Migrer une autorité de certification

La migration d’une autorité de certification garantit la continuité des services de certificats de votre organisation. Ce guide fournit des instructions pas à pas et des bonnes pratiques pour la migration réussie d’une autorité de certification. Il couvre les tâches essentielles telles que la sauvegarde de la base de données d’autorité de certification et de la clé privée, la suppression du service de rôle d’autorité de certification du serveur source et la restauration de l’autorité de certification sur le serveur de destination. Que vous utilisiez le composant logiciel enfichable Autorité de certification, Windows PowerShell ou des outils de ligne de commande comme Certutil, ce guide propose des étapes détaillées adaptées à différents scénarios de migration. Suivez ces instructions pour garantir un processus de migration fluide et sécurisé.

Prerequisites

Avant de migrer votre autorité de certification, vérifiez que les conditions préalables suivantes sont remplies.

Vous devez avoir :

• Accès administratif pour les serveurs source et de destination. Pour les autorités de certification d’entreprise, vérifiez que vous êtes membre du groupe Administrateurs d’entreprise ou Administrateurs de domaine.
• Accès à des outils tels que le composant logiciel enfichable de l'Autorité de certification, l'outil PowerShell ou l'outil Certutil pour effectuer des sauvegardes et des restaurations.
• Emplacement sécurisé et accessible pour stocker les fichiers de sauvegarde. Vérifiez que l’emplacement est protégé contre l’accès non autorisé.
• Connectivité réseau entre les serveurs source et de destination.
• Clustering pour le basculement :
  • Stockage partagé configuré et accessible.
  • Les nœuds de cluster sont correctement configurés et les autorisations sont accordées.

En effectuant ces prérequis, vous pouvez garantir une migration fluide et sécurisée de votre autorité de certification.

Effectuer des sauvegardes

Avant de commencer à migrer votre autorité de certification, vous devez d’abord sauvegarder les éléments suivants :

• Base de données d’autorité de certification
• Clé(s) privée(s)
• Paramètres du Registre d’autorité de certification
• Fichier CAPolicy.inf
• Liste des modèles d’autorité de certification (obligatoire uniquement pour les autorités de certification d’entreprise)

Avant de poursuivre la suppression du rôle d’autorité de certification, vous devez également publier une liste de révocation de certificats avec une période de validité prolongée.

Sauvegarder une base de données d’autorité de certification et une clé privée

Vous pouvez sauvegarder la base de données et la clé privée de l'autorité de certification en utilisant le composant logiciel enfichable Autorité de certification, PowerShell, ou en utilisant Certutil. Effectuez l’une des procédures de sauvegarde décrites dans cette section tout en vous connectant à l’autorité de certification source.

Vous devez utiliser un compte administrateur de l'autorité de certification. Sur une autorité de certification d’entreprise, la configuration par défaut pour les administrateurs de l’autorité de certification inclut le groupe Administrateurs locaux, le groupe Administrateurs d’entreprise et le groupe Administrateurs de domaine. Sur une autorité de certification autonome, la configuration par défaut pour les administrateurs d’autorité de certification inclut le groupe Administrateurs locaux.

Une fois les étapes de sauvegarde terminées, le service Services de certificats Active Directory (Certsvc) doit être arrêté pour empêcher l’émission d’autres certificats. Avant d’ajouter le service de rôle d’autorité de certification au serveur de destination, le service de rôle d’autorité de certification doit être supprimé du serveur source.

Les fichiers de sauvegarde créés pendant ces procédures doivent être stockés dans le même emplacement pour simplifier la migration. L’emplacement doit être accessible à partir du serveur de destination.

Sauvegarder les paramètres du Registre d’autorité de certification

Effectuez l’une des procédures suivantes pour sauvegarder les paramètres du Registre d’autorité de certification.

Les fichiers créés pendant la procédure de sauvegarde doivent être stockés dans le même emplacement que la base de données et les fichiers de sauvegarde de clé privée pour simplifier la migration. L’emplacement doit être accessible à partir du serveur de destination ; par exemple, un média amovible ou un dossier partagé sur le serveur de destination ou un autre membre de domaine.

Vous devez être connecté à l’autorité de certification source à l’aide d’un compte membre du groupe Administrateurs local.

Sauvegarder les paramètres du Registre d’autorité de certification à l’aide de Regedit.exe

1. Sélectionnez Démarrer, pointez sur Exécuter et tapez regedit pour ouvrir l’Éditeur du Registre.

2. Dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc, cliquez avec le bouton droit sur Configuration, puis sélectionnez Exporter.

3. Spécifiez un emplacement et un nom de fichier, puis sélectionnez Enregistrer. Cela crée un fichier de Registre qui contient les données de configuration de l'autorité de certification source.

4. Copiez le fichier de Registre vers un emplacement accessible à partir du serveur de destination ; par exemple, un dossier partagé ou un média amovible.

Sauvegarder les paramètres du Registre d’autorité de certification à l’aide de Reg.exe

1. Ouvrez une fenêtre d’invite de commandes.

2. Tapez reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration<fichier de sortie>.reg, puis appuyez sur ENTRÉE.

3. Copiez le fichier de Registre vers un emplacement accessible à partir du serveur de destination ; par exemple, un dossier partagé ou un média amovible.

