Freigeben über

So verschieben Sie eine Zertifizierungsstelle auf einen anderen Server

In diesem Artikel wird beschrieben, wie Sie eine Zertifizierungsstelle (Ca) auf einen anderen Server verschieben.

Ursprüngliche KB-Nummer: 298138

Notiz

Dieser Artikel bezieht sich auf Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. Der Support für Windows 2000 endete am 13. Juli 2010. Das Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung Ihrer Migrationsstrategie von Windows 2000. Der Support für Windows 2008 und 2008 R2 endete am 14. Januar 2020. Weitere Informationen finden Sie unter Microsoft Lifecycle-Richtlinie.

Übersicht

Zertifizierungsstellen (CAs) sind die zentrale Komponente der Public Key-Infrastruktur (PKI) einer Organisation. Die Zertifizierungsstellen sind für viele Jahre oder Jahrzehnte konfiguriert, während derer die Hardware, die die Zertifizierungsstelle hostet, wahrscheinlich aktualisiert wird.

Notiz

Um eine Zertifizierungsstelle von einem Server mit Windows 2000 Server auf einen Server zu verschieben, auf dem Windows Server 2003 ausgeführt wird, müssen Sie zuerst den Zertifizierungsstellenserver, auf dem Windows 2000 Server ausgeführt wird, auf Windows Server 2003 aktualisieren. Anschließend können Sie die in diesem Artikel beschriebenen Schritte ausführen.

Stellen Sie sicher, dass % Systemroot% des Zielservers mit dem %Systemroot% des Servers übereinstimmt, von dem die Systemstatussicherung übernommen wird.

Sie müssen den Pfad der Zertifizierungsstellendateien ändern, wenn Sie die Zertifizierungsstellenserverkomponenten installieren, damit sie dem Speicherort der Sicherung entsprechen. Wenn Sie beispielsweise aus dem Ordner "D:\Winnt\System32\Certlog " sichern, müssen Sie die Sicherung im Ordner "D:\Winnt\System32\Certlog " wiederherstellen. Sie können die Sicherung nicht im Ordner "C:\Winnt\System32\Certlog " wiederherstellen. Nachdem Sie die Sicherung wiederhergestellt haben, können Sie die Ca-Datenbankdateien an den Standardspeicherort verschieben.

Wenn Sie versuchen, die Sicherung wiederherzustellen, und die %Systemroot% der Sicherung und der Zielserver nicht übereinstimmen, erhalten Sie möglicherweise die folgende Fehlermeldung:

Die Wiederherstellung eines inkrementellen Bilds kann nicht ausgeführt werden, bevor Sie eine Wiederherstellung aus einem vollständigen Bild durchführen. Der Verzeichnisname ist ungültig. 0x8007010b (WIN32/HTTP:267)

Das Verschieben von Zertifikatdiensten von einem 32-Bit-Betriebssystem auf ein 64-Bit-Betriebssystem oder umgekehrt kann mit einer der folgenden Fehlermeldungen fehlschlagen:

Die erwarteten Daten sind in diesem Verzeichnis nicht vorhanden.

Die Wiederherstellung eines inkrementellen Bilds kann nicht ausgeführt werden, bevor eine Wiederherstellung aus einem vollständigen Image 0x8007010b (WIN32/HTTP:267) ausgeführt wird.

Datenbankformatänderungen von der 32-Bit-Version in die 64-Bit-Version führen zu Inkompatibilitäten, und die Wiederherstellung wird blockiert. Dies ähnelt dem Wechsel von Windows 2000 zur Windows Server 2003-Zertifizierungsstelle. Es gibt jedoch keinen Upgradepfad von einer 32-Bit-Version von Windows Server 2003 auf eine 64-Bit-Version. Daher können Sie eine vorhandene 32-Bit-Datenbank nicht in eine 64-Bit-Datenbank auf einem Windows Server 2003-basierten Computer verschieben. Sie können jedoch ein Upgrade von der Windows Server 2003-Zertifizierungsstelle (unter Windows Server 2003 x86) auf Windows Server 2008 R2 CA durchführen (unter Windows Server 2008 R2 x64 ausgeführt). Dieses Upgrade wird unterstützt.

