Windows Server Migrations-Matrix für die Zertifizierungsstelle

Spätestens, wenn das Ende der Produkt-Unterstützung durch den Hersteller (Microsoft) naht, stellt sich die Frage, wie und auf welches Betriebssystem eine Zertifizierungsstelle migriert werden soll.

Die Migration der zusätzlichen Dienste wie Zertifizierugsstellen-Webregistrierung (CAWE), Zertifikatbeantragungs-Webdienste (CEP/CES), Online Responder (OCSP) und Registrierungsdienst für Netzwerkgeräte (NDES) wird nicht betrachtet, da eine Neuinstallation auf einem neuen Server meistens die geradlinigste Lösung ist.

Es gibt grundsätzlich mehrere Möglichkeiten, eine Zertifizierungsstelle auf ein neues Betriebssystem zu migrieren:

  • Migration mittels In-Place Upgrade. Hierbei wird das bestehende Betriebssystem direkt auf eine neue Version aktualisiert.
  • Migration mittels Backup und Wiederherstellung auf einem neuen System. Hierbei wird parallel ein neuer Server installiert und die Zertifizierungsstelle auf diesen migriert. Der alte Server wird anschließend außer Betrieb genommen.
  • Aufbau einer neuen Zertifizierungsstelle und Migration der ausgestellten Zertifikate. Bei dieser Methode wird eine komplett neue Zertifizierungsstelle oder Zetifiziernugsstellen-Hierarchie aufgebaut und dann der Inhalt der alten Zertifizierungsstelle – also deren ausgestellte Zertifikate – auf die neue Zertifizierungsstelle durch dere Neuausstellung umgezogen. Beide Zertifizierungsstellen existieren parallel zueinander, bis die alte Zertifizierungsstelle außer Betrieb genommen werden kann.

Migrations-Matrix für Migration mittels In-Place Upgrade

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Anstelle eines In-Place Upgrades wird dringend empfohlen, die Zertifizierungsstelle auf einen anderen Server mit einem aktuellen Betriebssystem zu migrieren. Siehe Artikel "Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server".

Von/Nach20082008 R220122012 R220162019
2008./.JaJaNein Nein Nein
2008 R2Nein./. JaJaNein Nein
2012Nein Nein ./. JaJaNein
2012 R2Nein Nein Nein ./. JaJa
2016Nein Nein Nein Nein ./. Ja
2019Nein Nein Nein Nein Nein ./.

Der Erfolg eines In-Place Upgrade hängt auch von installierter Dritt-Software ab. Beispielsweise kann es sein, dass zuvor ein neuer Key Storage Provider (KSP) für ein Hardware Security Modul (HSM) beschafft und installiert werden muss, oder dass zunächst eventuell vorhandene Richtlinienmodule (z.B. Forefront / Microsoft Identity Manager) aktualisiert werden müssen. Es wird daher immer empfohlen, der Migrations-Methode mittels Backup und Wiederherstellung den Vorzug zu geben.

Voraussetzung für ein In-Place Upgrade von Windows Server 2008 auf Windows Server 2008 R2 oder neuer ist, dass der ursprüngliche Server mit der 64-Bit Version von Windows Server 2008 installiert wurde. Andernfalls verbleibt nur die Option der Migration mittels Backup und Wiederherstellung.

Ein Downgrade auf ein älteres Betriebssystem wird vom Hersteller für dieses Szenario grundsätzlich nicht unterstützt.

Migrations-Matrix für Migration mittels Backup und Wiederherstellung auf einem neuen System

Diese Methode ist im Artikel "Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server " beschrieben.

Von/Nach20082008/R220122012 R220162019
2008JaJaJaNeinNeinNein
2008 R2NeinJaJaJaJaJa
2012NeinNeinJaJaJaJa
2012/R2NeinNeinNeinJa JaJa
2016NeinNeinNeinNeinJa Ja
2019NeinNeinNeinNeinNeinJa

Bei der Migration einer Zertifizierungsstelle von Windows Server 2008 auf neuere Betriebssysteme muss aufgrund einer Änderung in der Datenbank-Engine zunächst eine Migration auf Windows Server 2008 R2 oder Windows Server 2012 erfolgen.

Von Windows Server 2008 R2 kann direkt auf neuere Versionen bis hin zu Windows Server 2019 migriert werden.

Ein Downgrade auf ein älteres Betriebssystem kann unter Umständen funktionieren, wird vom Hersteller jedoch nicht unterstützt.

Aufbau einer neuen Zertifizierungsstelle und Migration der ausgestellten Zertifikate

Bei dieser Variante gibt es keine Einschränkungen der Upgrade-Pfade, bis auf dass die neue Zertifizierungsstelle die gleichen Zertifikatvorlagen-Generationen unterstützen muss wie die alte.

Weiterführende Links:

Externe Quellen

de_DEDeutsch