Comment faire pour déplacer une autorité de certification vers un autre serveur

Traductions disponibles Traductions disponibles
Numéro d'article: 298138 - Voir les produits auxquels s'applique cet article
Avertissement
Cet article s'applique à Windows 2000. De support de Windows 2000 se termine le 13 juillet 2010. Le Centre de solutions de fin de Support Windows 2000 est un point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d'informations, consultez le Politique de Support Microsoft.
Avertissement
Cet article s'applique à Windows 2000. De support de Windows 2000 se termine le 13 juillet 2010. Le Centre de solutions de fin de Support Windows 2000 est un point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d'informations, consultez le Politique de Support Microsoft.
Avertissement
Cet article s'applique à Windows 2000. De support de Windows 2000 se termine le 13 juillet 2010. Le Centre de solutions de fin de Support Windows 2000 est un point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d'informations, consultez le Politique de Support Microsoft.
Avertissement
Cet article s'applique à Windows 2000. De support de Windows 2000 se termine le 13 juillet 2010. Le Centre de solutions de fin de Support Windows 2000 est un point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d'informations, consultez le Politique de Support Microsoft.
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit comment déplacer une autorité de certification (CA) vers un autre serveur.

Autorités de certification (CA) sont le composant central de l'infrastructure à clé publique (PKI) d'une organisation. Les autorités de certification sont configurées pour exister de nombreuses années ou décennies, probablement mise à niveau au cours de laquelle le matériel qui héberge l'autorité de certification.

Notes
  • Pour déplacer une autorité de certification à partir d'un serveur qui exécute Windows 2000 Server vers un serveur qui exécute Windows Server 2003, vous devez d'abord mettre à niveau le serveur d'autorité de certification qui exécute Windows 2000 Server vers Windows Server 2003. Ensuite, vous pouvez suivre les étapes décrites dans cet article.
  • Assurez-vous que la %systemroot% du serveur cible correspond à %SystemRoot% du serveur d'où provient la sauvegarde d'état système.

    Vous devez modifier le chemin d'accès des fichiers d'autorité de certification lorsque vous installez les composants de serveur d'autorité de certification afin qu'ils correspondent à l'emplacement de la sauvegarde. Par exemple, si vous sauvegardez à partir du dossier D:\Winnt\System32\Certlog, vous devez restaurer la sauvegarde dans le dossier D:\Winnt\System32\Certlog. Vous ne pouvez pas restaurer la sauvegarde dans le dossier C:\Winnt\System32\Certlog. Après avoir restauré la sauvegarde, vous pouvez déplacer les fichiers de base de données d'autorité de certification à l'emplacement par défaut.

    Si vous essayez de restaurer la sauvegarde et le % racine_système % de la sauvegarde et le serveur cible ne correspondent pas, vous pouvez recevoir le message d'erreur suivant :
    Restaurer une image incrémentielle ne peut pas être effectuée avant d'effectuer de restauration à partir d'une image complète. Le nom du répertoire n'est pas valide. 0X8007010B (WIN32/HTTP:267)
    Déplacement des Services de certificats à partir d'un système d'exploitation 32 bits vers un système d'exploitation 64 bits ou vice versa peut échouer avec l'un des messages d'erreur suivants :
    Les données attendues n'existent pas dans ce répertoire.
    Restaurer une image incrémentielle ne peut pas être effectuée avant d'effectuer la restauration à partir d'une image complète 0x8007010b (WIN32/HTTP:267)

    Modifications de format de base de données à partir de la version 32 bits vers la version 64 bits provoquent des incompatibilités, et la restauration est bloquée. Cela ressemble à la déplacer à partir de Windows 2000 à l'autorité de certification Windows Server 2003. Toutefois, il n'existe aucun chemin de mise à niveau à partir d'une version 32 bits de Windows Server 2003 vers une version 64 bits. Par conséquent, vous ne pouvez pas déplacer une base de données 32 bits existante à une base de données 64 bits sur un ordinateur fonctionnant sous Windows Server 2003. Toutefois, vous pouvez mettre à niveau à partir de Windows Server 2003 CA (s'exécutant sur Windows Server 2003 x 86) pour Windows Server 2008 R2 CA (s'exécutant sur Windows Server 2008 R2 x 64). Cette mise à niveau est pris en charge.Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    912309Comment mettre à niveau de Windows Server 2003 avec Service Pack 1 pour Windows Server 2003 R2
  • Une version x 64 du CD2 de Windows Server 2003 R2 met à jour uniquement les versions 64 bits de Windows Server 2003 qui sont basées sur l'architecture EM64T ou sur l'architecture AMD64.

