Active Directory-Zertifikatdienste auf einen neuen Server migrieren

Um die folgenden Schritte ausführen zu können, muss man als Quelle Windows Server 2008 R2 oder höher verwenden. Ist der Ausgangs­punkt ein Windows Server 2008, dann muss man erst ein Upgrade auf Windows Server 2012 durch­führen.

Backup der Datenbank und Konfiguration

Die Sicherung der aktuellen CA-Datenbank und der AD CS-Konfiguration ist unkompliziert. Sie lässt sich über die AD CS-Verwaltungs­konsole oder das Befehls­zeilen­programm certutil erledigen.

Starten Sie certsrv.msc nicht auf einer Workstation, sondern auf dem Server selbst, und klicken sie unterhalb von Certification Authority (Zertifizierungsstelle) mit der rechten Maustaste auf den Server-Namen. Aus dem Kontextmenü führen Sie All Tasks => Back up CA aus.

Die Auswahl dieser Option startet den Assistenten für die Sicherung der Zertifizierungs­stelle. Auf der Übersichts­seite klicken Sie einfach auf Weiter.

Wählen Sie im nächsten Bildschirm die zu sichernden Elemente aus. Sie müssen die Optionen Private key and CA certificate und Certificate database and certificate database log anhaken. Geben Sie anschließend noch den Pfad ein, an dem das Backup gespeichert werden soll.

Daraufhin wird ein Dialog angezeigt, in dem Sie aufgefordert werden, das erforderliche Verzeichnis zu erstellen. Haben Sie das erledigt, dann muss man ein Passwort zum Schutz des privaten Schlüssels und des CA-Zertifikats eingeben.

Nun sollte der Backup-Assistent erfolgreich den Vorgang abschließen.

Backup über die Kommandozeile

Unter Server Core kann man statt der MMC-basierten Konsole den Befehl certutil.exe verwenden. Das Backup lässt sich damit wie folgt ausführen:

certutil -backup c:\<Pfad zum Backup>

Sie werden dann aufgefordert, das Passwort für das Backup der Active Directory-Zertifikats­dienste einzugeben und zu bestätigen.

Backup des AD CS Registry-Schlüssels

Der nächste Schritt besteht darin, den CertSvc-Schlüssel zu sichern. Er findet sich unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc

Warum ist dies notwendig, wenn wir doch schon den privaten Schlüssel und die Datenbank der Zertifizierungs­stelle gesichert haben? Der Registrierungs­schlüssel enthält die Konfiguration der CA, darunter die CRL- und AIA-Speicherorte. Um den Key zu sichern, öffnen Sie regedit.exe und führen Sie die folgenden Schritte aus:

1. Wechseln Sie zu
   KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc
2. Klicken Sie mit der rechten Maustaste auf CertSvc und führen Sie den Befehl Export aus

AD CS Rolle vom bisherigen Server entfernen

Entfernen Sie als nächstes die Rolle Active Directory-Zertifikatsdienste vom Server, der außer Dienst gestellt werden soll.

Nachdem die Rolle entfernt wurde, müssen Sie den Server neu starten.

AD CS-Rolle auf dem neuen Windows Server hinzufügen

Nachdem die Rolle vom alten Windows Server entfernt wurde, können wir sie auf dem neuen installieren. Öffnen Sie dort den Server-Manager und wählen Sie den Server aus. Im Wizard zum Hinzufügen von Rollen und Features aktiviert man dann die Option Active Directory Certificate Services.

Im nächsten Dialog bestätigt man die Installation der Management-Tools.

Den darauf folgenden Dialog zur Installation von Features kann man durch Klick auf Next überspringen. Es folgt die Auswahl der Rollendienste, in meinem Beispiel habe ich installiert:

• Certification Authority
• Certificate Enrollment Policy Web Service
• Certificate Enrollment Web Service
• Certification Authority Web Enrollment

Wenn man sich dafür entschieden hat, die Web-Dienste zu installieren, dann folgt im nächsten Schritt das Einrichten der Rolle Web Server (IIS). Dort kann man es in der Regel bei den bereits angehakten Rollendiensten belassen oder die Auswahl bei Bedarf anpassen.

Anschließend löst man den Vorgang durch Klick auf Install aus, er sollte normalerweise ohne Probleme durchlaufen.

Wenn Sie versuchen, die Verwaltungs­konsole der Zertifizierungs­stelle auf dem neuen Server zu öffnen, bevor Sie die Konfiguration im Server-Manager abgeschlossen haben, erscheint die folgende Fehlermeldung (Error 0x80070002).

Um die Einrichtung von AD CS abzuschließen, muss man daher die Post-Deployment-Konfiguration starten.

Dort gibt man zuerst die Anmeldedaten eines geeigneten Kontos ein. Vorerst können wir außer der Zertifizierungs­stelle keine weiteren Dienste konfigurieren. Erst wenn dies erledigt ist, können sie den Web-Dienst bearbeiten.

Im nächsten Schritt wählt man Enterprise CA und im darauf folgenden Dialog Root CA.

Im nächsten Fenster entscheidet man sich für die Option, wonach man schon einen Private Key besitzt.

Im Import-Dialog wählt man den privaten Schlüssel aus, den man im Backup gespeichert hat. Dieses muss man also zuvor auf den neuen Server übertragen haben. Nachdem man den Key zuvor mit einem Passwort gesichert hat, muss man dieses hier für den Import eingeben.

Hier können Sie außerdem können das Kontrollkästchen "Administrator­interaktion bei jedem Zertifizierungs­stellen­zugriff auf den privaten Schlüssel zulassen" als zusätzliche Sicherheit aktivieren.

Wenn Sie das tun, müssen Sie jedes Mal, wenn ein privater Schlüssel verwendet, ein neues Zertifikat bzw. eine CRL ausgestellt wird oder wenn der Dienst startet, die Credentials eines Administrators eingeben.

Im nächsten Schritt wählt man den Speicherort für die CA-Datenbank und löst im abschließenden Dialog den Vorgang aus.

Sie werden nun aufgefordert, die weitere Konfiguration nach der Bereitstellung durchzuführen. Das betrifft die Web-Dienste, für den es ebenfalls einen Assistenten gibt.

Konfiguration aus dem Backup wiederherstellen

Im nächsten Schritt importiert man die gesicherten Daten des alten Servers in die neue Umgebung. Dazu hält man den AD CS-Service an.

Anschließend öffnet man erneut das Kontextmenü der CA und führt unter All Tasks den Befehl Restore CA aus.

Auch durch diesen Prozess wird man von einem Wizard geführt. Nach dem Begrüßungs­bildschirm hakt man auf dem folgenden Dialog die Kästchen für Private key and CA certificate sowie Certificate database and certificate database log an. Zudem muss man den Pfad zur Backup-Datei angeben.

Nach der Eingabe des Passworts startet der Restore. Nach dessen Abschluss werden wir gefragt, ob wir den Service starten möchten. Den entsprechenden Dialog beantworten wir mit No.

Jetzt wechselt man im Explorer zum Verzeichnis, welches die .reg-Datei mit dem Backup des Registry-Schlüssels enthält. Auf diese klickt man mit der rechten Maustaste und führt Merge aus.

Wenn der Schlüssel in die Registrier­datenbank geschrieben wurde, dann startet man den Service für die AD CS.

Zu diesem Zeitpunkt sollten Sie den neuen Server für die Active Directory-Zertifikatsdienste sowie die vor der Migration ausgestellten Zertifikate und andere Informationen sehen. Aufgrund der Wieder­herstellung hat die CA-Konfiguration den Namen des früheren Servers beibehalten.

Zusammenfassung

Die Migration der Active Directory-Zertifikatsdienste auf einen neuen Server ist nicht allzu schwierig. Nachdem man die benötigten Dateien gesichert hat, installiert man die Rollen­dienste auf dem Ziel-Server und stellt aus dem Backup die Daten und die Konfiguration wieder her.

Dieses Vorgehen erlaubt es, nicht mehr unterstützte Legacy-Systeme außer Betrieb zu nehmen und relativ schnell durch neue Server zu ersetzen.