Restauration d'une autorité de certification à partir d'une sauvegarde (backup)

Auteur Uwe GradeneggerPublié le Catégories Sauvegarder et restaurer, Autorité de certification, Base de données des organismes de certificationÉtiquettes , , ,

Nachfolgend wird die Wiederherstellung einer Zertifizierungsstelle aus der Sicherung beschrieben. Neben dem Katastrophenfall ist diese Vorgehensweise auch Teil der Migration eine Zertifizierungsstelle auf einen neuen Server.

Aperçu

Die Wiederherstellung einer Zertifizierungsstelle teilt sich auf in die folgenden Teilschritte, welche genau in der angegebenen Reihenfolge abgearbeitet werden müssen:

Mise en œuvre

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Wiederherstellen des Zertifizierungsstellen-Zertifikats

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats unterscheidet sich je nachdem, ob ein Hardware Security Modul verwendet wird oder nicht, und ist in den folgenden beiden Artikeln beschrieben:

Beabsichtigt man, später alte Zertifizierungsstellen-Zertifikate aus der Konfiguration der Zertifizierungsstelle zu entfernen, müssen diese nicht importiert werden. Es genügen diejenigen Zertifizierungsstellen-Zertifikate, die später noch aktiv benutzt werden solle.

Installieren der Zertifizierungsstellen-Rolle auf dem Ziel-Server

Sind die Zertifizierungsstellen-Zertifikate mit den privaten Schlüsseln auf dem Ziel-Server installiert, wird im Anschluss die Zertifizierungsstellen-Rolle installiert. Der entscheidende Unterschied zur Installation einer neuen Zertiifzierungsstelle ist, dass in diesem Fall kein neues Schlüsselpaar erzeugt wird, sondern das vorhandene weiter verwendet wird.

Die Zertifizierungsstelle ist direkt nach der Installation wieder online, mit den konfigurierten Zertifikatvorlagen bestückt und nimmt Zertifikatanforderungen entgegen. Da jedoch noch die Konfiguration der Zertifizierungsstelle und die Zertifizierungsstellen-Datenbank fehlt, besteht große Gefahr, dass „falsche“ Zertifikate ausgestellt werden. Aus diesem Grund ist es essentiell, dass direkt nach dem nachfolgenden Schritt der Wartungsmodus auf der Zertifizierungsstelle aktiviert wird, um Anfragen von Antragstellern bis zum Abschluss der Wiederherstellung und des Funktionstests zu unterbinden.

Seit Windows Server 2008 besteht die Installation der Zertifizierungsstellen-Rolle aus zwei Schritten:

  • Installation der Rollen-Dateien. Dieser Schritt ist in cet article décrites.
  • Konfiguration der Zertifizierungsstellen-Rolle. Dieser Schritt wird nachfolgend beschrieben.

Nachdem die Zertifizierungsstellen-Rolle installiert wurde, kann über den Server-Manager die Rollen-Konfiguration gestartet werden. Oben rechts sollte ein Ausrufezeichen zu sehen sein, über die Option „Configure Active Directory Certificate Services…“ kann der Rollenkonfigurations-Assistent gestartet werden.

Im nachfolgenden Dialog werden die Anmeldedaten des Benutzerkontos angegeben, mit welchem die Rollenkonfiguration durchgeführt wird. Das Benutzerkonto muss Mitglied in der Gruppe „Enterprise Administrators“ sein oder über entsprechende delegierte Berechtigungen verfügen.

Es wird empfohlen, dass man sich mit dem für die Installation der Zertifizierungsstelle vorgesehenen Konto interaktiv (also direkt an der Konsole oder per Remote Desktop) anmeldet und in diesem Dialog keine Änderungen vornimmt. Eine Auswahl eines abweichenden Benutzerkontos kann zu unvorhergesehenen Wechselwirkungen führen (beispielsweise in Verbindung mit Gemalto / SafeNet HSMs muss das Konto auch auf die Partition berechtigt sein).

Im nächsten Dialog wird die Option „Certification Authority“ ausgewählt.

Je nach Zertifizierungsstellen-Typ wird „Enterprise CA“ oder „Standalone CA“ gewählt. Die folgende Anleitung beschreibt die Wiederherstellung einer Active Directory integrierten Zertifizierungsstelle, also einer Enterprise CA.

Je nach Zertifizierungsstellen-Typ wird zwischen einer Stammzertifizierungsstelle (Root CA) oder einer untergeordneten Zertifizierungsstelle (Subordinate CA) unterschieden.

Die Option „Subordinate CA“ beinhaltet alle Zertifizierungsstellen-Typen, bei denen es sich nicht um eine Stammzertifizierungsstelle handelt – also auch Zwischenzertifizierungsstellen.

