Comment déplacer une autorité de certification vers un autre serveur

Cet article explique comment déplacer une autorité de certification (CA) vers un autre serveur.

S’applique à : Windows Server 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Numéro de la base de connaissances d’origine : 298138

Résumé

Les autorités de certification sont la composante centrale de l’infrastructure à clé publique (PKI) d’un organization. Les autorités de certification sont configurées pour exister pendant de nombreuses années ou décennies, période pendant laquelle le matériel qui héberge l’autorité de certification est probablement mis à niveau.

Assurez-vous que % Systemroot% du serveur cible correspond à % Systemroot% du serveur à partir duquel la sauvegarde de l’état du système est effectuée.

Vous devez modifier le chemin des fichiers d’autorité de certification lorsque vous installez les composants du serveur d’autorité de certification afin qu’ils correspondent à l’emplacement de la sauvegarde. Par exemple, si vous effectuez une sauvegarde à partir du dossier D :\Winnt\System32\Certlog , vous devez restaurer la sauvegarde dans le dossier D :\Winnt\System32\Certlog . Vous ne pouvez pas restaurer la sauvegarde dans le dossier C :\Winnt\System32\Certlog . Après avoir restauré la sauvegarde, vous pouvez déplacer les fichiers de base de données d’autorité de certification vers l’emplacement par défaut.

Si vous essayez de restaurer la sauvegarde et que % Systemroot% de la sauvegarde et du serveur cible ne correspondent pas, le message d’erreur suivant peut s’afficher :

La restauration d’une image incrémentielle ne peut pas être effectuée avant d’effectuer une restauration à partir d’une image complète. Le nom du répertoire est non valide. 0x8007010b (WIN32/HTTP :267)

Le déplacement des services de certificats d’un système d’exploitation 32 bits vers un système d’exploitation 64 bits ou vice versa peut échouer avec l’un des messages d’erreur suivants :

Les données attendues n’existent pas dans ce répertoire.

Impossible d’effectuer la restauration d’une image incrémentielle avant d’effectuer une restauration à partir d’une image complète 0x8007010b (WIN32/HTTP :267)

Les changements de format de base de données de la version 32 bits à la version 64 bits entraînent des incompatibilités et la restauration est bloquée. Cela ressemble au passage de Windows 2000 à l’autorité de certification Windows Server 2003. Toutefois, il n’existe aucun chemin de mise à niveau d’une version 32 bits de Windows Server 2003 vers une version 64 bits. Par conséquent, vous ne pouvez pas déplacer une base de données 32 bits existante vers une base de données 64 bits sur un ordinateur Windows Server 2003. Toutefois, vous pouvez effectuer une mise à niveau de l’autorité de certification Windows Server 2003 (s’exécutant sur Windows Server 2003 x86) vers l’autorité de certification Windows Server 2008 R2 (s’exécutant sur Windows Server 2008 R2 x64). Cette mise à niveau est prise en charge.

Une version x64 de Windows Server 2003 R2 CD2 met uniquement à jour les versions 64 bits de Windows Server 2003 qui sont basées sur l’architecture EM64T ou sur l’architecture AMD64.

Sauvegarder et restaurer les clés et la base de données de l’autorité de certification

1. Notez les modèles de certificat configurés dans le dossier Modèles de certificat du composant logiciel enfichable Autorité de certification. Les paramètres des modèles de certificat sont stockés dans Active Directory. Ils ne sont pas automatiquement sauvegardés. Vous devez configurer manuellement les paramètres des modèles de certificat sur la nouvelle autorité de certification pour conserver le même ensemble de modèles.

   Remarque

   Le dossier Modèles de certificats existe uniquement sur une autorité de certification d’entreprise. Les autorités de certification autonomes n’utilisent pas de modèles de certificat. Par conséquent, cette étape ne s’applique pas à une autorité de certification autonome.