Eine x64-basierte Version von Windows Server 2003 R2 CD2 aktualisiert nur 64-Bit-Versionen von Windows Server 2003, die auf der EM64T-Architektur oder auf der AMD64-Architektur basieren.

Sichern und Wiederherstellen der Schlüssel und Datenbank der Zertifizierungsstelle

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

  1. Beachten Sie die Zertifikatvorlagen, die im Ordner "Zertifikatvorlagen" im Snap-In der Zertifizierungsstelle konfiguriert sind. Die Zertifikatvorlageneinstellungen werden in Active Directory gespeichert. Sie werden nicht automatisch gesichert. Sie müssen die Zertifikatvorlageneinstellungen in der neuen Zertifizierungsstelle manuell konfigurieren, um denselben Satz von Vorlagen beizubehalten.

    Notiz

    Der Ordner "Zertifikatvorlagen" ist nur in einer Unternehmenszertifizierungsstelle vorhanden. Eigenständige Zertifizierungsstellen verwenden keine Zertifikatvorlagen. Daher gilt dieser Schritt nicht für eine eigenständige Zertifizierungsstelle.

  2. Verwenden Sie das Snap-In der Zertifizierungsstelle, um die Zertifizierungsstellendatenbank und den privaten Schlüssel zu sichern. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie im Snap-In der Zertifizierungsstelle mit der rechten Maustaste auf den Zertifizierungsstellennamen, klicken Sie auf " Alle Aufgaben", und klicken Sie dann auf "Zertifizierungsstelle sichern", um den Sicherungs-Assistenten der Zertifizierungsstelle zu starten.
    2. Klicken Sie auf "Weiter", und klicken Sie dann auf "Privater Schlüssel" und dann auf "Zertifikat der Zertifizierungsstelle".
    3. Klicken Sie auf Zertifikatdatenbank und Zertifikatdatenbankprotokoll.
    4. Verwenden Sie einen leeren Ordner als Sicherungsspeicherort. Stellen Sie sicher, dass auf den Sicherungsordner vom neuen Server zugegriffen werden kann.
    5. Klicken Sie auf Weiter. Wenn der angegebene Sicherungsordner nicht vorhanden ist, erstellt der Sicherungs-Assistent der Zertifizierungsstelle ihn.
    6. Geben Sie ein Kennwort für die Sicherungsdatei des privaten Schlüssels der Zertifizierungsstelle ein, und bestätigen Sie es dann.
    7. Klicken Sie auf "Weiter", und überprüfen Sie dann die Sicherungseinstellungen. Die folgenden Einstellungen sollten angezeigt werden:
      • Private Schlüssel und Zertifizierungsstellenzertifikat
      • Ausgestelltes Protokoll und ausstehende Anforderungen
    8. Klicken Sie auf Fertig stellen.

  3. Speichern Sie die Registrierungseinstellungen für diese Zertifizierungsstelle. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "regedit" in das Feld "Öffnen" ein, und klicken Sie dann auf "OK".
    2. Klicken Sie mit der rechten Maustaste auf den folgenden Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Klicken Sie auf Exportieren.
    4. Speichern Sie die Registrierungsdatei im Sicherungsordner der Zertifizierungsstelle, den Sie in Schritt 2d definiert haben.

    Notiz

    Standardmäßig ist Active Directory Certificate Services (AD CS) mit Zertifikatsperrlistenerweiterungen (CRL) konfiguriert, die den Hostnamen des Zertifizierungsstellencomputers im Pfad enthalten. Dies bedeutet, dass alle zertifikate, die vor der Migration von der Zertifizierungsstelle ausgestellt wurden, Zertifikatüberprüfungspfade mit dem alten Hostnamen enthalten können. Diese Pfade sind nach der Migration möglicherweise nicht mehr gültig. Um Sperrüberprüfungsfehler zu vermeiden, muss die neue Zertifizierungsstelle so konfiguriert werden, dass CRLs in den alten Pfaden (vor der Migration) und den neuen Pfaden veröffentlicht werden. Wenn Sie die alte Zertifizierungsstelle dauerhaft löschen müssen, können Sie der neuen Zertifizierungsstelle einen zweiten Computernamen hinzufügen. Bevor Sie dies tun können, muss der alte Computername in Active Directory verfügbar sein. An diesem Punkt können Sie der neuen Zertifizierungsstelle die CRL-Verteilungspunkte hinzufügen.