Sauvegardez le fichier CAPolicy.inf

Si votre autorité de certification source utilise un fichier CAPolicy.inf personnalisé, vous devez copier le fichier au même emplacement que les fichiers de sauvegarde de l’autorité de certification source.

Le fichier CAPolicy.inf se trouve dans le répertoire %SystemRoot%, qui est généralement C :\Windows.

Sauvegarder une liste de modèles d’autorité de certification

Une autorité de certification d’entreprise peut lui attribuer des modèles de certificat. Vous devez enregistrer les modèles de certificats attribués avant de commencer la migration de l'autorité de certification. Les informations ne sont pas sauvegardées dans la base de données de l'autorité de certification, ni avec une sauvegarde des paramètres du registre. Cela est dû au fait que les modèles de certificat et leur association avec les autorités de certification d’entreprise sont stockés dans AD DS. Vous devrez ajouter la même liste de modèles au serveur de destination pour terminer la migration de l'autorité de certification.

Vous pouvez déterminer les modèles de certificat affectés à une autorité de certification à l’aide du composant logiciel enfichable Autorité de certification ou de la commande Certutil.exe –catemplates .

Enregistrez une liste de modèles d'autorité de certification à l'aide du composant logiciel enfichable Autorité de certification

1. Ouvrez une session avec les informations d'identification d'administration locales sur l'ordinateur de l'autorité de certification.

2. Ouvrez le composant logiciel enfichable Autorité de certification.

3. Dans l’arborescence de la console, développez Autorité de certification, puis sélectionnez Modèles de certificat.

4. Enregistrez la liste des modèles de certificat en prenant une capture d’écran ou en tapant la liste dans un fichier texte.

Enregistrez une liste de modèles d'autorité de certification à l'aide de Certutil.exe

1. Ouvrez une session avec les informations d'identification d'administration locales sur l'ordinateur de l'autorité de certification.

2. Ouvrez une fenêtre d’invite de commandes.

3. Tapez la commande suivante, puis appuyez sur Entrée.

   certutil.exe –catemplates > catemplates.txt
   

4. Vérifiez que le fichier catemplates.txt contient la liste des modèles.

Publication d'une liste de révocation de certificats avec une période de validité étendue

Avant de commencer la migration de l'autorité de certification, une bonne pratique consiste à publier une liste de révocation de certificats dont la période de validité s'étend au-delà de la période de migration planifiée. La période de validité de la CRL devrait être au moins aussi longue que la durée prévue pour la migration. Cela est nécessaire pour permettre aux processus de validation de certificat sur les ordinateurs clients de continuer pendant la période de migration.

Vous devez publier une liste de révocation de certificats avec une période de validité étendue pour chaque autorité de certification migrée. Cette procédure est particulièrement importante pour les autorités de certification racines, en raison du nombre potentiellement élevé de certificats pouvant se trouver affectés par l'indisponibilité d'une liste de révocation de certificats.

Par défaut, la période de validité du CRL est égale à la période de publication du CRL plus 10 %. Après avoir déterminé une période de validité appropriée de la liste de révocation de certificats, définissez l’intervalle de publication de la liste de révocation de certificats et publiez manuellement la liste de révocation de certificats en suivant les procédures suivantes : Planifiez la publication de la liste de révocation de certificats et publiez manuellement la liste de révocation de certificats.

Supprimer le service de rôle d’autorité de certification du serveur source

Il est important de supprimer le service de rôle d’autorité de certification du serveur source après avoir effectué des procédures de sauvegarde et avant d’installer le service de rôle d’autorité de certification sur le serveur de destination. Autorités de certification d'entreprise et autorités de certification autonomes, membres du domaine, stockent dans les Services de domaine Active Directory (AD DS) les données de configuration associées au nom commun de l'autorité de certification. Supprimer le service de rôle Autorité de certification supprime également des services de domaine Active Directory les données de configuration de l'autorité de certification. Étant donné que l’autorité de certification source et l’autorité de certification de destination partagent le même nom commun, la suppression du service de rôle d’autorité de certification du serveur source après l’installation du service de rôle d’autorité de certification sur le serveur de destination supprime les données de configuration requises par l’autorité de certification de destination et interfère avec son opération.

La base de données d’autorité de certification, la clé privée et le certificat ne sont pas supprimés du serveur source en supprimant le service de rôle d’autorité de certification. Par conséquent, réinstaller ce service sur le serveur source a pour effet de restaurer l'autorité de certification source si la migration échoue et que l'exécution d'une restauration est nécessaire.

Pour supprimer le service de rôle d’autorité de certification, utilisez l’Assistant Suppression de rôles et de fonctionnalités dans le Gestionnaire de serveur.

1. Dans le Gestionnaire de serveur, sélectionnez Gérer, puis Supprimez les rôles et les fonctionnalités.
2. Sélectionnez Suivant dans l’Assistant jusqu’à ce que vous arriviez aux rôles serveur.
3. Sur les rôles de serveur, sous Services de certificats Active Directory, désactivez la case à cocher pour l’autorité de certification.
4. Vérifiez que vous souhaitez également supprimer des fonctionnalités qui nécessitent une autorité de certification.
5. Sélectionnez Suivant jusqu’à ce que vous arriviez à la page Confirmation. Sélectionnez Ensuite Supprimer.
6. Vérifiez que le rôle a été supprimé avec succès.

