Mise à niveau en place d'une autorité de certification de Windows Server 2012 R2 ou 2016 vers Windows Server 2019

Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.

Au lieu d'une mise à niveau sur place, il est fortement recommandé de migrer l'autorité de certification vers un autre serveur équipé d'un système d'exploitation actuel. Voir l'article „Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur„ .

Si un module de sécurité matériel (HSM) est utilisé, il faut vérifier auprès du fabricant du HSM si son Key Storage Provider (KSP) supporte le nouveau système d'exploitation avant d'effectuer la mise à jour sur place. Outre la mise à jour du fournisseur de stockage de clés, il peut également être nécessaire, en tant que dépendance, de mettre à jour le micrologiciel du module de sécurité matériel.

La rétrogradation d'une édition de Windows, par exemple de Windows Server Datacenter à Windows Server Standard, n'est pas prise en charge.

Selon la documentation officielle de Microsoft sur la mise à niveau en place la mise à niveau directe de Windows Server 2012 vers 2019 n'est pas prise en charge, mais elle est techniquement possible, car l'assistant d'installation n'interdit pas cette combinaison. Il est néanmoins déconseillé de le faire pour les systèmes de production.

Travaux préparatoires

S'assurer que le matériel Zeil (physique ou virtuel) prend en charge l'installation du nouveau système d'exploitation.
Mise à disposition de la clé de licence pour le nouveau système d'exploitation. Pendant la mise à jour, la clé de licence pour le système d'exploitation cible est nécessaire.
Mise à disposition du support d'installation du nouveau système d'exploitation
Assurer l'accès physique au serveur ou à la configuration et à la console de la machine virtuelle.
Installer toutes les mises à jour de Windows pour le système d'exploitation actuel.
Mettre l'autorité de certification en mode maintenance. Voir l'article „Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance„ .
Publier une liste de blocage. Voir l'article „Création et publication d'une liste de révocation de certificats„ .
Effectuer une signature de liste de blocage d'urgence. Voir l'article „Exécution de la signature d'urgence des listes de révocation de certificats„ .
Créer une sauvegarde actuelle (backup) de l'autorité de certification. Voir l'article „Créer une sauvegarde (backup) d'une autorité de certification„ .

Mise en œuvre de la mise à niveau

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Après avoir inséré le support de données pour le nouveau système d'exploitation, l'installation peut être lancée.

En règle générale, les systèmes de serveurs ne disposent pas de connexion Internet, de sorte que l'option de téléchargement des mises à jour peut être désactivée. Veuillez toutefois noter que dans ce cas, le serveur redémarrera sans les mises à jour de sécurité. Par conséquent, la connexion au bureau à distance à partir d'un client actuel ne fonctionnera plus, car la mise à jour pour la faille de sécurité CVE-2018-0866 n'a pas encore été installé.

Dans la boîte de dialogue suivante, il faut saisir la clé de produit. Veuillez noter que la clé de licence doit correspondre à l'édition de Windows. Si l'ancien système d'exploitation était une édition standard, le nouveau système doit également être une édition standard.

Microsoft a modifié l'assistant d'installation de Windows Server 2019 pour août 2020 afin qu'il ne demande plus de clé de licence. La raison en était apparemment que les assistants d'installation précédents avaient interrompu la mise à niveau sur place en raison d'une erreur avec la clé de licence. Il est donc préférable d'utiliser un support d'installation datant d'août 2020 ou plus tard, qui ne présente pas cette erreur.

Comme les autorités de certification sont généralement installées avec une interface graphique, l'option „Desktop Experience“ doit être sélectionnée dans la boîte de dialogue suivante.

Dans la boîte de dialogue suivante, les conditions de licence sont acceptées afin de pouvoir continuer.

Dans la boîte de dialogue suivante, il faut absolument sélectionner l'option „Keep personal files and apps“ pour que l'installation de l'autorité de certification soit conservée. Si seule l'option „Nothing“ peut être sélectionnée ici, soit la langue du système d'exploitation, soit l'édition du système d'exploitation ne correspond pas.

La dernière boîte de dialogue affiche un résumé des options sélectionnées et lance ensuite l'installation.

Ensuite, le nouveau système d'exploitation est installé. Le serveur redémarrera plusieurs fois avant de pouvoir être utilisé avec le nouveau système d'exploitation.

Résolution de problèmes

Pas de possibilité de conserver les applications et les fichiers pendant la mise à niveau

Le downgrade des éditions Windows n'est pas pris en charge. Dans ce cas, seule l'option „Nothing“ est disponible dans la boîte de dialogue „Choose what to keep“. Il ne faut en aucun cas continuer, sinon une nouvelle installation du système d'exploitation aura lieu et toutes les données existantes seront supprimées.

La mise à niveau échoue avec le message d'erreur „The installation failed in the SAFE_OS phase with an error during SET_PRODUCT_KEY operation“.“

Les disques Windows Server 2019 antérieurs à août 2020 contiennent une erreur dans la routine d'installation qui provoque l'arrêt de la mise à niveau et génère l'erreur suivante :

0x80070490 0x2000E
The installation failed in the SAFE_OS phase with an error during SET_PRODUCT_KEY operation

Dans ce cas, il convient de s'assurer que l'on utilise un support de données datant d'août 2020 ou plus tard.

Impossible de se connecter au bureau à distance après une mise à niveau sur place

Cette erreur ne devrait pas se produire si un support d'installation récent, datant d'août 2020, est utilisé, comme recommandé précédemment.

Il est très probable qu'après la mise à niveau sur place, il ne sera pas possible de se connecter au serveur à distance. Pour la raison et la solution, voir l'article „Plus aucune connexion à distance possible après la mise à niveau sur place du système d'exploitation Windows Server„ .

Retouches

Activer Windows, si nécessaire. Après la mise à niveau, il se peut que le serveur doive encore être connecté à un serveur KMS, ou que le système d'exploitation doive être activé.
Installer les dernières mises à jour de Windows. Le serveur démarre sans mises à jour de sécurité, celles-ci doivent donc être installées immédiatement.
Si une mise à niveau a été effectuée à partir d'une autorité de certification fonctionnant sous Windows Server 2008 R2 ou antérieur, il peut être utile d'adapter la génération des numéros de série des certificats émis à la nouvelle norme. Pour plus de détails, voir l'article „Comment est formé le numéro de série d'un certificat ?„ .
Effectuer un test de fonctionnement pour l'autorité de certification. Voir l'article „Réaliser un test de fonctionnement pour un organisme de certification„ .
Créer une sauvegarde actuelle (backup). Voir à ce sujet l'article „Créer une sauvegarde (backup) d'une autorité de certification„ .