  4. Überprüfen Sie den CRL-Verteilungspunkt auf der alten Zertifizierungsstelle. Diese Einstellungen müssen in der neuen Zertifizierungsstelle konfiguriert werden.

    1. Öffnen Sie cmd.exe in der alten Zertifizierungsstelle.
    2. Geben Sie pkiview ein.
    3. Exportieren Sie die Konfiguration.

  5. Entfernen Sie Die Zertifikatdienste vom alten Server.

    Notiz

    In diesem Schritt werden Objekte aus Active Directory entfernt. Führen Sie diesen Schritt nicht aus der Reihenfolge aus. Wenn das Entfernen der Quellzertifizierungsstelle nach der Installation der Zielzertifizierungsstelle (Schritt 7 in diesem Abschnitt) durchgeführt wird, kann die Zielzertifizierungsstelle nicht mehr verwendet werden.

  6. Benennen Sie den alten Server um, oder trennen Sie ihn endgültig vom Netzwerk.

  7. Installieren Sie Zertifikatdienste auf dem neuen Server. Gehen Sie hierzu wie folgt vor.

    Notiz

    Der neue Server muss denselben Computernamen wie der alte Server haben.

    1. Doppelklicken Sie in Systemsteuerung auf "Programme hinzufügen oder entfernen".
    2. Klicken Sie auf "Windows-Komponenten hinzufügen/entfernen", klicken Sie im Assistenten für Windows-Komponenten auf "Zertifikatdienste", und klicken Sie dann auf "Weiter".
    3. Klicken Sie im Dialogfeld "Ca Type " auf den entsprechenden Zertifizierungsstellentyp.
    4. Klicken Sie auf " Benutzerdefinierte Einstellungen verwenden", um das Schlüsselpaar und das Zertifizierungsstellenzertifikat zu generieren, und klicken Sie dann auf "Weiter".
    5. Klicken Sie auf "Importieren", geben Sie den Pfad der . Geben Sie im Sicherungsordner die P12-Datei ein, geben Sie das Kennwort ein, das Sie in Schritt 2f ausgewählt haben, und klicken Sie dann auf "OK".
    6. Überprüfen Sie im Dialogfeld "Öffentliches und Privates Schlüsselpaar ", ob vorhandene Schlüssel verwenden aktiviert ist.
    7. Klicken Sie zweimal auf "Weiter" .
    8. Übernehmen Sie die Standardeinstellungen für die Zertifikatdatenbankeinstellungen, klicken Sie auf "Weiter", und klicken Sie dann auf "Fertig stellen ", um die Installation der Zertifikatdienste abzuschließen.

    Wichtig

    Wenn der neue Server einen anderen Computernamen hat, führen Sie die folgenden Schritte aus:

    1. Doppelklicken Sie in Systemsteuerung auf "Programme hinzufügen oder entfernen".
    2. Klicken Sie auf "Windows-Komponenten hinzufügen/entfernen", klicken Sie im Assistenten für Windows-Komponenten auf "Zertifikatdienste", und klicken Sie dann auf "Weiter".
    3. Klicken Sie im Dialogfeld "Ca Type " auf den entsprechenden Zertifizierungsstellentyp.
    4. Klicken Sie auf " Benutzerdefinierte Einstellungen verwenden", um das Schlüsselpaar und das Zertifizierungsstellenzertifikat zu generieren, und klicken Sie dann auf "Weiter".
    5. Klicken Sie auf "Importieren", geben Sie den Pfad der . Geben Sie im Sicherungsordner die P12-Datei ein, geben Sie das Kennwort ein, das Sie in Schritt 2f ausgewählt haben, und klicken Sie dann auf "OK".
    6. Überprüfen Sie im Dialogfeld "Öffentliches und Privates Schlüsselpaar ", ob vorhandene Schlüssel verwenden aktiviert ist.
    7. Klicken Sie zweimal auf "Weiter" .
    8. Übernehmen Sie die Standardeinstellungen für die Zertifikatdatenbankeinstellungen, klicken Sie auf "Weiter", und klicken Sie dann auf "Fertig stellen ", um die Installation der Zertifikatdienste abzuschließen.
    9. Ändern Sie den zuvor exportierten Registrierungsschlüssel in Schritt 3 wie folgt:
      1. Klicken Sie mit der rechten Maustaste auf den exportierten Schlüssel.
      2. Bearbeiten.
      3. Ersetzen Sie den CaServerName-Wert durch den neuen Servernamen.
      4. Speichern und schließen.