Sauvegarder et restaurer les clés des autorités de certification et de la base de données

Windows Server 2003

Important Cette section, la méthode ou la tâche qui va suivre contient des étapes qui vous indiquent la méthode pour modifier le Registre de Windows. Toutefois, les problèmes sérieux peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous de suivre ces étapes avec une attention toute particulière. Afin de couvrir votre système d'une protection supplémentaire, veuillez sauvegarder le Registre avant d'intervenir pour y apporter des modifications. Ainsi, si à la suite des modifications un problème devait survenir, vous pourrez toujours restaurer le Registre. Pour obtenir des informations sur la marche à suivre pour sauvegarder ou restaurer la Base de Registre, cliquez sur le lien (numéro) ci-dessous et afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows
  1. Remarque Les modèles de certificats qui sont configurés dans le dossier Modèles de certificats dans le composant logiciel enfichable Autorité de Certification. Les modèles de certificats, les paramètres sont stockés dans Active Directory. Ils ne sont pas sauvegardés automatiquement. Vous devez configurer manuellement les paramètres de modèles de certificats sur la nouvelle autorité de certification pour maintenir le même ensemble de modèles.

    Remarque : Les modèles de certificats dossier existe uniquement sur une autorité de certification autonome AC d'entreprise n'utilisent pas les modèles de certificats. Par conséquent, cette étape ne s'applique pas à une autorité de certification autonome.
  2. Utilisez le composant logiciel enfichable Autorité de Certification pour sauvegarder la base de données de l'autorité de certification et la clé privée. Pour ce faire, procédez comme suit :
    1. Dans le composant logiciel enfichable Autorité de Certification, cliquez sur le nom de l'autorité de certification, cliquez sur Toutes les tâches, puis cliquez sur Sauvegarder CA Pour démarrer l'Assistant de sauvegarde d'autorité de Certification.
    2. Cliquez sur Suivant, puis cliquez sur Clé privée et le certificat d'autorité de certification.
    3. Cliquez sur Base de données de certificats et journal de base de données de certificats.
    4. Utiliser un dossier vide comme emplacement de sauvegarde. Assurez-vous que le dossier de sauvegarde est accessible par le nouveau serveur.
    5. Cliquez sur Suivant. Si le dossier de sauvegarde spécifié n'existe pas, l'Assistant de sauvegarde d'autorité de Certification le crée.
    6. Tapez et confirmez un mot de passe pour le fichier de sauvegarde de clé privée de CA.
    7. Cliquez sur Suivant, puis vérifiez les paramètres de sauvegarde. Les paramètres suivants doivent être affichés :
      • Clés privées et certificat d'autorité de certification
      • Journal délivrés et les demandes en attente
    8. Cliquez sur Terminer.
  3. Enregistrer les paramètres du Registre pour cette autorité de certification. Pour ce faire, procédez comme suit :
    1. Cliquez sur Démarrer, cliquez sur Exécuter, type Regedit dans le Ouvrir zone, puis cliquez sur OK.
    2. Recherchez et ensuite cliquez droit sur la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Cliquez sur Exportation.
    4. Enregistrez le fichier du Registre dans le dossier de sauvegarde d'autorité de certification que vous avez défini dans l'étape 2d.
  4. Supprimer les Services de certificats de l'ancien serveur.

    Remarque : Cette étape supprime les objets dans Active Directory. N'effectuez pas cette étape en désordre. Si la suppression de la source d'autorité de certification est effectuée après l'installation de l'autorité de certification cible (étape 6 de cette section), l'autorité de certification de cible sera inutilisable.
  5. Renommez l'ancien serveur ou déconnectez-le définitivement du réseau.
  6. Installer les Services de certificats sur le nouveau serveur. Pour ce faire, procédez comme suit.

    Remarque : Le nouveau serveur doit avoir le même nom que l'ancien serveur.
    1. Dans le panneau de configuration, double-cliquez sur Ajouter ou supprimer des programmes.
    2. Cliquez sur Ajouter ou supprimer des composants Windows, cliquez sur Services de certificats dans l'Assistant Composants de Windows, puis cliquez sur Suivant.
    3. Dans le Type d'autorité de certification boîte de dialogue, cliquez sur le type d'autorité de certification approprié.
    4. Cliquez sur Utiliser les paramètres personnalisés pour générer la paire de clés et le certificat d'autorité de certification, puis cliquez sur Suivant.
    5. Cliquez sur Importation, tapez le chemin d'accès de la.P12 dans le dossier de sauvegarde, tapez le mot de passe que vous avez choisi à l'étape 2f et puis cliquez sur OK.
    6. Dans le Public et Private Key Pair boîte de dialogue zone, vérifiez que Utiliser les clés existantes est vérifiée.
    7. Cliquez sur Suivant deux fois.
    8. Accepter les paramètres par défaut des paramètres de base de données de certificat, cliquez sur Suivant, puis cliquez sur Terminer Pour terminer l'installation de Services de certificats.
  7. Arrêtez le service Services de certificats.
  8. Recherchez le fichier de Registre que vous avez enregistré à l'étape 3 et double-cliquez dessus pour importer les paramètres du Registre. Si le chemin d'accès qui est affiché dans l'exportation de Registre de l'ancienne autorité de certification diffère du nouveau chemin d'accès, vous devez ajuster votre exportation de Registre en conséquence. Par défaut, le nouveau chemin d'accès est C:\Windows dans Windows Server 2003.
  9. Utilisez le composant logiciel enfichable Autorité de Certification pour restaurer la base de données d'autorité de certification. Pour ce faire, procédez comme suit :
    1. Dans le composant logiciel enfichable Autorité de Certification, cliquez sur le nom de l'autorité de certification, cliquez sur Toutes les tâches, puis cliquez sur Restaurer l'autorité de certification.

