012R2, les étapes sont les mêmes.

Nous devons sauvegarder la base de données CA et exporter la clé de registre CA. Ensuite, nous désinstallons le rôle CA.

Sauvegardez le certificat CA et la base de données de certificats

Sauvegardez le certificat CA et la base de données de certificats

migrer-ca-de-windows-2003r2-to-2019-server
Exporter la clé de registre CA

Exporter la clé de registre CA

Vous devez d’abord désinstaller le service de rôle d’inscription Web de l’autorité de certification.

Une fois que cela a été désinstallé, vous pouvez procéder à la désinstallation du service de rôle d’autorité de certification.

migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server
migrer-ca-de-windows-2003r2-to-2019-server

Sur le serveur de destination finale

Suivez les étapes 1 à 8 de la section Résumé pour les actions à effectuer sur le serveur de destination. Utilisez les captures d’écran des étapes précédentes qui ont été effectuées sur le serveur intermédiaire car l’interface graphique pour les rôles d’ajout de serveur est presque identique entre 2012R2 et 2019.

A lire aussi :  8 meilleures bibliothèques de galeries d'images JavaScript à découvrir

conclusion

Les étapes de migration sont simples. Cependant, il y a un GOTCHA qui est là chaque fois que j’en ai fait un.

POISSON

Il y a un piège que je n’ai pas vu dans d’autres articles sur la migration des autorités de certification racine, mais il est présent à toutes les occasions où j’ai effectué les migrations d’autorités de certification.

La plupart des installations CA utilisent les paramètres par défaut lors de l’installation. Cela signifie que l’URL CRL pointe vers le nom du serveur sur lequel l’autorité de certification a été installée. Lorsque vous migrez vers le nouveau serveur, tous les certificats nouvellement émis auront le nouvel emplacement de l’URL CRL, qui pointe vers le nouveau serveur.

Cependant, les certificats existants, bien que valides, continueront de consulter l’ancienne URL CRL pour obtenir la liste de révocation des certificats.

Après la migration, tous les services qui utilisent un certificat continueront de fonctionner même si vous n’avez pas émis à nouveau un nouveau certificat pour l’appareil ou le service. Cependant, après environ une semaine, la liste de révocation de certificats sera périmée et un service est généralement configuré pour ne pas utiliser de certificat s’il ne peut pas accéder ou récupérer une liste de révocation de certificats mise à jour. Cela signifie généralement que le service cessera de fonctionner.

Vous avez deux options dans cette situation. Réémettez un nouveau certificat pour l’appareil ou le service, ou configurez l’autorité de certification afin qu’elle publie également la liste de révocation des certificats sur les URL CRL d’origine.

Un autre piège que j’ai vu à quelques reprises est que tous les nouveaux modèles que vous créez ne sont pas publiés, vous n’êtes donc pas en mesure d’émettre un nouveau modèle de certificat.

J’ai dû rechercher ce problème sur Google, et c’était l’attribut flags qui n’était plus défini sur 10 pour l’objet AD suivant CN=Services d’inscription, CN=Services de clés publiques, CN=Services, CN=Configuration,DC=.

Vous pouvez utiliser ADSI Edit pour modifier le paramètre des indicateurs ci-dessus.

Ce contenu est exact et fidèle au meilleur de la connaissance de l’auteur et ne vise pas à remplacer les conseils formels et individualisés d’un professionnel qualifié.

© 2021 sengstar2005

Bouton retour en haut de la page