  8. Beenden Sie den Zertifikatdienst.

  9. Suchen Sie die Registrierungsdatei, die Sie in Schritt 3 gespeichert haben, und doppelklicken Sie dann darauf, um die Registrierungseinstellungen zu importieren. Wenn sich der Pfad, der im Registrierungsexport von der alten Zertifizierungsstelle angezeigt wird, vom neuen Pfad unterscheidet, müssen Sie den Registrierungsexport entsprechend anpassen. Standardmäßig lautet der neue Pfad "C:\Windows " in Windows Server 2003.

  10. Verwenden Sie das Snap-In der Zertifizierungsstelle, um die Zertifizierungsstellendatenbank wiederherzustellen. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie im Snap-In der Zertifizierungsstelle mit der rechten Maustaste auf den Zertifizierungsstellennamen, klicken Sie auf " Alle Aufgaben", und klicken Sie dann auf " Zertifizierungsstelle wiederherstellen".

      Der Assistent für die Wiederherstellung der Zertifizierungsstelle wird gestartet.

    2. Klicken Sie auf "Weiter", und klicken Sie dann auf "Privater Schlüssel" und dann auf "Zertifikat der Zertifizierungsstelle".

    3. Klicken Sie auf Zertifikatdatenbank und Zertifikatdatenbankprotokoll.

    4. Geben Sie den Speicherort des Sicherungsordners ein, und klicken Sie dann auf "Weiter".

    5. Überprüfen Sie die Sicherungseinstellungen. Die Einstellungen "Ausgestelltes Protokoll " und "Ausstehende Anforderungen " sollten angezeigt werden.

    6. Klicken Sie auf "Fertig stellen", und klicken Sie dann auf "Ja", um die Zertifikatdienste neu zu starten, wenn die Zertifizierungsstellendatenbank wiederhergestellt wird.

    Möglicherweise erhalten Sie während des Wiederherstellungs-Zertifizierungsstellenvorgangs den folgenden Fehler, wenn sich der Sicherungsordner der Zertifizierungsstelle nicht im richtigen Ordnerstrukturformat befindet:

    ---------------------------
    Microsoft-Zertifikatdienste
    ---------------------------

    Die erwarteten Daten sind in diesem Verzeichnis nicht vorhanden.
    Wählen Sie ein anderes Verzeichnis aus. Der Verzeichnisname ist ungültig. 0x8007010b (WIN32/HTTP: 267)

    Die richtige Ordnerstruktur lautet wie folgt:

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    Dabei ist C:\Ca_Backup der Ordner, den Sie während der Phase der Sicherungszertifizierungsstelle in Schritt 2 ausgewählt haben.

  11. Fügen Sie im Snap-In der Zertifizierungsstelle Zertifikatvorlagen manuell hinzu, oder entfernen Sie sie, um die Zertifikatvorlageneinstellungen zu duplizieren, die Sie in Schritt 1 angegeben haben.

Notiz

Wenn Beim Veröffentlichen neuer Vorlagen oder benutzerdefinierter Vorlagen Probleme auftreten, führen Sie die folgenden Schritte aus.

  1. Von einem Domänencontroller in der Gesamtstruktur , in dem Sie die Ca-Rolle migriert haben, starten ADSI-Bearbeitung.
  2. Klicken Sie mit der rechten Maustaste auf ADSI Edit -> Verbinden mit - > Wählen Sie unter "Konfiguration" einen bekannten Namenskontext aus –> OK.
  3. Navigieren Sie zu CN=Konfiguration | CN=Services | CN=Public Key Services | CN=Enrollment Services.
  4. Klicken Sie im rechten Bereich mit der rechten Maustaste auf die Zertifizierungsstelle, aus der Sie sich registrieren möchten, und klicken Sie dann auf "Eigenschaften". Suchen Sie das Attribut "Flags ", und stellen Sie sicher, dass es auf 10 festgelegt ist.
  5. Andernfalls legen Sie sie auf 10 fest, und warten oder erzwingen Sie die Active Directory-Replikation manuell.
  6. Schließen Sie ADSI-Bearbeitung, und stellen Sie sicher, dass Sie jetzt Ihre neuen Vorlagen veröffentlichen können.