      L'Assistant Restauration d'autorité de Certification démarre.
    2. Cliquez sur Suivant, puis cliquez sur Clé privée et le certificat d'autorité de certification.
    3. Cliquez sur Base de données de certificats et journal de base de données de certificats.
    4. Tapez l'emplacement du dossier de sauvegarde, puis cliquez sur Suivant.
    5. Vérifiez les paramètres de sauvegarde. Le Journal émis et Demandes en attente paramètres doivent être affichés.
    6. Cliquez sur Terminer, puis cliquez sur Oui Pour redémarrer les Services de certificats lorsque la base de données d'autorité de certification est restaurée.

    Remarque : Le message d'erreur suivant peut s'afficher pendant le processus de certification de restauration si le dossier de sauvegarde d'autorité de certification n'est pas dans le format de structure de dossier approprié :
    ---------------------------
    Services de certificats Microsoft
    ---------------------------
    Les données attendues n'existent pas dans ce répertoire.
    Veuillez choisir un autre répertoire. Le nom du répertoire n'est pas valide. 0X8007010B (WIN32/HTTP: 267)
    La structure de dossier correct est comme suit :
    C:\Ca_Backup\CA_NAME.p12
    C:\Ca_Backup\Database\certbkxp.dat
    C:\Ca_Backup\Database\edb#####.log
    C:\Ca_Backup\Database\CA_NAME.edb

    où C:\Ca_Backup est le dossier choisi lors de la phase de sauvegarde CA à l'étape 2.
  10. Dans le composant logiciel enfichable Autorité de Certification, ajoutez ou supprimez manuellement des modèles de certificats pour dupliquer les paramètres de modèles de certificats que vous avez noté à l'étape 1.

Windows 2000 Server

Important Cette section, la méthode ou la tâche qui va suivre contient des étapes qui vous indiquent la méthode pour modifier le Registre de Windows. Toutefois, les problèmes sérieux peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous de suivre ces étapes avec une attention toute particulière. Afin de couvrir votre système d'une protection supplémentaire, veuillez sauvegarder le Registre avant d'intervenir pour y apporter des modifications. Ainsi, si à la suite des modifications un problème devait survenir, vous pourrez toujours restaurer le Registre. Pour obtenir des informations sur la marche à suivre pour sauvegarder ou restaurer la Base de Registre, cliquez sur le lien (numéro) ci-dessous et afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows
  1. Remarque Les modèles de certificats qui sont configurés dans le dossier Modèles de certificats dans le composant logiciel enfichable Autorité de Certification. Les modèles de certificats, les paramètres sont stockés dans Active Directory. Ils ne sont pas sauvegardés automatiquement. Vous devez configurer manuellement les paramètres de modèles de certificats sur la nouvelle autorité de certification pour maintenir le même ensemble de modèles.

