Souvent, une autorité de certification a une durée de vie nettement plus longue que le serveur sur lequel elle a été installée. Les raisons pouvant justifier la migration de l'autorité de certification vers un nouveau serveur, c'est-à-dire en conservant les données, peuvent être les suivantes :
- Défaut ou fin de vie du matériel serveur
- Fin de vie du système d'exploitation du serveur
- Modification du nom du serveur
La procédure de migration est décrite en détail ci-dessous.
Principes de base
La migration d'une autorité de certification se compose des étapes suivantes :
- Préparation du nouveau serveur
- Installation des certificats d'autorité de certification (y compris la clé privée) sur le nouveau serveur
- Mettre l'autorité de certification en mode maintenance sur l'ancien serveur
- Publier de nouvelles listes de révocation de certificats
- Signature d'urgence des listes de révocation de certificats nouvellement publiées
- Créer une sauvegarde (backup) de l'autorité de certification sur l'ancien serveur
- Mettre l'ancien serveur hors service
- Restauration de la sauvegarde de l'autorité de certification précédemment créée sur le nouveau serveur
- Effectuer un test de fonctionnement
- Sortir l'organisme de certification du mode maintenance
Les différentes étapes sont décrites plus en détail dans la suite de l'article.
Conditions préalables
Si l'autorité de certification a été conçue avec soin, elle n'est pas liée au nom d'ordinateur du serveur sur lequel elle a été installée. Le nouveau serveur peut donc recevoir sans problème un nouveau nom d'ordinateur. Cette variante présente en outre l'avantage de pouvoir préparer le nouveau serveur à l'avance, ce qui réduit considérablement la fenêtre de temps pendant laquelle l'autorité de certification n'est pas disponible.
Mais même si l'autorité de certification est liée au nom de l'ordinateur, par exemple par un chemin AIA ou CDP qui renvoie au nom du serveur, le nom du serveur peut être modifié dans certaines circonstances.
Les pièges à éviter
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
- L'installation du rôle d'autorité de certification nécessite des droits d'administrateur d'entreprise ou des droits délégués pour l'installation d'une autorité de certification d'entreprise.
- Après l'installation du rôle d'autorité de certification sur le nouveau serveur, celui-ci est à nouveau directement accessible aux demandeurs et peut émettre activement des certificats, car la liste des modèles de certificats publiés sur ce rôle est lue dans l'Active Directory. C'est pourquoi il est essentiel qu'après l'installation du rôle d'autorité de certification sur le nouveau serveur, l'authentification soit à nouveau effectuée directement. Étapes pour les mettre en mode de maintenance être exécutée.
- Il peut arriver qu'il ne soit plus possible de publier ses propres modèles de certificats sur l'autorité de certification migrée. Ce qui doit être entrepris dans ce cas est décrit dans l'article „Après la migration de l'autorité de certification vers un nouveau serveur, il n'est plus possible de publier ses propres modèles de certificats." décrit.
- Si le mode de maintenance et la création de la sauvegarde n'ont pas été effectués dans le bon ordre, il peut arriver que les utilisateurs ne puissent pas demander de certificats auprès de la nouvelle autorité de certification, car un objet Active Directory n'a pas été mis à jour correctement. La manière de corriger cette erreur est expliquée dans l'article „La demande de certificat échoue avec le message d'erreur „A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted“.“" décrit.
- Dans certains cas, d'autres services (par exemple DirectAccess, IpSec, Serveur de politiques de réseau (NPS)) le certificat de l'autorité de certification au lieu de son propre certificat de serveur, si ces rôles sont installés avec l'autorité de certification sur le même serveur source.
Préparation du nouveau serveur
La préparation du serveur comprend, entre autres, les éléments suivants
- Création de la machine virtuelle ou mise en service du matériel du serveur
- Installation du système d'exploitation
- Inclure le nouveau serveur dans le domaine
- Installation des mises à jour du système d'exploitation et des logiciels de gestion
- Renforcement de la sécurité de l'installation du système d'exploitation
Ces étapes ne sont pas décrites en détail ici, car elles sont universelles.
Installation des certificats d'autorité de certification (y compris la clé privée) sur le nouveau serveur
Cette étape fait partie de la préparation du serveur et peut dans certains cas être très importante, par exemple si des modules de sécurité matériels sont utilisés. Pour ne pas perdre de temps lors de la migration de l'autorité de certification, cette étape est donc réalisée en amont.
Une description de l'installation des certificats d'autorité de certification est disponible dans les articles suivants :
- Récupération d'un certificat d'autorité de certification avec une clé logicielle
- Récupération d'un certificat d'autorité de certification avec le module de sécurité matériel (HSM)
Mettre l'autorité de certification en mode maintenance sur l'ancien serveur
Pour que l'autorité de certification se trouve dans un état cohérent pendant la migration, il faut l'empêcher de continuer à accepter des demandes de certificat et à délivrer des certificats aux demandeurs. Pour ce faire, l'autorité de certification est placée en mode maintenance.