Sichern und Wiederherstellen der Zertifizierungsstellenschlüssel und -datenbank in Windows 2000 Server

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

  1. Beachten Sie die Zertifikatvorlagen, die im Ordner "Zertifikatvorlagen" im Snap-In der Zertifizierungsstelle konfiguriert sind. Die Zertifikatvorlageneinstellungen werden in Active Directory gespeichert. Sie werden nicht automatisch gesichert. Sie müssen die Zertifikatvorlageneinstellungen in der neuen Zertifizierungsstelle manuell konfigurieren, um denselben Satz von Vorlagen beizubehalten.

    Notiz

    Der Ordner "Zertifikatvorlagen" ist nur in einer Unternehmenszertifizierungsstelle vorhanden. Eigenständige Zertifizierungsstellen verwenden keine Zertifikatvorlagen. Daher gilt dieser Schritt nicht für eine eigenständige Zertifizierungsstelle.

  2. Verwenden Sie das Snap-In der Zertifizierungsstelle, um die Zertifizierungsstellendatenbank und den privaten Schlüssel zu sichern. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie im Snap-In der Zertifizierungsstelle mit der rechten Maustaste auf den Zertifizierungsstellennamen, klicken Sie auf " Alle Aufgaben", und klicken Sie dann auf "Zertifizierungsstelle sichern", um den Sicherungs-Assistenten der Zertifizierungsstelle zu starten.
    2. Klicken Sie auf "Weiter", und klicken Sie dann auf "Privater Schlüssel" und dann auf "Zertifikat der Zertifizierungsstelle".
    3. Klicken Sie auf ausgestelltes Zertifikatprotokoll und ausstehende Zertifikatanforderungswarteschlange.
    4. Verwenden Sie einen leeren Ordner als Sicherungsspeicherort. Stellen Sie sicher, dass auf den Sicherungsordner vom neuen Server zugegriffen werden kann.
    5. Klicken Sie auf Weiter. Wenn der angegebene Sicherungsordner nicht vorhanden ist, erstellt der Sicherungs-Assistent der Zertifizierungsstelle ihn.
    6. Geben Sie ein Kennwort für die Sicherungsdatei des privaten Schlüssels der Zertifizierungsstelle ein, und bestätigen Sie es dann.
    7. Klicken Sie zweimal auf "Weiter", und überprüfen Sie dann die Sicherungseinstellungen. Die folgenden Einstellungen sollten angezeigt werden:
      • Private Schlüssel und Zertifizierungsstellenzertifikat
      • Ausgestelltes Protokoll und ausstehende Anforderungen
    8. Klicken Sie auf Fertig stellen.

  3. Speichern Sie die Registrierungseinstellungen für diese Zertifizierungsstelle. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben im Feld Öffnen die Zeichenfolge regedit ein. Klicken Sie anschließend auf OK.
    2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann mit der rechten Maustaste auf den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Klicken Sie auf "Konfiguration", und klicken Sie dann im Menü "Registrierung" auf "Registrierungsdatei exportieren".
    4. Speichern Sie die Registrierungsdatei im Sicherungsordner der Zertifizierungsstelle, den Sie in Schritt 2d definiert haben.

  4. Überprüfen Sie den CRL-Verteilungspunkt auf der alten Zertifizierungsstelle. Diese Einstellungen müssen in der neuen Zertifizierungsstelle konfiguriert werden.

    1. Öffnen Sie cmd.exe in der alten Zertifizierungsstelle.
    2. Geben Sie pkiview ein.
    3. Exportieren Sie die Konfiguration.