2. Utilisez le composant logiciel enfichable Autorité de certification pour sauvegarder la base de données d’autorité de certification et la clé privée. Pour cela, procédez comme suit :

   1. Dans le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur le nom de l’autorité de certification, cliquez sur Toutes les tâches, puis cliquez sur Sauvegarder l’autorité de certification pour démarrer l’Assistant Sauvegarde de l’autorité de certification.
   2. Cliquez sur Suivant, puis sur Clé privée et certificat d’autorité de certification.
   3. Cliquez sur Base de données de certificats et journal de base de données de certificats.
   4. Utilisez un dossier vide comme emplacement de sauvegarde. Assurez-vous que le nouveau serveur peut accéder au dossier de sauvegarde.
   5. Cliquez sur Suivant. Si le dossier de sauvegarde spécifié n’existe pas, l’Assistant Sauvegarde de l’autorité de certification le crée.
   6. Tapez, puis confirmez un mot de passe pour le fichier de sauvegarde de clé privée de l’autorité de certification.
   7. Cliquez sur Suivant, puis vérifiez les paramètres de sauvegarde. Les paramètres suivants doivent être affichés :
      • Clé privée et certificat d’autorité de certification
      • Journaux émis et demandes en attente
   8. Cliquez sur Terminer.

3. Enregistrez les paramètres du Registre pour cette autorité de certification. Pour cela, procédez comme suit :

   1. Cliquez surDémarrer, puis Exécuter, entrez regedit dans la zone Ouvrir et cliquez sur OK.
   2. Recherchez la sous-clé de Registre suivante et cliquez dessus avec le bouton droit :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
   3. Cliquez sur Exporter.
   4. Enregistrez le fichier de Registre dans le dossier de sauvegarde de l’autorité de certification que vous avez défini à l’étape 2d.

   Remarque

   Par défaut, les services de certificats Active Directory (AD CS) sont configurés avec des extensions de point de distribution de liste de révocation de certificats (CRL) qui incluent le nom d’hôte de l’ordinateur de l’autorité de certification dans le chemin d’accès. Cela signifie que tous les certificats émis par l’autorité de certification avant la migration peuvent contenir des chemins de validation de certificat avec l’ancien nom d’hôte. Ces chemins d’accès peuvent ne plus être valides après la migration. Pour éviter les erreurs de vérification de révocation, la nouvelle autorité de certification doit être configurée pour publier des listes de révocation de certificats dans les anciens chemins (de prémigration) et les nouveaux chemins. Si vous devez supprimer définitivement l’ancienne autorité de certification, vous pouvez ajouter un deuxième nom d’ordinateur à la nouvelle autorité de certification. Avant de pouvoir le faire, l’ancien nom de l’ordinateur doit être disponible dans Active Directory. À ce stade, vous pouvez ajouter les points de distribution de liste de révocation de certificats à la nouvelle autorité de certification.

4. Vérifiez le point de distribution de la liste de révocation de certificats sur l’ancienne autorité de certification. Ces paramètres doivent être configurés dans la nouvelle autorité de certification.

   1. Ouvrez cmd.exe dans l’ancienne autorité de certification.
   2. Entrez pkiview.
   3. Exportez la configuration.

5. Supprimez les services de certificats de l’ancien serveur.

   Remarque

   Cette étape supprime des objets d’Active Directory. N’effectuez pas cette étape dans le désordre. Si la suppression de l’autorité de certification source est effectuée après l’installation de l’autorité de certification cible (étape 7 de cette section), l’autorité de certification cible devient inutilisable.

6. Renommez l’ancien serveur ou déconnectez-le définitivement du réseau.

7. Installez les services de certificats sur le nouveau serveur. Pour cela, procédez comme suit.

   Remarque

   Le nouveau serveur doit avoir le même nom d’ordinateur que l’ancien serveur.