Supprimer le serveur source du domaine

Étant donné que les noms d’ordinateur doivent être uniques dans un domaine Active Directory, il est nécessaire de supprimer le serveur source de son domaine et de supprimer le compte d’ordinateur associé d’Active Directory avant de joindre le serveur de destination au domaine.

Effectuez la procédure suivante pour supprimer le serveur source du domaine.

Supprimer le serveur source du domaine à l’aide de PowerShell

Utilisez l’applet de commande Windows PowerShell Remove-ADComputer pour supprimer le compte d’ordinateur d’AD DS.

Pour supprimer un ordinateur spécifique d’Active Directory, utilisez la commande suivante :

Remove-ADComputer -Identity "COMPUTER_IDENTITY"

Le -Identity paramètre est utilisé pour spécifier un objet d’ordinateur Active Directory en fournissant l’une des valeurs de propriété suivantes : nom unique, GUID ga (objectGUID), identificateur de sécurité (objectSid) ou nom de compte gestionnaire de comptes de sécurité (sAMAccountName).

Joindre le serveur de destination au domaine

Avant de joindre le serveur de destination au domaine, remplacez le nom de l’ordinateur par le même nom que le serveur source. Terminez ensuite la procédure pour joindre le serveur de destination au domaine.

Si votre serveur de destination s’exécute sur l’option d’installation server Core, vous devez utiliser la procédure de ligne de commande.

Pour renommer le serveur de destination, vous devez être membre du groupe Administrateurs local. Pour joindre le serveur au domaine, vous devez être membre des groupes Administrateurs de domaine ou Administrateurs d’entreprise, ou disposer d’autorisations déléguées pour joindre le serveur de destination à une unité d’organisation dans le domaine.

Joindre le serveur de destination au domaine à l’aide de PowerShell

1. Sur le serveur de destination, ouvrez une fenêtre PowerShell avec élévation de privilèges.

2. Utilisez l’applet de commande Rename-Computer en tapant :

   Rename-Computer -NewName "NEW_COMPUTER_NAME" -DomainCredential Domain01\Admin01 -Restart
   

3. Une fois le serveur de destination redémarré, connectez-vous à l’aide d’un compte autorisé à joindre des ordinateurs au domaine.

4. Ouvrez une fenêtre PowerShell avec élévation de privilèges et utilisez l’applet de commande Add-Computer pour ajouter un ordinateur à un domaine.

   Add-Computer -DomainName Domain01 -Restart
   

Ajouter le service de rôle d’autorité de certification au serveur de destination

Cette section décrit deux procédures différentes pour l'ajout du service de rôle Autorité de certification au serveur de destination, y compris des instructions spéciales pour l'utilisation du clustering avec basculement.

Passez en revue les instructions suivantes pour déterminer les procédures à suivre.

• Si votre serveur de destination exécute l’option d’installation server Core, vous pouvez utiliser Windows PowerShell pour installer l’autorité de certification à l’aide de l’applet de commande Install-AdcsCertificationAuthority.

• Si vous migrez vers une autorité de certification qui utilise un HSM, suivez les procédures d’importation du certificat d’autorité de certification et ajoutez le service de rôle d’autorité de certification.

• Si vous effectuez une migration vers une autorité de certification qui utilise un cluster de basculement, les procédures d'importation du certificat de l'autorité de certification et d'ajout du service de rôle Autorité de certification doivent être effectuées sur chaque nœud de cluster. Une fois le service de rôle Autorité de certification ajouté à chaque nœud, arrêtez le service Services de certificats Active Directory (Certsvc). Vérifiez également que :

  • Le stockage partagé utilisé par l’autorité de certification est en ligne et affecté au nœud auquel vous ajoutez le service de rôle d’autorité de certification.
  • La base de données d’autorité de certification et les fichiers journaux doivent se trouver sur le stockage partagé.

Importer le certificat d’autorité de certification

Si vous ajoutez le service de rôle d’autorité de certification à l’aide du Gestionnaire de serveur, procédez comme suit pour importer le certificat d’autorité de certification.

Importer le certificat d’autorité de certification

1. Démarrez le composant logiciel enfichable Certificats pour le compte d'ordinateur local.

2. Dans l’arborescence de la console, double-cliquez sur Certificats (ordinateur local) et sélectionnez Personnel.

3. Dans le menu Action , sélectionnez Toutes les tâches, puis sélectionnez Importer... pour ouvrir l’Assistant Importation de certificat. Cliquez sur Suivant.

4. Localisez le fichier <CAName.p12> créé à partir de la sauvegarde du certificat d’autorité de certification et de la clé privée sur l’autorité de certification source, puis sélectionnez Ouvrir.

5. Tapez le mot de passe, puis sélectionnez OK.

6. Sélectionnez Placer tous les certificats dans le magasin suivant.

7. Vérifiez que Personnel est affiché dans le magasin de certificats. Si ce n’est pas le cas, sélectionnez Parcourir, Sélectionnez Personnel, sélectionnez OK.

   Note

   Si vous utilisez un HSM réseau, effectuez les étapes 8 à 10 pour réparer l’association entre le certificat d’autorité de certification importée et la clé privée stockée dans le HSM. Sinon, sélectionnez Terminer pour fermer l’Assistant, puis sélectionnez OK pour confirmer que le certificat a été correctement importé.

8. Dans l’arborescence de la console, double-cliquez sur Certificats personnels, puis sélectionnez le certificat d’autorité de certification importé.

9. Dans le menu Action , sélectionnez Ouvrir. Sélectionnez l’onglet Détails , copiez le numéro de série dans le Presse-papiers, puis sélectionnez OK.

10. Ouvrez une fenêtre d’invite de commandes, tapez certutil –repairstore My« {Serialnumber} », puis appuyez sur Entrée.

Ajouter le service de rôle d’autorité de certification

Si votre serveur de destination est membre du domaine, vous devez utiliser un compte membre du groupe Administrateurs de domaine ou Administrateurs d’entreprise afin que l’Assistant Installation accède aux objets dans AD DS. Ajoutez le service de rôle d’autorité de certification à l’aide du Gestionnaire de serveur ou de PowerShell.

Pour ajouter le service de rôle d’autorité de certification à l’aide du Gestionnaire de serveur, procédez comme suit.

1. Connectez-vous au serveur de destination et démarrez le Gestionnaire de serveur.

2. Dans l’arborescence de la console, sélectionnez Rôles.

3. Dans le menu Action , sélectionnez Ajouter des rôles.

4. Si la page Avant de commencer s’affiche, sélectionnez Suivant.

5. Dans la page Sélectionner les rôles de serveur , cochez la case Services de certificats Active Directory , puis sélectionnez Suivant.

6. Dans la page Présentation d’AD CS , sélectionnez Suivant.

7. Dans la page Services de rôle , cochez la case Autorité de certification , puis sélectionnez Suivant.

   Note

   Si vous envisagez d’installer d’autres services de rôle sur le serveur de destination, vous devez d’abord effectuer l’installation de l’autorité de certification, puis installer d’autres services de rôle séparément. Les procédures d’installation pour d’autres services de rôle AD CS ne sont pas décrites dans ce guide.

8. Dans la page Spécifier le type d’installation, spécifiezEnterprise ou Autonome, pour correspondre à l’autorité de certification source, puis sélectionnez Suivant.

9. Dans la page Spécifier le type d’autorité de certification, spécifiez l’autorité de certification racine ou l’autorité de certification secondaire pour qu’elle corresponde à l’autorité de certification source, puis sélectionnez Suivant.

10. Dans la page Configurer une clé privée, sélectionnez Utiliser une clé privée existante et sélectionnez un certificat et utilisez sa clé privée associée.

    Note

    Si un HSM est utilisé par l’autorité de certification, sélectionnez la clé privée en suivant les procédures fournies par le fournisseur HSM.

11. Dans la liste Certificats , sélectionnez le certificat d’autorité de certification importé, puis sélectionnez Suivant.

12. Dans la page Base de données d’autorité de certification, spécifiez les emplacements de la base de données d’autorité de certification et des fichiers journaux.

13. Dans la page Confirmation , passez en revue les messages, puis sélectionnez Configurer.

14. Si vous effectuez une migration vers un cluster de basculement, arrêtez le service Services de certificats Active Directory (Certsvc) et le service HSM si votre autorité de certification utilise un HSM. Répétez ensuite les procédures pour importer le certificat d’autorité de certification et ajouter le service de rôle d’autorité de certification sur d’autres nœuds de cluster.

Si vous souhaitez installer le service de rôle d’autorité de certification à l’aide de PowerShell, utilisez l’applet de commande Install-AdcsCertificationAuthority .

Restaurer l’autorité de certification

Maintenant, il est temps de commencer à restaurer l’autorité de certification. Restaurez la base de données d’autorité de certification, les paramètres du Registre d’autorité de certification et la liste des modèles de certificat si nécessaire.

Restaurer la base de données et la configuration de l’autorité de certification sur le serveur de destination

Les procédures de cette section doivent être effectuées uniquement une fois que le service de rôle d’autorité de certification a été installé sur le serveur de destination.

Si vous effectuez une migration vers un cluster de basculement, ajoutez le service de rôle Autorité de certification à tous les nœuds du cluster avant de restaurer la base de données de l'autorité de certification. La base de données de l’autorité de certification doit être restaurée sur un seul nœud de cluster et doit se trouver sur le stockage partagé.

La restauration de la sauvegarde de l'autorité de certification source passe par les tâches suivantes :

• Restaurer la base de données d’autorité de certification source sur le serveur de destination
• Restaurer les paramètres de Registre d’autorité de certification source sur le serveur de destination
• Vérifier les extensions de certificat sur l’autorité de certification de destination
• Restaurer la liste des modèles de certificat (obligatoire uniquement pour les autorités de certification d’entreprise)

Restaurer la base de données d’autorité de certification source sur le serveur de destination

Cette section décrit différentes procédures pour restaurer la sauvegarde de la base de données d’autorité de certification source sur le serveur de destination à l’aide du composant logiciel enfichable Autorité de certification, de PowerShell ou de Certutil.

Si vous effectuez une migration vers une installation Server Core, vous devez utiliser Certutil PowerShell. Il est possible de gérer à distance une autorité de certification s’exécutant sur une installation Server Core à l’aide du composant logiciel enfichable Autorité de certification et du Gestionnaire de serveur. Toutefois, il est uniquement possible de restaurer une base de données d’autorité de certification à distance à l’aide de Windows PowerShell.

Si vous effectuez une migration vers un cluster de basculement, vérifiez que le stockage partagé est en ligne et restaurez la base de données de l'autorité de certification sur un seul nœud de cluster.

Restaurer les paramètres de Registre d’autorité de certification source sur le serveur de destination

Les informations de configuration de l’autorité de certification sont stockées dans le Registre dans :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Avant d’importer les paramètres du Registre à partir de l’autorité de certification source vers l’autorité de certification cible, veillez à créer une sauvegarde de la configuration du Registre d’autorité de certification cible par défaut. Veillez à effectuer ces étapes sur l’autorité de certification cible et à nommer le fichier de Registre un nom tel que « DefaultRegCfgBackup.reg » pour éviter toute confusion.

Un moyen suggéré d’effectuer l’importation de configuration du Registre consiste d’abord à ouvrir le fichier de Registre que vous avez exporté à partir de l’autorité de certification source dans un éditeur de texte et à l’analyser pour les paramètres qui peuvent avoir besoin d’être modifiés ou supprimés.

Analyser le fichier de Registre

1. Cliquez avec le bouton droit sur le fichier texte .reg créé en exportant les paramètres à partir de l’autorité de certification source.

2. Sélectionnez Modifier pour ouvrir le fichier dans un éditeur de texte.

3. Si le nom de l’ordinateur de l’autorité de certification cible est différent du nom d’ordinateur de l’autorité de certification source, recherchez le nom d’hôte de l’ordinateur d’autorité de certification source. Pour chaque instance du nom d’hôte trouvé, vérifiez qu’il s’agit de la valeur appropriée pour l’environnement cible. Modifiez le nom d’hôte, si nécessaire. Mettez à jour la valeur CAServerName .

4. Vérifiez toutes les valeurs de Registre qui indiquent des chemins d’accès de fichiers locaux, pour vous assurer que les noms (lettres) et chemins d’accès de lecteur sont corrects pour l’autorité de certification cible. S’il existe une incompatibilité entre la source et l’autorité de certification cible, mettez à jour les valeurs du fichier ou supprimez-les du fichier afin que les paramètres par défaut soient conservés sur l’autorité de certification cible.

Supprimez les valeurs de Registre que vous ne souhaitez pas importer dans l’autorité de certification cible. Une fois le fichier texte .reg modifié, il peut être importé dans l’autorité de certification cible. L'importation de la sauvegarde des paramètres de Registre du serveur source sur le serveur de destination permet de migrer la configuration de l'autorité de certification source vers le serveur de destination.

Importer la sauvegarde du Registre d’autorité de certification source sur l’autorité de certification de destination

1. Connectez-vous au serveur de destination en tant que membre du groupe Administrateurs local.

2. Ouvrez une fenêtre d’invite de commandes.

3. Tapez net stop certsvc et appuyez sur Entrée.

4. Tapez reg import « Registry Settings Backup.reg » (Paramètres du Registre Backup.reg), puis appuyez sur Entrée.

Modifier les paramètres du Registre d’autorité de certification

1. Sélectionnez Démarrer, tapez regedit.exe dans la zone Rechercher des programmes et des fichiers , puis appuyez sur Entrée pour ouvrir l’Éditeur du Registre.

2. Dans l’arborescence de la console, recherchez la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration, puis sélectionnez Configuration.

3. Dans le volet d’informations, double-cliquez sur DBSessionCount.

4. Sélectionnez Hexadecimal. Dans les données Value, tapez 64, puis sélectionnez OK.

5. Vérifiez que les emplacements spécifiés dans les paramètres suivants sont corrects pour votre serveur de destination et modifiez-les si nécessaire pour indiquer l’emplacement de la base de données d’autorité de certification et des fichiers journaux.

   • DBDirectory

   • DBLogDirectory

   • DBSystemDirectory

   • DBTempDirectory

   Important

   Effectuez les étapes 6 à 8 uniquement si le nom de votre serveur de destination est différent du nom de votre serveur source.

6. Dans l’arborescence de la console de l’éditeur de Registre, développez Configuration et sélectionnez votre nom d’autorité de certification.

7. Modifiez les valeurs des paramètres de Registre suivants en remplaçant le nom du serveur source par le nom du serveur de destination.

   Note

   Dans la liste suivante, les valeurs CACertFileName et ConfigurationDirectory sont créées uniquement lorsque certaines options d’installation de l’autorité de certification sont spécifiées. Si ces deux paramètres ne sont pas affichés, vous pouvez passer à l’étape suivante.

   • CAServerName

   • CACertFileName

   • ConfigurationDirectory : cette valeur doit apparaître dans le Registre Windows sous l’emplacement suivant : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

Vérifier les extensions de certificat sur l’autorité de certification de destination

Les étapes décrites pour importer les paramètres du Registre d’autorité de certification source et modifier le Registre s’il existe une modification de nom de serveur sont destinées à conserver les emplacements réseau utilisés par l’autorité de certification source pour publier des listes de certification et des certificats d’autorité de certification. Si l'autorité de certification source a été publiée aux emplacements Active Directory par défaut, à l'issue de la procédure précédente, il doit y avoir une extension avec des options de publication activées et une URL LDAP qui fait référence au nom NetBIOS du serveur source ; par exemple, ldap:///CN=<NomTronquéAutoritéCert><SuffixeNomListeRévocationCert>,CN=<NomCourtServer>,CN=CDP,CN=Public Key Services,CN=Services,<ConteneurConfiguration><ClasseObjetCDP>.