    Remarque : Les modèles de certificats dossier existe uniquement sur une autorité de certification autonome AC d'entreprise n'utilisent pas les modèles de certificats. Par conséquent, cette étape ne s'applique pas à une autorité de certification autonome.
  2. Utilisez le composant logiciel enfichable Autorité de Certification pour sauvegarder la base de données de l'autorité de certification et la clé privée. Pour ce faire, procédez comme suit :
    1. Dans le composant logiciel enfichable Autorité de Certification, cliquez sur le nom de l'autorité de certification, cliquez sur Toutes les tâches, puis cliquez sur Sauvegarder CA Pour démarrer l'Assistant de sauvegarde d'autorité de Certification.
    2. Cliquez sur Suivant, puis cliquez sur Clé privée et le certificat d'autorité de certification.
    3. Cliquez sur Journal de certificats délivrés et file d'attente de demande de certificat dans l'attente.
    4. Utiliser un dossier vide comme emplacement de sauvegarde. Assurez-vous que le dossier de sauvegarde est accessible par le nouveau serveur.
    5. Cliquez sur Suivant. Si le dossier de sauvegarde spécifié n'existe pas, l'Assistant de sauvegarde d'autorité de Certification le crée.
    6. Tapez et confirmez un mot de passe pour le fichier de sauvegarde de clé privée de CA.
    7. Cliquez sur Suivant deux fois, puis vérifiez les paramètres de sauvegarde. Les paramètres suivants doivent être affichés :
      • Clés privées et certificat d'autorité de certification
      • Journal délivrés et les demandes en attente
    8. Cliquez sur Terminer.
  3. Enregistrer les paramètres du Registre pour cette autorité de certification. Pour ce faire, procédez comme suit :
    1. Cliquez sur Démarrer, cliquez sur Exécuter, type Regedit dans le Ouvrir zone, puis cliquez sur OK.
    2. Recherchez et ensuite cliquez droit sur la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Cliquez sur Configuration , puis cliquez sur Exporter un fichier du Registre sur la Registre menu.
    4. Enregistrez le fichier du Registre dans le dossier de sauvegarde d'autorité de certification que vous avez défini dans l'étape 2d.
  4. Supprimer les Services de certificats de l'ancien serveur.

    Remarque : Cette étape supprime les objets dans Active Directory. N'effectuez pas cette étape en désordre. Si la suppression de la source d'autorité de certification est effectuée après l'installation de l'autorité de certification cible (étape 6 de cette section), l'autorité de certification de cible sera inutilisable.
  5. Renommez l'ancien serveur ou déconnectez-le définitivement du réseau.
  6. Installer les Services de certificats sur le nouveau serveur. Pour ce faire, procédez comme suit.

    Remarque : Le nouveau serveur doit avoir le même nom que l'ancien serveur.
    1. Dans le panneau de configuration, double-cliquez sur Ajout/Suppression de programmes.
    2. Cliquez sur Ajouter ou supprimer des composants Windows, cliquez sur Services de certificats dans l'Assistant Composants de Windows, puis cliquez sur Suivant.
    3. Dans le Type d'autorité de certification boîte de dialogue, cliquez sur le type d'autorité de certification approprié.
    4. Cliquez sur Options avancées, puis cliquez sur Suivant.
    5. Dans le Public et Private Key Pair boîte de dialogue, cliquez sur Utiliser les clés existantes, puis cliquez sur Importation.
    6. Tapez le chemin d'accès de la.P12 dans le dossier de sauvegarde, tapez le mot de passe que vous avez choisi à l'étape 2f et puis cliquez sur OK.
    7. Cliquez sur Suivant, tapez une description de l'autorité de certification si approprié, puis cliquez sur Suivant.
    8. Acceptez les paramètres par défaut emplacement de stockage de données, cliquez sur Suivant, puis cliquez sur Terminer Pour terminer l'installation de Services de certificats.
  7. Arrêtez le service Services de certificats.
  8. Recherchez le fichier de Registre que vous avez enregistré à l'étape 3 et double-cliquez dessus pour importer les paramètres du Registre.
  9. Utilisez le composant logiciel enfichable Autorité de Certification pour restaurer la base de données d'autorité de certification. Pour ce faire, procédez comme suit :
    1. Dans le composant logiciel enfichable Autorité de Certification, cliquez sur le nom de l'autorité de certification, cliquez sur Toutes les tâches, puis cliquez sur Restaurer l'autorité de certification.

      L'Assistant Restauration d'autorité de Certification démarre.
    2. Cliquez sur Suivant, puis cliquez sur Journal de certificats délivrés et file d'attente de demande de certificat dans l'attente.
    3. Tapez l'emplacement du dossier de sauvegarde, puis cliquez sur Suivant.
    4. Vérifiez les paramètres de sauvegarde. Les paramètres suivants doivent être affichés :
      • Journal émis
      • Demandes en attente
    5. Cliquez sur Terminer, puis cliquez sur Oui Pour redémarrer les Services de certificats lorsque la base de données d'autorité de certification est restaurée.
  10. Dans le composant logiciel enfichable Autorité de Certification, ajoutez ou supprimez manuellement des modèles de certificats pour dupliquer les paramètres de modèles de certificats que vous avez noté à l'étape 1.

Plus d'informations

Pour plus d'informations sur les scénarios de mise à niveau et de migration pour Windows Server 2003 et Windows Server 2008, consultez le livre blanc « Active Directory certificat Services mise à niveau et Migration Guide ». Pour voir le livre blanc, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://technet.Microsoft.com/en-us/library/cc742515 (v=ws.10) .aspx

Propriétés

Numéro d'article: 298138 - Dernière mise à jour: lundi 4 juin 2012 - Version: 2.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Mots-clés : 
kbcertservices kbenv kbhowtomaster w2000certsrv kbmt KB298138 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 298138
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com