   1. Dans le Panneau de configuration, double-cliquez sur Ajout/Suppression de programmes.
   2. Cliquez sur Ajouter/supprimer des composants Windows, cliquez sur Services de certificats dans l’Assistant Composants Windows, puis cliquez sur Suivant.
   3. Dans la boîte de dialogue Type d’autorité de certification , cliquez sur le type d’autorité de certification approprié.
   4. Cliquez sur Utiliser des paramètres personnalisés pour générer la paire de clés et le certificat d’autorité de certification, puis cliquez sur Suivant.
   5. Cliquez sur Importer, tapez le chemin d’accès de . Fichier P12 dans le dossier de sauvegarde, tapez le mot de passe que vous avez choisi à l’étape 2f, puis cliquez sur OK.
   6. Dans la boîte de dialogue Paire de clés publique et privée , vérifiez que l’option Utiliser des clés existantes est cochée.
   7. Cliquez deux fois sur Suivant.
   8. Acceptez les paramètres par défaut des paramètres de base de données de certificats, cliquez sur Suivant, puis cliquez sur Terminer pour terminer l’installation des services de certificats.

   Importante

   Si le nouveau serveur a un nom d’ordinateur différent, procédez comme suit :

   1. Dans le Panneau de configuration, double-cliquez sur Ajout/Suppression de programmes.
   2. Cliquez sur Ajouter/supprimer des composants Windows, cliquez sur Services de certificats dans l’Assistant Composants Windows, puis cliquez sur Suivant.
   3. Dans la boîte de dialogue Type d’autorité de certification , cliquez sur le type d’autorité de certification approprié.
   4. Cliquez sur Utiliser des paramètres personnalisés pour générer la paire de clés et le certificat d’autorité de certification, puis cliquez sur Suivant.
   5. Cliquez sur Importer, tapez le chemin d’accès de . Fichier P12 dans le dossier de sauvegarde, tapez le mot de passe que vous avez choisi à l’étape 2f, puis cliquez sur OK.
   6. Dans la boîte de dialogue Paire de clés publique et privée , vérifiez que l’option Utiliser des clés existantes est cochée.
   7. Cliquez deux fois sur Suivant.
   8. Acceptez les paramètres par défaut des paramètres de base de données de certificats, cliquez sur Suivant, puis cliquez sur Terminer pour terminer l’installation des services de certificats.
   9. Modifiez la clé de Registre précédemment exportée à l’étape 3 comme suit :
      1. Cliquez avec le bouton droit sur la clé exportée.
      2. Modifier.
      3. Remplacez la valeur CAServerName par le nouveau nom du serveur.
      4. Enregistrer et fermer.

8. Arrêtez le service Services de certificats.

9. Recherchez le fichier de Registre que vous avez enregistré à l’étape 3, puis double-cliquez dessus pour importer les paramètres du Registre. Si le chemin affiché dans l’exportation du Registre à partir de l’ancienne autorité de certification diffère du nouveau chemin d’accès, vous devez ajuster votre exportation de registre en conséquence. Par défaut, le nouveau chemin est C :\Windows dans Windows Server 2003.

10. Utilisez le composant logiciel enfichable Autorité de certification pour restaurer la base de données d’autorité de certification. Pour cela, procédez comme suit :

    1. Dans le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur le nom de l’autorité de certification, cliquez sur Toutes les tâches, puis cliquez sur Restaurer l’autorité de certification.

       L’Assistant Restauration de l’autorité de certification démarre.

    2. Cliquez sur Suivant, puis sur Clé privée et certificat d’autorité de certification.

    3. Cliquez sur Base de données de certificats et journal de base de données de certificats.

    4. Tapez l’emplacement du dossier de sauvegarde, puis cliquez sur Suivant.

    5. Vérifiez les paramètres de sauvegarde. Les paramètres Journal émis et Demandes en attente doivent être affichés.

    6. Cliquez sur Terminer, puis sur Oui pour redémarrer les services de certificats lorsque la base de données de l’autorité de certification est restaurée.

