Nachfolgend wird die Wiederherstellung einer Zertifizierungsstelle aus der Sicherung beschrieben. Neben dem Katastrophenfall ist diese Vorgehensweise auch Teil der Migration eine Zertifizierungsstelle auf einen neuen Server.
Überblick
Die Wiederherstellung einer Zertifizierungsstelle teilt sich auf in die folgenden Teilschritte, welche genau in der angegebenen Reihenfolge abgearbeitet werden müssen:
- Wiederherstellen des Zertifizierungsstellen-Zertifikats, entweder mit Software-Schlüssel oder mit Hardware Security Modul (HSM)
- Installieren der Zertifizierungsstellen-Rolle auf dem Ziel-Server
- Die Zertifizierungsstelle in den Wartungsmodus versetzen
- Wiederherstellen der Registry der Zertifizierungsstelle
- Wiederherstellen der Zertifizierungsstellen-Datenbank
- Wiederherstellen des Deltas zwischen Sicherung und Ausfall
- Optional: Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank
- Optional: Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle
- Funktionstest durchführen
- Die Zertifizierungsstelle aus dem Wartungsmodus nehmen
Umsetzung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Wiederherstellen des Zertifizierungsstellen-Zertifikats
Die Wiederherstellung des Zertifizierungsstellen-Zertifikats unterscheidet sich je nachdem, ob ein Hardware Security Modul verwendet wird oder nicht, und ist in den folgenden beiden Artikeln beschrieben:
- Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)
- Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel
Beabsichtigt man, später alte Zertifizierungsstellen-Zertifikate aus der Konfiguration der Zertifizierungsstelle zu entfernen, müssen diese nicht importiert werden. Es genügen diejenigen Zertifizierungsstellen-Zertifikate, die später noch aktiv benutzt werden solle.
Installieren der Zertifizierungsstellen-Rolle auf dem Ziel-Server
Sind die Zertifizierungsstellen-Zertifikate mit den privaten Schlüsseln auf dem Ziel-Server installiert, wird im Anschluss die Zertifizierungsstellen-Rolle installiert. Der entscheidende Unterschied zur Installation einer neuen Zertiifzierungsstelle ist, dass in diesem Fall kein neues Schlüsselpaar erzeugt wird, sondern das vorhandene weiter verwendet wird.
Die Zertifizierungsstelle ist direkt nach der Installation wieder online, mit den konfigurierten Zertifikatvorlagen bestückt und nimmt Zertifikatanforderungen entgegen. Da jedoch noch die Konfiguration der Zertifizierungsstelle und die Zertifizierungsstellen-Datenbank fehlt, besteht große Gefahr, dass "falsche" Zertifikate ausgestellt werden. Aus diesem Grund ist es essentiell, dass direkt nach dem nachfolgenden Schritt der Wartungsmodus auf der Zertifizierungsstelle aktiviert wird, um Anfragen von Antragstellern bis zum Abschluss der Wiederherstellung und des Funktionstests zu unterbinden.
Seit Windows Server 2008 besteht die Installation der Zertifizierungsstellen-Rolle aus zwei Schritten:
- Installation der Rollen-Dateien. Dieser Schritt ist in diesem Artikel beschrieben.
- Konfiguration der Zertifizierungsstellen-Rolle. Dieser Schritt wird nachfolgend beschrieben.
Nachdem die Zertifizierungsstellen-Rolle installiert wurde, kann über den Server-Manager die Rollen-Konfiguration gestartet werden. Oben rechts sollte ein Ausrufezeichen zu sehen sein, über die Option "Configure Active Directory Certificate Services…" kann der Rollenkonfigurations-Assistent gestartet werden.
Im nachfolgenden Dialog werden die Anmeldedaten des Benutzerkontos angegeben, mit welchem die Rollenkonfiguration durchgeführt wird. Das Benutzerkonto muss Mitglied in der Gruppe "Enterprise Administrators" sein oder über entsprechende delegierte Berechtigungen verfügen.
Es wird empfohlen, dass man sich mit dem für die Installation der Zertifizierungsstelle vorgesehenen Konto interaktiv (also direkt an der Konsole oder per Remote Desktop) anmeldet und in diesem Dialog keine Änderungen vornimmt. Eine Auswahl eines abweichenden Benutzerkontos kann zu unvorhergesehenen Wechselwirkungen führen (beispielsweise in Verbindung mit Gemalto / SafeNet HSMs muss das Konto auch auf die Partition berechtigt sein).
Im nächsten Dialog wird die Option "Certification Authority" ausgewählt.
Je nach Zertifizierungsstellen-Typ wird "Enterprise CA" oder "Standalone CA" gewählt. Die folgende Anleitung beschreibt die Wiederherstellung einer Active Directory integrierten Zertifizierungsstelle, also einer Enterprise CA.
Je nach Zertifizierungsstellen-Typ wird zwischen einer Stammzertifizierungsstelle (Root CA) oder einer untergeordneten Zertifizierungsstelle (Subordinate CA) unterschieden.