La procédure pour mettre une autorité de certification en mode maintenance est décrite dans l'article „Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance„ décrites.
Publier de nouvelles listes de révocation de certificats
Au cas où la migration prendrait plus de temps que prévu, il est impératif de générer une nouvelle fois des listes de blocage actualisées sur l'ancien système.
En règle générale, les validités des listes de blocage doivent être contrôlées et, si nécessaire, augmentées avant la migration. La procédure de configuration de la validité des listes de blocage est décrite dans l'article „Configuration des points de distribution de la liste de révocation (CDP) et de l'accès aux informations de l'autorité (AIA) Extension d'une autorité de certification" décrit.
La procédure de publication d'une liste de révocation de certificats est décrite dans l'article „Création et publication d'une liste de révocation de certificats" décrit.
Signature d'urgence des listes de révocation de certificats nouvellement publiées
Lors de la signature d'urgence des listes de révocation, une liste de révocation de certificats existante est signée à nouveau en utilisant directement la clé privée correspondante avec une date d'expiration prolongée. Si quelque chose devait mal se passer lors de la migration, l'exploitation de la liste de révocation peut être maintenue jusqu'à ce que le problème ait pu être résolu.
Une description détaillée de l'exécution de la signature d'urgence est disponible dans l'article „Exécution de la signature d'urgence des listes de révocation de certificats“.
Créer une sauvegarde (backup) de l'autorité de certification sur l'ancien serveur
Une description détaillée des différentes étapes partielles est disponible dans l'article „Créer une sauvegarde (backup) d'une autorité de certification“.
Mettre l'ancien serveur hors service
L'ancien serveur est maintenant arrêté. Le rôle d'autorité de certification n'est pas désinstallé auparavant, car une partie de la configuration se trouve dans Active Directory et peut donc être reprise directement par le nouveau serveur.
Restauration de la sauvegarde de l'autorité de certification précédemment créée sur le nouveau serveur
La restauration de l'autorité de certification à partir de la sauvegarde consiste à suivre les étapes suivantes.
- Installer le rôle d'autorité de certification sur le nouveau serveur
- Adaptation de la sauvegarde du registre à partir de la sauvegarde de l'autorité de certification et importation des paramètres
- Importer la base de données des autorités de certification à partir de la sauvegarde
Une description détaillée des différentes étapes partielles est disponible dans l'article „Restauration d'une autorité de certification à partir d'une sauvegarde (backup)“.
Si vous passez d'une ancienne version de Windows Server à Windows Server 2012 ou plus récent, la procédure de création du numéro de série du certificat a changé (voir l'article „Comment est formé le numéro de série d'un certificat ?„). Dans ce cas, il faut décider en connaissance de cause si l'on souhaite conserver l'ancienne valeur potentiellement moins sûre ou si l'on souhaite passer au nouveau paramètre par défaut.
Adapter les services connectés
Si le nouveau serveur est accessible sous un autre nom d'hôte, les services associés à l'autorité de certification - s'ils existent - doivent être adaptés de manière à ce qu'ils se connectent au nouveau serveur. Cela comprend
- Enregistrement Web de l'autorité de certification (CAWE). Le rôle doit être réinstallé. Voir l'article „Installer l'enregistrement web de l'autorité de certification (CAWE)„ .
- répondeur en ligne (OCSP). La configuration de blocage doit être recréée.
- Service d'enregistrement des périphériques réseau (NDES). Voir l'article „Transférer le Network Device Enrollment Service (NDES) vers une autre autorité de certification„ .
- Service web de demande de certificat (CES). Voir l'article „Personnaliser le service Web de demande de certificat (CES) après la migration d'une autorité de certification vers un nouveau serveur„ .
- Si le système source contient un Serveur de politiques de réseau (NPS) il se peut qu'il utilise le certificat de l'autorité de certification et qu'un certificat de serveur dédié soit nécessaire et que les politiques d'accès doivent être adaptées pour l'utiliser.
Effectuer un test de fonctionnement
Une description détaillée des différentes étapes partielles est disponible dans l'article „Réaliser un test de fonctionnement pour un organisme de certification“.
Sortir l'organisme de certification du mode maintenance
Si le test de fonctionnement a réussi, l'autorité de certification peut à nouveau être autorisée à délivrer des certificats aux demandeurs.
Pour ce faire, l'autorité de certification est retirée du mode de maintenance. Une description de la manière dont cela est mis en œuvre est disponible dans l'article „Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance" décrit.
Liens complémentaires :
- Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance
- Après la migration de l'autorité de certification vers un nouveau serveur, il n'est plus possible de publier ses propres modèles de certificats.
- Matrice de migration Windows Server pour l'autorité de certification
- La demande de certificat échoue avec le message d'erreur "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted".
Sources externes
- Migration AD CS : migration de l'autorité de certification (Microsoft Corporation)
Français 
Deutsch 
English
Les commentaires sont fermés.