    Vous pouvez recevoir l’erreur suivante pendant le processus de restauration de l’autorité de certification si le dossier de sauvegarde de l’autorité de certification n’est pas au format de structure de dossiers correct :

    ---------------------------
    Services de certificats Microsoft
    ---------------------------

    Les données attendues n’existent pas dans ce répertoire.
    Choisissez un autre répertoire. Le nom du répertoire est non valide. 0x8007010b (WIN32/HTTP : 267)

    La structure de dossiers correcte est la suivante :

    • C :\Ca_Backup\CA_NAME.p12
    • C :\Ca_Backup\Database\certbkxp.dat
    • C :\Ca_Backup\Database\edb#####.log
    • C :\Ca_Backup\Database\CA_NAME.edb

    Où C :\Ca_Backup est le dossier que vous avez choisi pendant la phase d’autorité de certification de sauvegarde à l’étape 2.

11. Dans le composant logiciel enfichable Autorité de certification, ajoutez ou supprimez manuellement des modèles de certificat pour dupliquer les paramètres modèles de certificat que vous avez notés à l’étape 1.

1. À partir d’un contrôleur de domaine dans la forêt où vous avez migré le rôle d’autorité de certification, démarrez ADSI Edit.
2. Cliquez avec le bouton droit sur ADSI Modifier -> Se connecter à -> Dans Sélectionner un contexte d’affectation de noms bien connu , choisissez Configuration -> OK.
3. Accédez à CN=Configuration | CN=Services | CN=Services à clé publique | CN=Services d’inscription.
4. Cliquez avec le bouton droit sur l’autorité de certification dans le volet droit à partir duquel vous souhaitez vous inscrire, puis cliquez sur Propriétés. Recherchez l’attribut flags ; et vérifiez qu’il est défini sur 10.
5. Si ce n’est pas le cas, définissez-la sur 10 et attendez ou forcez manuellement la réplication Active Directory.
6. Fermez ADSI Edit et, à partir de votre serveur d’autorité de certification, vérifiez que vous pouvez maintenant publier vos nouveaux modèles.

Sauvegarder et restaurer les clés et la base de données de l’autorité de certification dans Windows 2000 Server

1. Notez les modèles de certificat configurés dans le dossier Modèles de certificat du composant logiciel enfichable Autorité de certification. Les paramètres des modèles de certificat sont stockés dans Active Directory. Ils ne sont pas automatiquement sauvegardés. Vous devez configurer manuellement les paramètres des modèles de certificat sur la nouvelle autorité de certification pour conserver le même ensemble de modèles.

   Remarque

   Le dossier Modèles de certificats existe uniquement sur une autorité de certification d’entreprise. Les autorités de certification autonomes n’utilisent pas de modèles de certificat. Par conséquent, cette étape ne s’applique pas à une autorité de certification autonome.

2. Utilisez le composant logiciel enfichable Autorité de certification pour sauvegarder la base de données d’autorité de certification et la clé privée. Pour cela, procédez comme suit :

   1. Dans le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur le nom de l’autorité de certification, cliquez sur Toutes les tâches, puis cliquez sur Sauvegarder l’autorité de certification pour démarrer l’Assistant Sauvegarde de l’autorité de certification.
   2. Cliquez sur Suivant, puis sur Clé privée et certificat d’autorité de certification.
   3. Cliquez sur Journal des certificats émis et file d’attente des demandes de certificat en attente.
   4. Utilisez un dossier vide comme emplacement de sauvegarde. Assurez-vous que le nouveau serveur peut accéder au dossier de sauvegarde.
   5. Cliquez sur Suivant. Si le dossier de sauvegarde spécifié n’existe pas, l’Assistant Sauvegarde de l’autorité de certification le crée.
   6. Tapez, puis confirmez un mot de passe pour le fichier de sauvegarde de clé privée de l’autorité de certification.
   7. Cliquez deux fois sur Suivant , puis vérifiez les paramètres de sauvegarde. Les paramètres suivants doivent être affichés :
      • Clé privée et certificat d’autorité de certification
      • Journaux émis et demandes en attente
   8. Cliquez sur Terminer.

