Spätestens, wenn das Fin du support du produit par le fabricant (Microsoft) naht, stellt sich die Frage, wie und auf welches Betriebssystem eine Zertifizierungsstelle migriert werden soll.
Die Migration der zusätzlichen Dienste wie Zertifizierugsstellen-Webregistrierung (CAWE), Zertifikatbeantragungs-Webdienste (CEP/CES), Online Responder (OCSP) und Registrierungsdienst für Netzwerkgeräte (NDES) wird nicht betrachtet, da eine Neuinstallation auf einem neuen Server meistens die geradlinigste Lösung ist.
Es gibt grundsätzlich mehrere Möglichkeiten, eine Zertifizierungsstelle auf ein neues Betriebssystem zu migrieren:
- Migration mittels In-Place Upgrade. Hierbei wird das bestehende Betriebssystem direkt auf eine neue Version aktualisiert.
- Migration mittels Backup und Wiederherstellung auf einem neuen System. Hierbei wird parallel ein neuer Server installiert und die Zertifizierungsstelle auf diesen migriert. Der alte Server wird anschließend außer Betrieb genommen.
- Aufbau einer neuen Zertifizierungsstelle und Migration der ausgestellten Zertifikate. Bei dieser Methode wird eine komplett neue Zertifizierungsstelle oder Zetifiziernugsstellen-Hierarchie aufgebaut und dann der Inhalt der alten Zertifizierungsstelle – also deren ausgestellte Zertifikate – auf die neue Zertifizierungsstelle durch dere Neuausstellung umgezogen. Beide Zertifizierungsstellen existieren parallel zueinander, bis die alte Zertifizierungsstelle außer Betrieb genommen werden kann.
Migrations-Matrix für Migration mittels In-Place Upgrade
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Anstelle eines In-Place Upgrades wird dringend empfohlen, die Zertifizierungsstelle auf einen anderen Server mit einem aktuellen Betriebssystem zu migrieren. Siehe Artikel „Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur„ .
| Von/Nach | 2008 | 2008 R2 | 2012 | 2012 R2 | 2016 | 2019 |
| 2008 | ./. | Oui | Oui | Nein | Nein | Nein |
| 2008 R2 | Nein | ./. | Oui | Oui | Nein | Nein |
| 2012 | Nein | Nein | ./. | Oui | Oui | Nein |
| 2012 R2 | Nein | Nein | Nein | ./. | Oui | Oui |
| 2016 | Nein | Nein | Nein | Nein | ./. | Oui |
| 2019 | Nein | Nein | Nein | Nein | Nein | ./. |
Der Erfolg eines In-Place Upgrade hängt auch von installierter Dritt-Software ab. Beispielsweise kann es sein, dass zuvor ein neuer Key Storage Provider (KSP) für ein Hardware Security Modul (HSM) beschafft und installiert werden muss, oder dass zunächst eventuell vorhandene Richtlinienmodule (z.B. Forefront / Microsoft Identity Manager) aktualisiert werden müssen. Es wird daher immer empfohlen, der Migrations-Methode mittels Backup und Wiederherstellung den Vorzug zu geben.
Voraussetzung für ein In-Place Upgrade von Windows Server 2008 auf Windows Server 2008 R2 oder neuer ist, dass der ursprüngliche Server mit der 64-Bit Version von Windows Server 2008 installiert wurde. Andernfalls verbleibt nur die Option der Migration mittels Backup und Wiederherstellung.
Ein Downgrade auf ein älteres Betriebssystem wird vom Hersteller für dieses Szenario grundsätzlich nicht unterstützt.
Migrations-Matrix für Migration mittels Backup und Wiederherstellung auf einem neuen System
Diese Methode ist im Artikel „Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur " décrit.
| Von/Nach | 2008 | 2008/R2 | 2012 | 2012 R2 | 2016 | 2019 |
| 2008 | Oui | Oui | Oui | Nein | Nein | Nein |
| 2008 R2 | Nein | Oui | Oui | Oui | Oui | Oui |
| 2012 | Nein | Nein | Oui | Oui | Oui | Oui |
| 2012/R2 | Nein | Nein | Nein | Oui | Oui | Oui |
| 2016 | Nein | Nein | Nein | Nein | Oui | Oui |
| 2019 | Nein | Nein | Nein | Nein | Nein | Oui |
Bei der Migration einer Zertifizierungsstelle von Windows Server 2008 auf neuere Betriebssysteme muss aufgrund einer Änderung in der Datenbank-Engine zunächst eine Migration auf Windows Server 2008 R2 oder Windows Server 2012 erfolgen.
Von Windows Server 2008 R2 kann direkt auf neuere Versionen bis hin zu Windows Server 2019 migriert werden.
Ein Downgrade auf ein älteres Betriebssystem kann unter Umständen funktionieren, wird vom Hersteller jedoch nicht unterstützt.
Aufbau einer neuen Zertifizierungsstelle und Migration der ausgestellten Zertifikate
Bei dieser Variante gibt es keine Einschränkungen der Upgrade-Pfade, bis auf dass die neue Zertifizierungsstelle die gleichen Zertifikatvorlagen-Generationen unterstützen muss wie die alte.
Liens complémentaires :
- Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2008 R2
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012
- Mise à niveau en place d'une autorité de certification de Windows Server 2012 SP2 ou 2012 R2 vers Windows Server 2016
- Description des générations de modèles de certificats
Sources externes
- Overview of Windows Server upgrades (Microsoft)
- Upgrade and conversion options for Windows Server 2016 (Microsoft)
- Install, upgrade, or migrate to Windows Server (Microsoft)
Français 
Deutsch 
English
Les commentaires sont fermés.