Étant donné que de nombreux administrateurs configurent des extensions personnalisées pour leur environnement réseau, il n'est pas possible de fournir des instructions exactes pour configurer l'extension de point de distribution de liste de révocation de certificats et l'extension d'accès aux informations de l'autorité.

Examinez attentivement les emplacements configurés et les options de publication et vérifiez que les extensions sont correctes en fonction des exigences de votre organisation.

Vérifiez les extensions à l'aide du composant logiciel enfichable Autorité de certification

1. Passez en revue et modifiez les points de distribution de la liste de révocation (CRL) et les extensions d'accès aux informations de l'autorité ainsi que les options de publication en suivant des exemples de procédures décrits dans Spécifier des points de distribution de la liste de révocation (https://go.microsoft.com/fwlink/?LinkID=145848).

2. Si le nom du serveur de destination est différent du nom du serveur source, ajoutez une URL LDAP spécifiant un emplacement qui référence le nom NetBIOS du serveur de destination avec la variable <de substitution ServerShortName> ; par exemple ldap:///CN=\<CATruncatedName\>\<CRLNameSuffix\>,CN=\<ServerShortName\>,CN=CDP,CN=Public Key Services,CN=Services,\<ConfigurationContainer\>\<CDPObjectClass\>.

3. Assurez-vous que les options de point de distribution de la liste de révocation de certificats (CDP) sont définies de façon à ce que l’emplacement du CDP précédent ne soit pas inclus dans l’extension CDP de certificats nouvellement émis ou dans l’extension de liste de révocation de certificats la plus récente des listes de révocation de certificats.

Restaurer la liste des modèles de certificat

La procédure suivante est requise uniquement pour une autorité de certification d’entreprise. Une autorité de certification autonome n’a pas de modèles de certificat.

Affecter des modèles de certificat à l’autorité de certification de destination

1. Ouvrez une session avec des informations d'identification d'administration sur l'autorité de certification de destination.

2. Ouvrir une fenêtre d’invite de commandes.

3. Type : certutil -setcatemplates + <templatelist> et appuyez sur Entrée.

   Note

   Remplacez la liste de modèles par une liste séparée par des virgules des noms de modèles répertoriés dans le fichier catemplates.txt créé lors de la procédure « Pour enregistrer une liste de modèles d’autorité de certification à l’aide de Certutil.exe». Par exemple, certutil -setcatemplates +Administrator,User,DomainController.

Accorder des autorisations sur les conteneurs AIA et CDP

Si le nom du serveur de destination est différent du serveur source, le serveur de destination doit recevoir des autorisations sur les conteneurs CDP et AIA du serveur source dans AD DS pour publier des certificats crls et d’autorité de certification. Effectuez la procédure suivante en cas de modification du nom du serveur.

Accorder des autorisations sur les conteneurs AIA et CDP

1. Ouvrez une session en tant que membre du groupe Administrateurs de l'entreprise sur un ordinateur où est installé le composant logiciel enfichable Sites et services Active Directory. Pour accéder aux sites et services Active Directory (dssite.msc).

2. Dans l’arborescence de la console, sélectionnez le nœud supérieur.

3. Dans le menu Affichage , sélectionnez Afficher le nœud Services.

4. Dans l’arborescence de la console, développez Services, développez Services publics, puis sélectionnez AIA.

5. Dans le volet d’informations, cliquez avec le bouton droit sur le nom de l’autorité de certification, puis sélectionnez Propriétés.

6. Sélectionnez l’onglet Sécurité , puis sélectionnez Ajouter.

7. Sélectionnez Types d’objets, sélectionnez Ordinateurs, puis OK.

8. Tapez le nom de l’autorité de certification, puis sélectionnez OK.

9. Dans la colonne Autoriser , sélectionnez Contrôle total, puis sélectionnez Appliquer.

10. L’objet d’ordinateur d’autorité de certification précédent s’affiche (en tant que compte inconnu avec un identificateur de sécurité qui suit) dans les noms de groupe ou d’utilisateur. Vous pouvez supprimer ce compte. Pour ce faire, sélectionnez-le, puis sélectionnez Supprimer. Cliquez sur OK.

11. Dans l’arborescence de la console, développez CDP, puis sélectionnez le dossier portant le même nom que l’autorité de certification.

12. Dans le volet d’informations, cliquez avec le bouton droit sur l’élément CRLDistributionPoint en haut de la liste, puis sélectionnez Propriétés.

13. Sélectionnez l’onglet Sécurité , puis sélectionnez Ajouter.

14. Sélectionnez Types d’objets, sélectionnez Ordinateurs, puis OK.

15. Tapez le nom du serveur de destination, puis sélectionnez OK.

16. Dans la colonne Autoriser , sélectionnez Contrôle total, puis sélectionnez Appliquer.

17. L’objet d’ordinateur d’autorité de certification précédent s’affiche (en tant que compte inconnu avec un identificateur de sécurité qui suit) dans les noms de groupe ou d’utilisateur. Vous pouvez supprimer ce compte. Pour ce faire, sélectionnez-le, puis sélectionnez Supprimer. sélectionnez OK.