3. Enregistrez les paramètres du Registre pour cette autorité de certification. Pour cela, procédez comme suit :

   1. Cliquez sur Démarrer, puis Exécuter, entrez regedit dans la zone Ouvrir et cliquez sur OK.
   2. Recherchez et cliquez avec le bouton droit sur la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
   3. Cliquez sur Configuration, puis sur Exporter le fichier du Registre dans le menu Registre .
   4. Enregistrez le fichier de Registre dans le dossier de sauvegarde de l’autorité de certification que vous avez défini à l’étape 2d.

4. Vérifiez le point de distribution de la liste de révocation de certificats sur l’ancienne autorité de certification. Ces paramètres doivent être configurés dans la nouvelle autorité de certification.

   1. Ouvrez cmd.exe dans l’ancienne autorité de certification.
   2. Entrez pkiview.
   3. Exportez la configuration.

5. Supprimez les services de certificats de l’ancien serveur.

   Remarque

   Cette étape supprime des objets d’Active Directory. N’effectuez pas cette étape dans le désordre. Si la suppression de l’autorité de certification source est effectuée après l’installation de l’autorité de certification cible (étape 7 de cette section), l’autorité de certification cible devient inutilisable.

6. Renommez l’ancien serveur ou déconnectez-le définitivement du réseau.

7. Installez les services de certificats sur le nouveau serveur. Pour cela, procédez comme suit.

   Remarque

   Le nouveau serveur doit avoir le même nom d’ordinateur que l’ancien serveur.

   1. Dans le Panneau de configuration, double-cliquez sur Ajout/Suppression de programmes.
   2. Cliquez sur Ajouter/supprimer des composants Windows, cliquez sur Services de certificats dans l’Assistant Composants Windows, puis cliquez sur Suivant.
   3. Dans la boîte de dialogue Type d’autorité de certification , cliquez sur le type d’autorité de certification approprié.
   4. Cliquez sur Options avancées, puis sur Suivant.
   5. Dans la boîte de dialogue Paire de clés publique et privée , cliquez sur Utiliser des clés existantes, puis sur Importer.
   6. Tapez le chemin d’accès du . Fichier P12 dans le dossier de sauvegarde, tapez le mot de passe que vous avez choisi à l’étape 2f, puis cliquez sur OK.
   7. Cliquez sur Suivant, tapez une description de l’autorité de certification le cas échéant, puis cliquez sur Suivant.
   8. Acceptez les paramètres par défaut Emplacement de stockage des données, cliquez sur Suivant, puis cliquez sur Terminer pour terminer l’installation des services de certificats.

8. Arrêtez le service Services de certificats.

9. Recherchez le fichier de Registre que vous avez enregistré à l’étape 3, puis double-cliquez dessus pour importer les paramètres du Registre.

10. Utilisez le composant logiciel enfichable Autorité de certification pour restaurer la base de données d’autorité de certification. Pour cela, procédez comme suit :

    1. Dans le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur le nom de l’autorité de certification, cliquez sur Toutes les tâches, puis cliquez sur Restaurer l’autorité de certification.

       L’Assistant Restauration de l’autorité de certification démarre.

    2. Cliquez sur Suivant, puis sur Journal des certificats émis et file d’attente des demandes de certificat en attente.

    3. Tapez l’emplacement du dossier de sauvegarde, puis cliquez sur Suivant.

    4. Vérifiez les paramètres de sauvegarde. Les paramètres suivants doivent être affichés :

       • Journal émis
       • Demandes en attente

    5. Cliquez sur Terminer, puis sur Oui pour redémarrer les services de certificats lorsque la base de données de l’autorité de certification est restaurée.

11. Dans le composant logiciel enfichable Autorité de certification, ajoutez ou supprimez manuellement des modèles de certificat pour dupliquer les paramètres modèles de certificat que vous avez notés à l’étape 1.

Plus d’informations

Pour plus d’informations sur les scénarios de mise à niveau et de migration pour Windows Server 2003 et Windows Server 2008, consultez le livre blanc « Guide de mise à niveau et de migration des services de certificats Active Directory ». Pour consulter le livre blanc, consultez Guide de mise à niveau et de migration des services de certificats Active Directory.