Im nächsten Dialog wird nun nicht wie bei einer Neuinstallation ein neues Schlüsselpaar verwendet, sondern ein bestehendes. Da zuvor bereits die Zertifizierungsstellen-Zertifikate wiederhergestellt wurden, wird die Option „Select a certificate and use its associated private key“ gewählt.

Im nächsten Dialog wird nun das Zertifizierungsstellen-Zertifikat ausgewählt. Hat die Zertifizierungsstelle mehrere Zertifizierungsstellen-Zertifikate, sollte das neueste ausgewählt werden.

Wenn die Zertifizierungsstelle über mehrere Zertifizierungsstellen-Zertifikate verfügt, werden diese im nachfolgenden Schritt über die Wiederherstellung der Registry wieder in die Zertifizierungsstellen-Konfiguration eingepflegt.

Wenn die Liste der Zertifikate leer ist, obwohl das Zertifizierungsstellen-Zertifikat korrekt wiederhergestellt wurde, siehe Artikel „Lors de la restauration d'une autorité de certification, le certificat d'autorité de certification ne peut pas être sélectionné lors de l'installation des rôles.„ .

Bei der Identifikation des neuesten Zertifizierungsstellen-Zertifikats kann folgender Windows PowerShell Befehl hilfreich sein:

Get-ChildItem Cert:\LocalMachine\My | Sort-Object NotBefore | Select-Object -Property Thumbprint,NotBefore,NotAfter

Im nachfolgenden Dialog wird der Speicherort für die Zertifizierungsstellen-Datenbank festgelegt.

Die Zertifizierungsstellen-Datenbank kann später mit geringem Aufwand auf ein anderes Laufwerk oder in einem anderen Ordner verschoben werden. Die Vorgehensweise ist im Artikel „Déplacer la base de données de l'autorité de certification dans un autre répertoire ou sur un autre lecteur" décrit.

Nun sind alle relevanten Parameter eingestellt und die Installation der Zertifizierungsstellen-Rolle kann abgeschlossen werden.

Der Erfolg der Rollen-Installation wird entsprechend bestätigt.

Die Zertifizierungsstelle in den Wartungsmodus versetzen

Nachdem die Zertifizierungsstellen-Rolle installiert wurde, ist diese sofort für die Beantragung von Zertifikaten verfügbar und kann direkt wieder Zertifikate ausstellen. Da die Konfiguration und die Zertifizierungsstellen-Datenbank jedoch noch nicht wiederhergestellt wurde, ist es erforderlich, die Zertifizierunggsstelle in den Wartungsmodus zu versetzen. Die Vorgehensweise ist im Artikel „Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance" décrit.

Wiederherstellen der Registry der Zertifizierungsstelle

Die Registry der Zertifizierungsstelle beinhaltet alle Einstellungen, die den Zertifizierungsstellen-Server betreffen, also unter Anderem:

  • Konfiguration von CRL Distribution Point (CDP) und Authority Information Access (AIA) für die ausgestelten Zertifikate
  • Konfiguration von Veröffentlichungspunkten für Sperrlisten
  • Maximaler Gültigkeitszeitraum für ausgestellte Zertifikate
  • Konfguration von Gültigkeits- und Überlappungszeiträumen von Sperrlisten
  • Einstellungen betreffend Private Key Archivierung (Wiederherstellungsagenten und Schlüsselerzeugung für die Zertifizierungsstellenaustausch-Zertifikate (CA Exchange)
  • Sicherheitsberechtigungen auf die Zertifizierungsstelle

Die einzelnen Konfgurationseinstellungen müssen manuell in der Registry-Datei für die Wiederherstellung ausgewählt bzw. entfernt werden. Die exakte Vorgehensweise zum Import der Registry-Werte ist im Artikel „Wiederherstellung der Registry einer Zertifizierungsstelle" décrit.

Wiederherstellen der Zertifizierungsstellen-Datenbank

Bevor die Zertifizierungsstelle wieder in Betrieb genommen werden kann, muss noch die Zertifizierungsstellen-Datenbank wiederhergestellt werden.

Hierzu wird die Verwaltungskonsole für die Zertifizierungsstelle (certlm.msc) geöffnet und mit rechts auf die Zertifizierungsstelle geklickt. Im Kontextmenü wird „All Tasks“ – „Restore CA…“ gewählt.

Da der Zertifizierungsstellen-Dienst für die Wiederherstellung der Zertifizierungsstelle nicht gestartet sein darf, wird man auf diesen Umstand entsprechend hingewiesen. Mit Klick auf „OK“ wird der Zertifizierungsstellen-Dienst beendet.