18. Répétez les étapes 13 à 18 pour chaque élément CRLDistributionPoint .

Procédures supplémentaires pour le clustering avec basculement

Si vous migrez vers un cluster de basculement, effectuez les procédures suivantes après que les paramètres de Registre et de base de données de l'autorité de certification ont été migrés vers le serveur de destination.

• Configurez le clustering avec basculement pour l'autorité de certification de destination
• Octroyez des autorisations sur les conteneurs de clé publique
• Modifier le nom DNS d’une autorité de certification en cluster dans AD DS
• Configurez les points de distribution de liste de révocation de certificats pour les clusters de basculement

Configurez le clustering avec basculement pour l'autorité de certification de destination

Si vous migrez vers un cluster de basculement, effectuez les procédures suivantes afin de configurer le clustering avec basculement pour les services de certificats Active Directory (AD CS).

Configurer AD CS en tant que ressource de cluster

1. Sélectionnez Démarrer, pointez sur Exécuter, tapez Cluadmin.msc, puis sélectionnez OK.

2. Dans l'arborescence de la console du composant logiciel enfichable Gestion du cluster de basculement, sélectionnez Services et applications.

3. Dans le menu Action , sélectionnez Configurer un service ou une application. Si la page Avant de commencer s’affiche, sélectionnez Suivant.

4. Dans la liste des services et applications, sélectionnez Service générique, puis Sélectionnez Suivant.

5. Dans la liste des services, sélectionnez Services de certificats Active Directory, puis sélectionnez Suivant.

6. Spécifiez un nom de service, puis sélectionnez Suivant.

7. Sélectionnez le stockage de disque qui est toujours monté sur le nœud, puis sélectionnez Suivant.

8. Pour configurer une ruche de Registre partagé, sélectionnez Ajouter, tapez SYSTEM\CurrentControlSet\Services\CertSvc, puis sélectionnez OK. Sélectionnez Suivant deux fois.

9. Sélectionnez Terminer pour terminer la configuration de basculement pour AD CS.

10. Dans l’arborescence de la console, double-cliquez sur Services et applications, puis sélectionnez le service en cluster nouvellement créé.

11. Dans le volet d’informations, sélectionnez Service générique. Dans le menu Action , sélectionnez Propriétés.

12. Modifiez le nom de la ressource en autorité de certification, puis sélectionnez OK.

Si vous utilisez un module de sécurité matériel (HSM) pour votre autorité de certification, procédez comme suit.

Pour créer une dépendance entre une autorité de certification et le service HSM réseau

1. Ouvrez le module Gestion du cluster de basculement. Dans l’arborescence de la console, sélectionnez Services et applications.

2. Dans le volet d’informations, sélectionnez le nom créé précédemment du service en cluster.

3. Dans le menu Action , sélectionnez Ajouter une ressource, puis sélectionnez Service générique.

4. Dans la liste des services disponibles affichés par l’Assistant Nouvelle ressource , sélectionnez le nom du service installé pour vous connecter à votre HSM réseau. Sélectionnez Suivant deux fois, puis sélectionnez Terminer.

5. Sous Services et applications dans l’arborescence de la console, sélectionnez le nom des services en cluster.

6. Dans le volet d’informations, sélectionnez le service générique nouvellement créé. Dans le menu Action , sélectionnez Propriétés.

7. Sous l’onglet Général , modifiez le nom du service si vous le souhaitez, puis sélectionnez OK. Vérifiez que le service est en ligne.

8. Dans le volet d’informations, sélectionnez le service précédemment nommé Autorité de certification. Dans le menu Action , sélectionnez Propriétés.

9. Sous l’onglet Dépendances , sélectionnez Insérer, sélectionnez le service HSM réseau dans la liste, puis sélectionnez OK.

Octroyez des autorisations sur les conteneurs de clé publique

Si vous migrez vers un cluster de basculement, effectuez les procédures suivantes pour accorder à tous les nœuds du cluster des autorisations sur les conteneurs AD DS suivants :

• Conteneur AIA
• Conteneur Enrollment
• Conteneur KRA

Accorder des autorisations sur des conteneurs de clés publiques dans AD DS

1. Connectez-vous à un ordinateur membre de domaine en tant que membre du groupe Administrateurs du domaine ou du groupe Administrateurs d’entreprise.

2. Sélectionnez Démarrer, pointez sur Exécuter, tapez dssite.msc, puis sélectionnez OK.

3. Dans l’arborescence de la console, sélectionnez le nœud supérieur.

4. Dans le menu Affichage , sélectionnez Afficher le nœud Services.

5. Dans l’arborescence de la console, développez Services, puis Services à clé publique, puis sélectionnez AIA.

6. Dans le volet d’informations, cliquez avec le bouton droit sur le nom de l’autorité de certification source, puis sélectionnez Propriétés.

7. Sélectionnez l’onglet Sécurité , puis sélectionnez Ajouter.

8. Sélectionnez Types d’objets, sélectionnez Ordinateurs, puis OK.

9. Tapez les noms de compte d’ordinateur de tous les nœuds de cluster, puis sélectionnez OK.

10. Dans la colonne Autoriser , cochez la case Contrôle total en regard de chaque nœud de cluster, puis sélectionnez OK.

11. Dans l’arborescence de la console, sélectionnez Services d’inscription.

12. Dans le volet d’informations, cliquez avec le bouton droit sur le nom de l’autorité de certification source, puis sélectionnez Propriétés.