Die Option "Subordinate CA" beinhaltet alle Zertifizierungsstellen-Typen, bei denen es sich nicht um eine Stammzertifizierungsstelle handelt – also auch Zwischenzertifizierungsstellen.
Im nächsten Dialog wird nun nicht wie bei einer Neuinstallation ein neues Schlüsselpaar verwendet, sondern ein bestehendes. Da zuvor bereits die Zertifizierungsstellen-Zertifikate wiederhergestellt wurden, wird die Option "Select a certificate and use its associated private key" gewählt.
Im nächsten Dialog wird nun das Zertifizierungsstellen-Zertifikat ausgewählt. Hat die Zertifizierungsstelle mehrere Zertifizierungsstellen-Zertifikate, sollte das neueste ausgewählt werden.
Wenn die Zertifizierungsstelle über mehrere Zertifizierungsstellen-Zertifikate verfügt, werden diese im nachfolgenden Schritt über die Wiederherstellung der Registry wieder in die Zertifizierungsstellen-Konfiguration eingepflegt.
Wenn die Liste der Zertifikate leer ist, obwohl das Zertifizierungsstellen-Zertifikat korrekt wiederhergestellt wurde, siehe Artikel "Bei der Wiederherstellung einer Zertifizierungsstelle ist das Zertifizierungsstellen-Zertifikat bei der Rollen-Installation nicht auswählbar".
Bei der Identifikation des neuesten Zertifizierungsstellen-Zertifikats kann folgender Windows PowerShell Befehl hilfreich sein:
Get-ChildItem Cert:\LocalMachine\My | Sort-Object NotBefore | Select-Object -Property Thumbprint,NotBefore,NotAfter
Im nachfolgenden Dialog wird der Speicherort für die Zertifizierungsstellen-Datenbank festgelegt.
Die Zertifizierungsstellen-Datenbank kann später mit geringem Aufwand auf ein anderes Laufwerk oder in einem anderen Ordner verschoben werden. Die Vorgehensweise ist im Artikel "Verschieben der Zertifizierungsstellen-Datenbank in ein anderes Verzeichnis oder auf ein anderes Laufwerk" beschrieben.
Nun sind alle relevanten Parameter eingestellt und die Installation der Zertifizierungsstellen-Rolle kann abgeschlossen werden.
Der Erfolg der Rollen-Installation wird entsprechend bestätigt.
Die Zertifizierungsstelle in den Wartungsmodus versetzen
Nachdem die Zertifizierungsstellen-Rolle installiert wurde, ist diese sofort für die Beantragung von Zertifikaten verfügbar und kann direkt wieder Zertifikate ausstellen. Da die Konfiguration und die Zertifizierungsstellen-Datenbank jedoch noch nicht wiederhergestellt wurde, ist es erforderlich, die Zertifizierunggsstelle in den Wartungsmodus zu versetzen. Die Vorgehensweise ist im Artikel "Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen" beschrieben.
Wiederherstellen der Registry der Zertifizierungsstelle
Die Registry der Zertifizierungsstelle beinhaltet alle Einstellungen, die den Zertifizierungsstellen-Server betreffen, also unter Anderem:
- Konfiguration von CRL Distribution Point (CDP) und Authority Information Access (AIA) für die ausgestelten Zertifikate
- Konfiguration von Veröffentlichungspunkten für Sperrlisten
- Maximaler Gültigkeitszeitraum für ausgestellte Zertifikate
- Konfguration von Gültigkeits- und Überlappungszeiträumen von Sperrlisten
- Einstellungen betreffend Private Key Archivierung (Wiederherstellungsagenten und Schlüsselerzeugung für die Zertifizierungsstellenaustausch-Zertifikate (CA Exchange)
- Sicherheitsberechtigungen auf die Zertifizierungsstelle
Die einzelnen Konfgurationseinstellungen müssen manuell in der Registry-Datei für die Wiederherstellung ausgewählt bzw. entfernt werden. Die exakte Vorgehensweise zum Import der Registry-Werte ist im Artikel "Wiederherstellung der Registry einer Zertifizierungsstelle" beschrieben.
Wiederherstellen der Zertifizierungsstellen-Datenbank
Bevor die Zertifizierungsstelle wieder in Betrieb genommen werden kann, muss noch die Zertifizierungsstellen-Datenbank wiederhergestellt werden.
Hierzu wird die Verwaltungskonsole für die Zertifizierungsstelle (certlm.msc) geöffnet und mit rechts auf die Zertifizierungsstelle geklickt. Im Kontextmenü wird "All Tasks" – "Restore CA…" gewählt.
Da der Zertifizierungsstellen-Dienst für die Wiederherstellung der Zertifizierungsstelle nicht gestartet sein darf, wird man auf diesen Umstand entsprechend hingewiesen. Mit Klick auf "OK" wird der Zertifizierungsstellen-Dienst beendet.