Anschließend wird der Assistent zur Wiederherstellung der Zertifizierungsstelle geöffnet. Mit Klick auf „Next“ geht es zum nächsten Dialog.

Im nachfolgenden Dialog wird die Option „Certificate database and certificate database log“ ausgewählt. Das Zertifizierungsstellen-Zertifikat samt Schlüsseln wurde ja bereits wiederhergestellt, sodass die entsprechende Option hier nicht benötigt wird. Mit „Browse“ wird der Speicherort der wiederherzustellenden Zertifizierungsstellen-Datenbank ausgewählt.

Bei der Auswahl des Ordners ist es wichtig, dass die Wiederherstellungs-Routine einen Unterordner namens „DataBase“ erwartet. Es muss also der jeweils übergeordnete Ordner ausgewählt werden.

Der Assistent kann nun abgeschlossen werden.

Man wird nun gefragt, ob der Zertifizierungsstellen-Dienst wieder gestartet werden soll. Sofern es inkrementelle Backups gibt, die wiederhergestellt werden sollen, muss hier „No“ gewählt werden, und es müssen die inkrementellen Backups in zeitlich aufsteigender Reihenfolge nach dem gleichen Schema wiederhergestellt werden.

Wiederherstellen des Deltas zwischen Sicherung und Ausfall

Die Zertifizierungsstelle muss in der Lage sein, Zertifikate zu widerrufen. Hierfür muss jedes jemals ausgestellte (zeitgültige) Zertifikat in der Zertifizierungsstellen-Datenbank erfasst sein. Üblicherweise besteht ein Delta zwischen dem Zeitpunkt der letzten Sicherung und des tatsächlichen Ausfalls eines Systems.

Microsoft sieht daher vor, dass bei jeder Zertifikatausstellung mithilfe des SMTP Exit Moduls eine Kopie jedes ausgestellten Zertifikats an ein Postfach gesendet wird.

Alternative Methoden könnten die Entwicklung eines eigenen Exit Moduls umfassen, welche die ausgestellten Zertifikate beispielsweise auf eine Netzwerkfreigabe schreibt oder gegen einen API-Endpunkt hochlädt.

Die Vorgehensweise zur Wiederherstellung der Daten auf dem SMTP-Exit Modul ist im Artikel „Récupération des certificats à partir des données du module de sortie SMTP" décrit.

Optional: Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank

Es bietet sich an, die Zertifizierungsstellen-Datenbank vor der Wieder-Inbetriebnahme der Zertifizierungsstelle zu kompaktieren. Dies ist jedoch nur sinnvoll, wenn eine große Anzahl von Einträgen aus der Zertifizierungsstellen-Datenbank gelöscht wurde oder nun noch vor der Kompaktierung gelöscht wird, da ansonsten kein Speicherplatz gewonnen werden kann. Die Vorgehensweise ist im Artikel „Compactage (défragmentation) de la base de données de l'autorité de certification" décrit.

Optional: Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle

Ist die Zertifizierungsstelle schon eine Weile in Betrieb, gibt es unter Umständen ältere Zertifizierungsstellen-Zertifikate, die längst abgelaufen sind. Diese können bei dieser Gelegenheit aus der Konfiguration der Zertifizierungsstelle entfernt werden, sodass diese ohne den Import der Zertifikate startet.

Die Vorgehensweise ist im Artikel „Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle“ décrites.

Optional: Anpassen verbundener Dienste

Sollten zusätzliche Dienste mit der Zertifizierungsstelle arbeiten und hat sich im Zug der Wiederherstellung der Servername geändert, muss ggfs. deren Konfiguration angepasst werden.

Für den Registrierungsdienst für Netzwerkgeräte (NDES) siehe Artikel „Transférer le Network Device Enrollment Service (NDES) vers une autre autorité de certification„ .

Funktionstest durchführen

Vor der Inbetriebnahme der Zertifizierungsstelle sollte unbedingt ein ausführlicher Funktionstest erfolgen, um sicherzustellen, dass die Zertifiizierungsstelle wie vorgesehen arbeitet. Eine Checkliste und die Vorgehensweise sind im Artikel „Réaliser un test de fonctionnement pour un organisme de certification“ zu finden.

Die Zertifizierungsstelle aus dem Wartungsmodus nehmen

Nachdem alle Tests abgeschlossen sind, kann die Zertifizierungsstelle den Wartungsmodus verlassen. Die Vorgehensweise ist im Artikel „Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenancebeschrieben. Bitte darauf achten, dass die Konfiguration der Zertifizierungsstelle und des Active Directory synchron sind, da ansonsten keine Zertifikate beantragt werden können.

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais