Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server

Oftmals lebt eine Zertifizierungsstelle deutlich länger, als der Server, auf welchem sie installiert wurde. Gründe für eine Migration der Zertifizierungsstelle auf einen neuen Server, d.h. unter Beibehaltung der Daten, können sein:

• Defekt oder Ende der Lebensdauer der Server-Hardware
• Ende der Lebensdauer des Server-Betriebssystems
• Änderung des Server-Namens

Nachfolgend wird die Vorgehensweise für die Migration im Detail beschrieben.

Grundlagen

Die Migration einer Zertifizierungsstelle besteht aus folgenden Schritten:

• Vorbereitung des neuen Servers
• Installation der Zertifizierungsstellen-Zertifikate (inklusive privatem Schlüssel) auf dem neuen Server
• Die Zertifizierungsstelle auf dem alten Server in den Wartungsmodus versetzen
• Veröffentlichen neuer Zertifikatsperrlisten
• Notfall-Signierung der neu veröffentlichen Zertifikatsperrlisten
• Eine Sicherung (Backup) der Zertifizierungsstelle auf dem alten Server erstellen
• Den alten Server außer Betrieb nehmen
• Wiederherstellen der zuvor erstellten Sicherung der Zertifizierungsstelle auf dem neuen Server
• Funktionstest durchführen
• Die Zertifizierungsstelle aus dem Wartungsmodus nehmen

Die einzelnen Schritte werden im weiteren Verlauf des Artikels näher beschrieben.

Voraussetzungen

Wenn die Zertifizierungsstelle umsichtig entworfen wurde, besteht keine Bindung an den Computernamen des Servers, auf dem sie installiert wurde. Somit kann der neue Server problemlos einen neuen Computernamen erhalten. Diese Variante bietet außerdem den Vorteil, dass der neue Server vorab vorbereitet werden kann, was das Zeitfenster, indem die Zertifizierungsstelle nicht verfügbar ist, deutlich verkürzt.

Aber auch wenn die Zertifizierungsstelle z.B. durch einen AIA oder CDP-Pfad, der auf den Servernamen verweist, an den Computernamen gebunden ist, kann der Servername unter Umständen geändert werden.

Stolperfallen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

• Für die Installation der Zertifizierungsstellen-Rolle sind Enterprise Administrator Berechtigungen oder delegierte Berechtigungen für die Installation einer Enterprise Zertifizierungsstelle erforderlich.
• Nachdem auf dem neuen Server die Zertifizierungsstellen-Rolle installiert wurde, ist diese direkt wieder für Antragsteller erreichbar und kann aktiv Zertifikate ausstellen, da die Liste der auf ihr veröffentlichten Zertifikatvorlagen aus dem Active Directory ausgelesen wird. Daher ist es essentiell, dass nach der Installation der Zertifizierungsstellen-Rolle auf dem neuen Server direkt erneut die Schritte zum Versetzen dieser in den Wartungsmodus ausgeführt werden.
• Es kann unter Umständen vorkommen, dass keine eigenen Zertifikatvorlagen mehr auf der migrierten Zertifizierungsstelle veröffentlicht werden können. Was in diesem Fall unternommen werden muss, ist im Artikel "Nach der Migration der Zertifizierungsstelle auf einen neuen Server können keine eigenen Zertifikatvorlagen mehr veröffentlicht werden" beschrieben.
• Wenn der Wartungsmodus und die Erstellung der Sicherung nicht in der richtigen Reihenfolge ausgeführt wurden, kann es zu dem Phänomen kommen, dass Benutzer keine Zertifikate von der neuen Zertifizierungsstelle beantragen können, da ein Active Directory Objekt nicht korrekt aktualisiert wurde. Wie dieser Fehler behoben werden kann, ist im Artikel "Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."" beschrieben.
• In manchen Fällen verwenden weitere Dienste (z.B. DirectAccess, IpSec, Netzwerkrichtlinienserver (NPS)) das Zertifizierungsstellen-Zertifikat anstatt eines eigenen Serverzertifikats, wenn diese Rollen gemeinsam mit der Zertifizierungsstelle auf dem gleichen Quell-Server installiert sind.

Vorbereitung des neuen Servers

Zur Vorbereitung des Servers gehört unter Anderem:

• Erstellen der virtuellen Maschine oder Inbetriebnahme der Server-Hardware
• Installation des Betriebssystems
• Aufnehmen des neuen Servers in die Domäne
• Installation von Betriebssystem-Updates und Managementsoftware
• Sicherheitshärtung der Betriebssystem-Installation

Diese Schritte werden hier nicht näher beschrieben, da sie allgemeingültig sind.

Installation der Zertifizierungsstellen-Zertifikate (inklusive privatem Schlüssel) auf dem neuen Server

Dieser Schritt gehört zur Vorbereitung des Servers und kann unter Umständen sehr umfangreich sein, etwa wenn Hardware Security Module zum Einsatz kommen. Um bei der Migration der Zertifizierungsstelle keine Zeit zu verlieren, wird dieser Schritt daher im Vorfeld durchgeführt.

Eine Beschreibung der Installation der Zertifizierungsstellen-Zertifikaten ist in den folgenden Artikeln zu finden:

• Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel
• Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)

Die Zertifizierungsstelle auf dem alten Server in den Wartungsmodus versetzen

Damit sich die Zertifizierungsstelle während der Migration in einem konsistenten Zustand befindet, muss verhindert werden, dass sie weiterhin Zertifikatanforderungen annimmt und Zertifikate an die Antragsteller ausstellt. Hierzu wird die Zertifizierungsstelle in den Wartungsmodus versetzt.

