Au plus tard lorsque le Fin du support du produit par le fabricant (Microsoft) approche, la question se pose de savoir comment et vers quel système d'exploitation une autorité de certification doit migrer.
La migration des services supplémentaires tels que l'enregistrement Web des autorités de certification (CAWE), les services Web de demande de certificat (CEP/CES), le répondeur en ligne (OCSP) et le service d'enregistrement des périphériques réseau (NDES) n'est pas prise en compte, car une nouvelle installation sur un nouveau serveur est généralement la solution la plus simple.
Il existe plusieurs possibilités pour migrer un centre de certification vers un nouveau système d'exploitation :
- Migration via une mise à niveau sur place. Le système d'exploitation existant est directement mis à jour vers une nouvelle version.
- Migration via sauvegarde et restauration sur un nouveau système. Dans ce cas, un nouveau serveur est installé en parallèle et l'autorité de certification est migrée vers celui-ci. L'ancien serveur est ensuite mis hors service.
- Mise en place d'une nouvelle autorité de certification et migration des certificats émis. Cette méthode consiste à créer une autorité de certification ou une hiérarchie d'autorités de certification entièrement nouvelle, puis à transférer le contenu de l'ancienne autorité de certification, c'est-à-dire les certificats qu'elle a émis, vers la nouvelle autorité de certification en les réémettant. Les deux autorités de certification coexistent jusqu'à ce que l'ancienne autorité de certification puisse être mise hors service.
Matrice de migration pour la migration via une mise à niveau sur place
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Au lieu d'une mise à niveau sur place, il est fortement recommandé de migrer l'autorité de certification vers un autre serveur équipé d'un système d'exploitation actuel. Voir l'article „Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur„ .
| De/À | 2008 | 2008 R2 | 2012 | 2012 R2 | 2016 | 2019 |
| 2008 | ./. | Oui | Oui | Non | Non | Non |
| 2008 R2 | Non | ./. | Oui | Oui | Non | Non |
| 2012 | Non | Non | ./. | Oui | Oui | Non |
| 2012 R2 | Non | Non | Non | ./. | Oui | Oui |
| 2016 | Non | Non | Non | Non | ./. | Oui |
| 2019 | Non | Non | Non | Non | Non | ./. |
La réussite d'une mise à niveau sur place dépend également des logiciels tiers installés. Il peut par exemple être nécessaire d'acheter et d'installer au préalable un nouveau fournisseur de stockage de clés (KSP) pour un module de sécurité matériel (HSM) ou de mettre à jour les modules de stratégie existants (par exemple Forefront / Microsoft Identity Manager). Il est donc toujours recommandé de privilégier la méthode de migration par sauvegarde et restauration.
Pour pouvoir effectuer une mise à niveau sur place de Windows Server 2008 vers Windows Server 2008 R2 ou une version plus récente, le serveur d'origine doit avoir été installé avec la version 64 bits de Windows Server 2008. Sinon, la seule option restante est la migration via une sauvegarde et une restauration.
Le fabricant ne prend en principe pas en charge la rétrogradation vers un système d'exploitation plus ancien dans ce cas de figure.
Matrice de migration pour la migration via sauvegarde et restauration sur un nouveau système
Cette méthode est décrite dans l'article „Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur " décrit.
| De/À | 2008 | 2008/R2 | 2012 | 2012 R2 | 2016 | 2019 |
| 2008 | Oui | Oui | Oui | Non | Non | Non |
| 2008 R2 | Non | Oui | Oui | Oui | Oui | Oui |
| 2012 | Non | Non | Oui | Oui | Oui | Oui |
| 2012/R2 | Non | Non | Non | Oui | Oui | Oui |
| 2016 | Non | Non | Non | Non | Oui | Oui |
| 2019 | Non | Non | Non | Non | Non | Oui |
Lors de la migration d'une autorité de certification de Windows Server 2008 vers des systèmes d'exploitation plus récents, une migration vers Windows Server 2008 R2 ou Windows Server 2012 doit d'abord être effectuée en raison d'une modification du moteur de base de données.
Il est possible de migrer directement de Windows Server 2008 R2 vers des versions plus récentes, jusqu'à Windows Server 2019.
Une rétrogradation vers un système d'exploitation plus ancien peut fonctionner dans certaines circonstances, mais n'est pas prise en charge par le fabricant.
Mise en place d'un nouvel organisme de certification et migration des certificats délivrés
Dans cette variante, il n'y a aucune restriction quant aux chemins de mise à niveau, sauf que la nouvelle autorité de certification doit utiliser les mêmes Génération de modèles de certificats doit soutenir comme l'ancienne.
Liens complémentaires :
- Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur
- Mise à niveau sur place d'une autorité de certification de Windows Server 2008 SP2 vers Windows Server 2008 R2
- Mise à niveau sur place d'une autorité de certification de Windows Server 2008 SP2 vers Windows Server 2012
- Mise à niveau sur place d'une autorité de certification de Windows Server 2008 SP2 vers Windows Server 2012
- Mise à niveau en place d'une autorité de certification de Windows Server 2012 SP2 ou 2012 R2 vers Windows Server 2016
- Description des générations de modèles de certificats
Français 
Deutsch 
English
Les commentaires sont fermés.