Anschließend wird der Assistent zur Wiederherstellung der Zertifizierungsstelle geöffnet. Mit Klick auf "Next" geht es zum nächsten Dialog.
Im nachfolgenden Dialog wird die Option "Certificate database and certificate database log" ausgewählt. Das Zertifizierungsstellen-Zertifikat samt Schlüsseln wurde ja bereits wiederhergestellt, sodass die entsprechende Option hier nicht benötigt wird. Mit "Browse" wird der Speicherort der wiederherzustellenden Zertifizierungsstellen-Datenbank ausgewählt.
Bei der Auswahl des Ordners ist es wichtig, dass die Wiederherstellungs-Routine einen Unterordner namens "DataBase" erwartet. Es muss also der jeweils übergeordnete Ordner ausgewählt werden.
Der Assistent kann nun abgeschlossen werden.
Man wird nun gefragt, ob der Zertifizierungsstellen-Dienst wieder gestartet werden soll. Sofern es inkrementelle Backups gibt, die wiederhergestellt werden sollen, muss hier "No" gewählt werden, und es müssen die inkrementellen Backups in zeitlich aufsteigender Reihenfolge nach dem gleichen Schema wiederhergestellt werden.
Wiederherstellen des Deltas zwischen Sicherung und Ausfall
Die Zertifizierungsstelle muss in der Lage sein, Zertifikate zu widerrufen. Hierfür muss jedes jemals ausgestellte (zeitgültige) Zertifikat in der Zertifizierungsstellen-Datenbank erfasst sein. Üblicherweise besteht ein Delta zwischen dem Zeitpunkt der letzten Sicherung und des tatsächlichen Ausfalls eines Systems.
Microsoft sieht daher vor, dass bei jeder Zertifikatausstellung mithilfe des SMTP Exit Moduls eine Kopie jedes ausgestellten Zertifikats an ein Postfach gesendet wird.
Alternative Methoden könnten die Entwicklung eines eigenen Exit Moduls umfassen, welche die ausgestellten Zertifikate beispielsweise auf eine Netzwerkfreigabe schreibt oder gegen einen API-Endpunkt hochlädt.
Die Vorgehensweise zur Wiederherstellung der Daten auf dem SMTP-Exit Modul ist im Artikel "Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls" beschrieben.
Optional: Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank
Es bietet sich an, die Zertifizierungsstellen-Datenbank vor der Wieder-Inbetriebnahme der Zertifizierungsstelle zu kompaktieren. Dies ist jedoch nur sinnvoll, wenn eine große Anzahl von Einträgen aus der Zertifizierungsstellen-Datenbank gelöscht wurde oder nun noch vor der Kompaktierung gelöscht wird, da ansonsten kein Speicherplatz gewonnen werden kann. Die Vorgehensweise ist im Artikel "Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank" beschrieben.
Optional: Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle
Ist die Zertifizierungsstelle schon eine Weile in Betrieb, gibt es unter Umständen ältere Zertifizierungsstellen-Zertifikate, die längst abgelaufen sind. Diese können bei dieser Gelegenheit aus der Konfiguration der Zertifizierungsstelle entfernt werden, sodass diese ohne den Import der Zertifikate startet.
Die Vorgehensweise ist im Artikel "Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle" beschrieben.
Optional: Anpassen verbundener Dienste
Sollten zusätzliche Dienste mit der Zertifizierungsstelle arbeiten und hat sich im Zug der Wiederherstellung der Servername geändert, muss ggfs. deren Konfiguration angepasst werden.
Für den Registrierungsdienst für Netzwerkgeräte (NDES) siehe Artikel "Network Device Enrollment Service (NDES) auf eine andere Zertifizierungsstelle umziehen".
Funktionstest durchführen
Vor der Inbetriebnahme der Zertifizierungsstelle sollte unbedingt ein ausführlicher Funktionstest erfolgen, um sicherzustellen, dass die Zertifiizierungsstelle wie vorgesehen arbeitet. Eine Checkliste und die Vorgehensweise sind im Artikel "Funktionstest durchführen für eine Zertifizierungsstelle" zu finden.
Die Zertifizierungsstelle aus dem Wartungsmodus nehmen
Nachdem alle Tests abgeschlossen sind, kann die Zertifizierungsstelle den Wartungsmodus verlassen. Die Vorgehensweise ist im Artikel "Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen" beschrieben. Bitte darauf achten, dass die Konfiguration der Zertifizierungsstelle und des Active Directory synchron sind, da ansonsten keine Zertifikate beantragt werden können.
Weiterführende Links:
- Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen
- Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank
- (Massenhaftes) Löschen von Einträgen in der Zertifizierungsstellen-Datenbank (Zertifikate, Anforderungen, Sperrlisten)
- Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle
- Funktionstest durchführen für eine Zertifizierungsstelle
- Verschieben der Zertifizierungsstellen-Datenbank
Externe Quellen
- AD CS Migration: Migrating the Certification Authority (Microsoft Corporation)
11 Gedanken zu „Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup)“
Kommentare sind geschlossen.