Die Vorgehensweise, um eine Zertifizierungsstelle in den Wartungsmodus zu versetzen ist im Artikel "Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen" beschrieben.

Veröffentlichen neuer Zertifikatsperrlisten

Für den Fall, dass die Migration länger dauert als geplant, sollten auf dem Altsystem unbedingt noch einmal aktuelle Sperrlisten erzeugt werden.

Generell sollten die Sperrlistengültigkeiten überprüft und falls erforderlich vor der Migration erhöht werden. Die Vorgehensweise zur Konfiguration der Sperrlisten-Gültigkeiten ist im Artikel "Konfiguration der Sperrlistenverteilpunkte (CDP) und der Authority Information Access (AIA) Erweiterung einer Zertifizierungsstelle" beschrieben.

Die Vorgehensweise zur Veröffentlichung einer Zertifikatsperrliste istim Artikel "Erstellen und Veröffentlichen einer Zertifikatsperrliste" beschrieben.

Notfall-Signierung der neu veröffentlichen Zertifikatsperrlisten

Bei der Notfallsignierung der Sperrlisten wird eine bestehende Zertifikatsperliste unter direkter Verwendung des dazugehörigen privaten Schlüssels mit einem verlängerten Ablaufdateum erneut signiert. Sollte bei der Migration etwas schief gehen, kann der Sperrlistenbetrieb weiterhin aufrecht erhalten werden, bis das Problem gelöst werden konnte.

Eine detailierte Beschreibung zur Durchführung der Notfallsignierung ist im Artikel "Durchführen der Notfallsignierung von Zertifikatsperrlisten" zu finden.

Eine Sicherung (Backup) der Zertifizierungsstelle auf dem alten Server erstellen

Eine detailierte Beschreibung zu den einzelnen Teilschritten ist im Artikel "Eine Sicherung (Backup) einer Zertifizierungsstelle erstellen" zu finden.

Den alten Server außer Betrieb nehmen

Der alte Server wird nun heruntergefahren. Die Zertifizierungsstellen-Rolle wird vorher nicht deinstalliert, da sich ein Teil der Konfiguration im Active Directory befindet und somit vom neuen Server direkt wieder übernommen werden kann.

Wiederherstellen der zuvor erstellten Sicherung der Zertifizierungsstelle auf dem neuen Server

Die Wiederherstellung der Zertifizierungsstelle aus dem Backup besteht aus den folgenden Schritten.

• Die Zertifizierungsstellen-Rolle auf dem neuen Server installieren
• Anpassen der Sicherung der Registry aus dem Backup der Zertifizierungsstelle und Import der Einstellungen
• Importieren der Zertifizierungsstellen-Datenbank aus dem Backup

Eine detailierte Beschreibung zu den einzelnen Teilschritten ist im Artikel "Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup)" zu finden.

Bei einem Wechsel von einer älteren Windows Server Version auf Windows Server 2012 oder neuer hat sich die Vorgehensweise zur Bildung der Zertifikatseriennummer geändert (siehe Artikel "Wie wird die Seriennummer eines Zertifikats gebildet?"). Man sollte sich in diesem Fall bewusst dafür entscheiden, ob man den alten potentiell unsichereren Wert übernehmen möchte oder zur neuen Standardeinstellung übergehen möchte.

Verbundene Dienste anpassen

Wenn der neue Server unter einem anderen Hostnamen erreichbar ist, müssen – falls vorhanden – die mit der Zertifizierungsstelle verbundenen Dienste angepasst werden, sodass sie sich auf den neuen Server verbinden. Dies umfasst:

• Zertifizierungsstellen-Webregistrierung (CAWE). Die Rolle muss neu installiert werden. Siehe Artikel "Installieren der Zertifizierungsstellen-Webregistrierung (CAWE)".
• Online Responder (OCSP). Die Sperrkonfiguration muss neu erstellt werden.
• Registrierungsdienst für Netzwerkgeräte (NDES). Siehe Artikel "Network Device Enrollment Service (NDES) auf eine andere Zertifizierungsstelle umziehen".
• Zertifikatbeantragungs-Webdienst (CES). Siehe Artikel "Den Zertifikatbeantragungs-Webdienst (CES) nach der Migration einer Zertifizierungsstelle auf einen neuen Server anpassen".
• Sofern auf dem Quellsystem ein Netzwerkrichtlinienserver (NPS) installiert war, verwendete dieser unter Umständen das Zertifizierungsstellen-Zertifikat, sodass eventuell nun ein dediziertes Serverzertifikat erforderlich wird und die Zugangsrichtlinien angepasst werden müssen, dieses auch zu verwenden.

Funktionstest durchführen

Eine detaillierte Beschreibung zu den einzelnen Teilschritten ist im Artikel "Funktionstest durchführen für eine Zertifizierungsstelle" zu finden.

Die Zertifizierungsstelle aus dem Wartungsmodus nehmen

War der Funktionstest erfolgreich, kann die Zertifizierungsstelle wieder für die Ausstellung von Zertifikaten an die Antragsteller freigegeben werden.

Hierzu wird die Zertifizierungsstelle aus dem Wartungsmodus genommen. Eine Beschreibung, wie dies umgesetzt wird, ist im Artikel "Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen" beschrieben.

Weiterführende Links:

• Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen
• Nach der Migration der Zertifizierungsstelle auf einen neuen Server können keine eigenen Zertifikatvorlagen mehr veröffentlicht werden
• Windows Server Migrations-Matrix für die Zertifizierungsstelle
• Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."

Externe Quellen

• AD CS Migration: Migrating the Certification Authority (Microsoft Corporation)