  5. Entfernen Sie Die Zertifikatdienste vom alten Server.

    Notiz

    In diesem Schritt werden Objekte aus Active Directory entfernt. Führen Sie diesen Schritt nicht aus der Reihenfolge aus. Wenn das Entfernen der Quellzertifizierungsstelle nach der Installation der Zielzertifizierungsstelle (Schritt 7 in diesem Abschnitt) durchgeführt wird, kann die Zielzertifizierungsstelle nicht mehr verwendet werden.

  6. Benennen Sie den alten Server um, oder trennen Sie ihn endgültig vom Netzwerk.

  7. Installieren Sie Zertifikatdienste auf dem neuen Server. Gehen Sie hierzu wie folgt vor.

    Notiz

    Der neue Server muss denselben Computernamen wie der alte Server haben.

    1. Doppelklicken Sie in Systemsteuerung auf "Programme hinzufügen/entfernen".
    2. Klicken Sie auf "Windows-Komponenten hinzufügen/entfernen", klicken Sie im Assistenten für Windows-Komponenten auf "Zertifikatdienste", und klicken Sie dann auf "Weiter".
    3. Klicken Sie im Dialogfeld "Zertifizierungsstellentyp " auf den entsprechenden Zertifizierungsstellentyp.
    4. Klicken Sie auf "Erweiterte Optionen", und klicken Sie dann auf "Weiter".
    5. Klicken Sie im Dialogfeld "Öffentliches und Privates Schlüsselpaar " auf "Vorhandene Schlüssel verwenden", und klicken Sie dann auf " Importieren".
    6. Geben Sie den Pfad der . Geben Sie im Sicherungsordner die P12-Datei ein, geben Sie das Kennwort ein, das Sie in Schritt 2f ausgewählt haben, und klicken Sie dann auf "OK".
    7. Klicken Sie auf "Weiter", geben Sie ggf. eine Ca-Beschreibung ein, und klicken Sie dann auf "Weiter".
    8. Übernehmen Sie die Standardeinstellungen für den Datenspeicherort, klicken Sie auf "Weiter", und klicken Sie dann auf "Fertig stellen ", um die Installation der Zertifikatdienste abzuschließen.

  8. Beenden Sie den Zertifikatdienst.

  9. Suchen Sie die Registrierungsdatei, die Sie in Schritt 3 gespeichert haben, und doppelklicken Sie dann darauf, um die Registrierungseinstellungen zu importieren.

  10. Verwenden Sie das Snap-In der Zertifizierungsstelle, um die Zertifizierungsstellendatenbank wiederherzustellen. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie im Snap-In der Zertifizierungsstelle mit der rechten Maustaste auf den Zertifizierungsstellennamen, klicken Sie auf " Alle Aufgaben", und klicken Sie dann auf " Zertifizierungsstelle wiederherstellen".

      Der Assistent für die Wiederherstellung der Zertifizierungsstelle wird gestartet.

    2. Klicken Sie auf Weiter, und klicken Sie dann auf ausgestelltes Zertifikatprotokoll und ausstehende Zertifikatanforderungswarteschlange.

    3. Geben Sie den Speicherort des Sicherungsordners ein, und klicken Sie dann auf "Weiter".

    4. Überprüfen Sie die Sicherungseinstellungen. Die folgenden Einstellungen sollten angezeigt werden:

      • Ausgestelltes Protokoll
      • Ausstehende Anforderungen

    5. Klicken Sie auf "Fertig stellen", und klicken Sie dann auf "Ja", um die Zertifikatdienste neu zu starten, wenn die Zertifizierungsstellendatenbank wiederhergestellt wird.

  11. Fügen Sie im Snap-In der Zertifizierungsstelle Zertifikatvorlagen manuell hinzu, oder entfernen Sie sie, um die Zertifikatvorlageneinstellungen zu duplizieren, die Sie in Schritt 1 angegeben haben.

Weitere Informationen

Weitere Informationen zu Upgrade- und Migrationsszenarien für Windows Server 2003 und Windows Server 2008 finden Sie im Whitepaper "Upgrade- und Migrationshandbuch für Active Directory-Zertifikatdienste". Informationen zum Whitepaper finden Sie im Upgrade- und Migrationshandbuch für Active Directory-Zertifikatdienste.