13. Sélectionnez l’onglet Sécurité , puis sélectionnez Ajouter.

14. Sélectionnez Types d’objets, sélectionnez Ordinateurs, puis OK.

15. Tapez les noms de compte d’ordinateur de tous les nœuds de cluster, puis sélectionnez OK.

16. Dans la colonne Autoriser , cochez la case Contrôle total en regard de chaque nœud de cluster, puis sélectionnez OK.

17. Dans l’arborescence de la console, sélectionnez KRA.

18. Dans le volet d’informations, cliquez avec le bouton droit sur le nom de l’autorité de certification source, puis sélectionnez Propriétés.

19. Sélectionnez l’onglet Sécurité , puis sélectionnez Ajouter.

20. Sélectionnez Types d’objets, sélectionnez Ordinateurs, puis OK.

21. Tapez les noms de tous les nœuds de cluster, puis sélectionnez OK.

22. Dans la colonne Autoriser , cochez la case Contrôle total en regard de chaque nœud de cluster, puis sélectionnez OK.

Modifier le nom DNS d’une autorité de certification en cluster dans AD DS

Lorsque le service d’autorité de certification a été installé sur le premier nœud de cluster, l’objet Services d’inscription a été créé et le nom DNS de ce nœud de cluster a été ajouté à l’attribut dNSHostName de l’objet Services d’inscription. Étant donné que l’autorité de certification doit fonctionner sur tous les nœuds de cluster, la valeur de l’attribut dNSHostName de l’objet Enrollment Services doit être le nom de service spécifié à l’étape 6 de la procédure « Pour configurer AD CS en tant que ressource de cluster ».

Si vous migrez vers une autorité de certification en cluster, procédez comme suit sur le nœud de cluster actif. Il est nécessaire d’effectuer la procédure sur un seul nœud de cluster.

Modifier le nom DNS d’une autorité de certification en cluster dans AD DS

1. Connectez-vous au nœud de cluster actif en tant que membre du groupe Administrateurs d’entreprise.

2. Sélectionnez Démarrer, pointez sur Exécuter, tapez adsiedit.msc, puis sélectionnez OK.

3. Dans l’arborescence de la console, sélectionnez ADSI Modifier.

4. Dans le menu Action, sélectionnez Se connecter.

5. Dans la liste des contextes de nommage connus, sélectionnez Configuration, puis OK.

6. Dans l’arborescence de la console, développez Configuration, Services et Services à clé publique, puis sélectionnez Services d’inscription.

7. Dans le volet d’informations, cliquez avec le bouton droit sur le nom de l’autorité de certification du cluster, puis sélectionnez Propriétés.

8. Sélectionnez dNSHostName, puis sélectionnez Modifier.

9. Tapez le nom de service de l'autorité de certification tel qu'il apparaît sous Gestion du cluster de basculement dans le composant logiciel enfichable Gestion du cluster de basculement et sélectionnez OK.

10. Sélectionnez OK pour enregistrer les modifications.

Configurez les points de distribution de liste de révocation de certificats pour les clusters de basculement

Dans la configuration par défaut d'une autorité de certification, le nom court du serveur est utilisé dans le cadre du point de distribution de la CRL et des emplacements d'accès aux informations de l'autorité.

Lorsqu'une autorité de certification s'exécute sur un cluster de basculement, le nom court du serveur doit être remplacé par le nom court du cluster dans les emplacements de point de distribution de liste de révocation de certificats et les emplacements d'accès aux informations de l'autorité. Pour publier la CRL dans AD DS, le conteneur du point de distribution de la CRL doit être ajouté manuellement.

Modifiez les points de distribution de liste de révocation de certificats configurés

1. Connectez-vous au nœud de cluster actif en tant que membre du groupe Administrateurs local.

2. Sélectionnez Démarrer, sélectionner Exécuter, taper regedit, puis OK.

3. Recherchez la clé de Registre \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

4. Sélectionnez le nom de l’autorité de certification.

5. Dans le volet droit, double-cliquez sur CRLPublicationURLs.

6. Dans la deuxième ligne, remplacez %2 par le nom du service spécifié à l’étape 6 de la procédure « Pour configurer AD CS en tant que ressource de cluster ».

   Tip

   Ce nom de service apparaît également dans le composant logiciel enfichable Gestion du cluster de basculement, sous Services et applications.

7. Redémarrez le service d'autorité de certification.

8. Ouvrez une invite de commandes, tapez certutil -CRL, puis appuyez sur Entrée.

   Note

   Si un message d'erreur indiquant que l'objet annuaire est introuvable s'affiche, effectuez la procédure suivante pour créer le conteneur du point de distribution CRL dans AD DS.

Créer le conteneur de point de distribution CRL dans AD DS

1. À l’invite de commandes, tapez cd %windir%\System32\CertSrv\CertEnroll, puis appuyez sur Entrée. Le fichier CRL créé par la commande certutil –CRL doit se trouver dans ce répertoire.

2. Pour publier la liste de révocation de certificats dans AD DS, tapez certutil -f -dspublish"FichierCRL.crl", puis appuyez sur ENTRÉE.

Étape suivante

Après avoir effectué les procédures de migration de l’autorité de certification, vous devez suivre les procédures décrites dans Vérification de la migration de l’autorité de certification.