Spätestens, wenn das Ende der Produkt-Unterstützung durch den Hersteller (Microsoft) naht, stellt sich die Frage, wie und auf welches Betriebssystem eine Zertifizierungsstelle migriert werden soll.
Die Migration der zusätzlichen Dienste wie Zertifizierugsstellen-Webregistrierung (CAWE), Zertifikatbeantragungs-Webdienste (CEP/CES), Online Responder (OCSP) und Registrierungsdienst für Netzwerkgeräte (NDES) wird nicht betrachtet, da eine Neuinstallation auf einem neuen Server meistens die geradlinigste Lösung ist.
Es gibt grundsätzlich mehrere Möglichkeiten, eine Zertifizierungsstelle auf ein neues Betriebssystem zu migrieren:
- Migration mittels In-Place Upgrade. Hierbei wird das bestehende Betriebssystem direkt auf eine neue Version aktualisiert.
- Migration mittels Backup und Wiederherstellung auf einem neuen System. Hierbei wird parallel ein neuer Server installiert und die Zertifizierungsstelle auf diesen migriert. Der alte Server wird anschließend außer Betrieb genommen.
- Aufbau einer neuen Zertifizierungsstelle und Migration der ausgestellten Zertifikate. Bei dieser Methode wird eine komplett neue Zertifizierungsstelle oder Zetifiziernugsstellen-Hierarchie aufgebaut und dann der Inhalt der alten Zertifizierungsstelle – also deren ausgestellte Zertifikate – auf die neue Zertifizierungsstelle durch dere Neuausstellung umgezogen. Beide Zertifizierungsstellen existieren parallel zueinander, bis die alte Zertifizierungsstelle außer Betrieb genommen werden kann.
Migrations-Matrix für Migration mittels In-Place Upgrade
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Anstelle eines In-Place Upgrades wird dringend empfohlen, die Zertifizierungsstelle auf einen anderen Server mit einem aktuellen Betriebssystem zu migrieren. Siehe Artikel "Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server".
| Von/Nach | 2008 | 2008 R2 | 2012 | 2012 R2 | 2016 | 2019 |
| 2008 | ./. | Ja | Ja | Nein | Nein | Nein |
| 2008 R2 | Nein | ./. | Ja | Ja | Nein | Nein |
| 2012 | Nein | Nein | ./. | Ja | Ja | Nein |
| 2012 R2 | Nein | Nein | Nein | ./. | Ja | Ja |
| 2016 | Nein | Nein | Nein | Nein | ./. | Ja |
| 2019 | Nein | Nein | Nein | Nein | Nein | ./. |
Der Erfolg eines In-Place Upgrade hängt auch von installierter Dritt-Software ab. Beispielsweise kann es sein, dass zuvor ein neuer Key Storage Provider (KSP) für ein Hardware Security Modul (HSM) beschafft und installiert werden muss, oder dass zunächst eventuell vorhandene Richtlinienmodule (z.B. Forefront / Microsoft Identity Manager) aktualisiert werden müssen. Es wird daher immer empfohlen, der Migrations-Methode mittels Backup und Wiederherstellung den Vorzug zu geben.
Voraussetzung für ein In-Place Upgrade von Windows Server 2008 auf Windows Server 2008 R2 oder neuer ist, dass der ursprüngliche Server mit der 64-Bit Version von Windows Server 2008 installiert wurde. Andernfalls verbleibt nur die Option der Migration mittels Backup und Wiederherstellung.
Ein Downgrade auf ein älteres Betriebssystem wird vom Hersteller für dieses Szenario grundsätzlich nicht unterstützt.
Migrations-Matrix für Migration mittels Backup und Wiederherstellung auf einem neuen System
Diese Methode ist im Artikel "Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server " beschrieben.
| Von/Nach | 2008 | 2008/R2 | 2012 | 2012 R2 | 2016 | 2019 |
| 2008 | Ja | Ja | Ja | Nein | Nein | Nein |
| 2008 R2 | Nein | Ja | Ja | Ja | Ja | Ja |
| 2012 | Nein | Nein | Ja | Ja | Ja | Ja |
| 2012/R2 | Nein | Nein | Nein | Ja | Ja | Ja |
| 2016 | Nein | Nein | Nein | Nein | Ja | Ja |
| 2019 | Nein | Nein | Nein | Nein | Nein | Ja |
Bei der Migration einer Zertifizierungsstelle von Windows Server 2008 auf neuere Betriebssysteme muss aufgrund einer Änderung in der Datenbank-Engine zunächst eine Migration auf Windows Server 2008 R2 oder Windows Server 2012 erfolgen.
Von Windows Server 2008 R2 kann direkt auf neuere Versionen bis hin zu Windows Server 2019 migriert werden.
Ein Downgrade auf ein älteres Betriebssystem kann unter Umständen funktionieren, wird vom Hersteller jedoch nicht unterstützt.
Aufbau einer neuen Zertifizierungsstelle und Migration der ausgestellten Zertifikate
Bei dieser Variante gibt es keine Einschränkungen der Upgrade-Pfade, bis auf dass die neue Zertifizierungsstelle die gleichen Zertifikatvorlagen-Generationen unterstützen muss wie die alte.
Weiterführende Links:
- Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2008 R2
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 SP2 oder 2012 R2 zu Windows Server 2016
- Beschreibung der Generationen von Zertifikatvorlagen
Externe Quellen
- Overview of Windows Server upgrades (Microsoft)
- Upgrade and conversion options for Windows Server 2016 (Microsoft)
- Install, upgrade, or migrate to Windows Server (Microsoft)
Deutsch 
English
4 Gedanken zu „Windows Server Migrations-Matrix für die Zertifizierungsstelle“
Kommentare sind geschlossen.