Mise à niveau sur place d'une autorité de certification de Windows Server 2008 R2 vers Windows Server 2012 R2

Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.

Le support pour Windows Server 2008 SP2 et Windows Server 2008 R2 a expiré le 14 janvier 2020. (voir l'article „Fin du support du produit par le fabricant (Microsoft)„) Si des problèmes surviennent pendant la migration, il n'y a généralement pas de support possible de la part de Microsoft.

Au lieu d'une mise à niveau sur place, il est fortement recommandé de migrer l'autorité de certification vers un autre serveur équipé d'un système d'exploitation actuel. Voir l'article „Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur„ .

La rétrogradation d'une édition de Windows, par exemple de Windows Server Datacenter à Windows Server Standard, n'est pas prise en charge.

Si un module de sécurité matériel (HSM) est utilisé, il faut vérifier auprès du fabricant du HSM si son Key Storage Provider (KSP) supporte le nouveau système d'exploitation avant d'effectuer la mise à jour sur place. Outre la mise à jour du fournisseur de stockage de clés, il peut également être nécessaire, en tant que dépendance, de mettre à jour le micrologiciel du module de sécurité matériel.

Travaux préparatoires

• S'assurer que le matériel Zeil (physique ou virtuel) prend en charge l'installation du nouveau système d'exploitation.
• Mise à disposition de la clé de licence pour le nouveau système d'exploitation. Pendant la mise à jour, la clé de licence pour le système d'exploitation cible est nécessaire.
• Mise à disposition du support d'installation du nouveau système d'exploitation
• Assurer l'accès physique au serveur ou à la configuration et à la console de la machine virtuelle.
• Installer toutes les mises à jour de Windows pour le système d'exploitation actuel.
• Mettre l'autorité de certification en mode maintenance. Voir l'article „Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance„ .
• Publier une liste de blocage. Voir l'article „Création et publication d'une liste de révocation de certificats„ .
• Effectuer une signature de liste de blocage d'urgence. Voir l'article „Exécution de la signature d'urgence des listes de révocation de certificats„ .
• Créer une sauvegarde actuelle (backup) de l'autorité de certification. Voir l'article „Créer une sauvegarde (backup) d'une autorité de certification„ .

Mise en œuvre de la mise à niveau

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Après avoir inséré le support de données pour le nouveau système d'exploitation, l'installation peut être lancée.

En règle générale, les systèmes de serveurs ne disposent pas de connexion Internet, de sorte que l'option de téléchargement des mises à jour peut être désactivée. Veuillez toutefois noter que dans ce cas, le serveur redémarrera sans les mises à jour de sécurité. Par conséquent, la connexion au bureau à distance à partir d'un client actuel ne fonctionnera plus, car la mise à jour pour la faille de sécurité CVE-2018-0866 n'a pas encore été installé.

Dans la boîte de dialogue suivante, il faut saisir la clé de produit. Veuillez noter que la clé de licence doit correspondre à l'édition de Windows. Si l'ancien système d'exploitation était une édition standard, le nouveau système doit également être une édition standard.

Comme les autorités de certification sont généralement installées avec une interface graphique, l'option „Desktop Experience“ doit être sélectionnée dans la boîte de dialogue suivante.

Dans la boîte de dialogue suivante, les conditions de licence sont acceptées afin de pouvoir continuer.

Dans la boîte de dialogue suivante, il faut absolument sélectionner l'option „Upgrade : Install Windows and keep files, settings, and applications“ pour que l'installation de l'autorité de certification soit conservée. Si seule l'option „Custom : Install Windows only (advanced)“ peut être sélectionnée ici, soit la langue du système d'exploitation, soit l'édition du système d'exploitation ne correspond pas.

Un rapport de compatibilité s'affiche ensuite. Dans le cas d'une autorité de certification, aucune particularité ne devrait apparaître ici, de sorte que l'on peut continuer.

Ensuite, le nouveau système d'exploitation est installé. Le serveur redémarrera plusieurs fois avant de pouvoir être utilisé avec le nouveau système d'exploitation.

Résolution de problèmes

Le serveur ne démarre plus après la mise à niveau et affiche un message d'erreur
0x000000C4

Windows Server 2012 et les versions ultérieures supposent que le bit No Execute (NX) ou Execute Disable (XD) est pris en charge. Si, par exemple, VMWare ESXi est utilisé pour la virtualisation, il se peut que le bit ne soit pas transmis au système invité. Dans ce cas, il faut adapter la configuration de la machine virtuelle.

Il est possible de vérifier au préalable si le CPU supporte le bit NX à l'aide de l'outil Coreinfo de Sysinternals.

Impossible de se connecter au bureau à distance après une mise à niveau sur place

Il est très probable qu'après la mise à niveau sur place, il ne sera pas possible de se connecter au serveur à distance. Pour la raison et la solution, voir l'article „Plus aucune connexion à distance possible après la mise à niveau sur place du système d'exploitation Windows Server„ .

Retouches

• Activer Windows, si nécessaire. Après la mise à niveau, il se peut que le serveur doive encore être connecté à un serveur KMS, ou que le système d'exploitation doive être activé.
• Installer les dernières mises à jour de Windows. Le serveur démarre sans mises à jour de sécurité, celles-ci doivent donc être installées immédiatement.
• Si une mise à niveau a été effectuée à partir d'une autorité de certification fonctionnant sous Windows Server 2008 R2 ou antérieur, il peut être utile d'adapter la génération des numéros de série des certificats émis à la nouvelle norme. Pour plus de détails, voir l'article „Comment est formé le numéro de série d'un certificat ?„ .
• Effectuer un test de fonctionnement pour l'autorité de certification. Voir l'article „Réaliser un test de fonctionnement pour un organisme de certification„ .
• Créer une sauvegarde actuelle (backup). Voir à ce sujet l'article „Créer une sauvegarde (backup) d'une autorité de certification„ .

Liens complémentaires :

• Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur
• Mise à niveau sur place d'une autorité de certification de Windows Server 2008 SP2 vers Windows Server 2008 R2
• Mise à niveau sur place d'une autorité de certification de Windows Server 2008 SP2 vers Windows Server 2012
• Mise à niveau en place d'une autorité de certification de Windows Server 2012 SP2 ou 2012 R2 vers Windows Server 2016

Sources externes

• La mise à niveau de Windows Server 2012 peut échouer avec l'erreur 0x000000C4 (Microsoft)
• Mises à jour de CredSSP pour CVE-2018-0886 (Microsoft)