Migrieren der Zertifizierungsstelle

Durch die Migration einer Zertifizierungsstelle wird die Kontinuität der Zertifikatdienste Ihrer Organisation sichergestellt. Diese Anleitung enthält schrittweise Anleitungen und bewährte Methoden für die erfolgreiche Migration einer Zertifizierungsstelle. Es behandelt wichtige Aufgaben wie das Sichern der Zertifizierungsstelle-Datenbank und des privaten Schlüssels, das Entfernen des Zertifizierungsstellenrollendiensts vom Quellserver und das Wiederherstellen der Zertifizierungsstelle auf dem Zielserver. Unabhängig davon, ob Sie das Snap-In der Zertifizierungsstelle, Windows PowerShell oder Befehlszeilentools wie Certutil verwenden, bietet dieses Handbuch detaillierte Schritte, die auf verschiedene Migrationsszenarien zugeschnitten sind. Befolgen Sie diese Anweisungen, um einen reibungslosen und sicheren Migrationsprozess sicherzustellen.

Prerequisites

Stellen Sie vor der Migration Ihrer Zertifizierungsstelle sicher, dass die folgenden Voraussetzungen erfüllt sind.

Sie benötigen Folgendes:

• Administrativer Zugriff für die Quell- und Zielserver. Stellen Sie für Unternehmens-CAs sicher, dass Sie Mitglied der Gruppe "Unternehmensadministratoren" oder "Domänenadministratoren" sind.
• Zugriff auf Tools wie das Snap-In der Zertifizierungsstelle, PowerShell oder Certutil zum Ausführen von Sicherungen und Wiederherstellungen.
• Ein sicherer und barrierefreier Speicherort zum Speichern von Sicherungsdateien. Stellen Sie sicher, dass der Speicherort vor unbefugtem Zugriff geschützt ist.
• Netzwerkkonnektivität zwischen den Quell- und Zielservern.
• Für Failoverclustering:
  • Freigegebener Speicher ist konfiguriert und zugänglich.
  • Clusterknoten, die ordnungsgemäß eingerichtet sind, und für die Berechtigungen erteilt wurden.

Durch Die Erfüllung dieser Voraussetzungen können Sie eine reibungslose und sichere Migration Ihrer Zertifizierungsstelle sicherstellen.

Perform backups

Bevor Sie mit der Migration Ihrer Zertifizierungsstelle beginnen, sollten Sie zuerst Folgendes sichern:

• CA database
• Private key(s)
• CA Registrierungseinstellungen
• CAPolicy.inf file
• Zertifizierungsstellen-Vorlagenliste (nur für Unternehmenszertifizierungsstellen erforderlich)

Bevor Sie mit der Entfernung der Rolle „Zertifizierungsstelle“ fortfahren, sollten Sie auch eine Zertifikatssperrliste mit einem erweiterten Gültigkeitszeitraum veröffentlichen.

Sichern der CA-Datenbank und des privaten Schlüssels

Sie können die Zertifizierungsstellendatenbank und den privaten Schlüssel sichern, indem Sie das Zertifizierungsstellen-Snap-In, PowerShell oder certutil verwenden. Führen Sie eines der in diesem Abschnitt beschriebenen Sicherungsprozeduren aus, während Sie sich bei der Quellzertifizierungsstelle angemeldet haben.

Für dieses Verfahren muss das Konto eines Zertifizierungsstellenadministrators verwendet werden. In einer Unternehmenszertifizierungsstelle umfasst die Standardkonfiguration für Zertifizierungsstellenadministratoren die lokale Gruppe "Administratoren", die Gruppe "Unternehmensadministratoren" und die Gruppe "Domänenadministratoren". In einer eigenständigen Zertifizierungsstelle umfasst die Standardkonfiguration für Zertifizierungsstellenadministratoren die lokale Gruppe "Administratoren".

Note

Wenn ein Hardwaresicherheitsmodul (Hardware Security Module, HSM) von der Zertifizierungsstelle verwendet wird, sichern Sie die privaten Schlüssel durch die folgenden Verfahren, die vom HSM-Anbieter bereitgestellt werden.

Nach Abschluss der Sicherungsschritte sollte der Active Directory-Zertifikatdienstedienst (Certsvc) beendet werden, um die Ausstellung weiterer Zertifikate zu verhindern. Bevor Sie den Zertifizierungsstellenrollendienst zum Zielserver hinzufügen, sollte der Zertifizierungsstellenrollendienst vom Quellserver entfernt werden.

Die während dieser Verfahren erstellten Sicherungsdateien sollten an demselben Speicherort gespeichert werden, um die Migration zu vereinfachen. Der Speicherort sollte vom Zielserver aus zugänglich sein.

Server Manager

In den folgenden Schritten wird beschrieben, wie Sie die Zertifizierungsstellendatenbank und den privaten Schlüssel sichern, indem Sie mit dem Server-Manager beginnen und das Snap-In der Zertifizierungsstelle verwenden.

1. Wählen Sie bei Bedarf einen Sicherungsspeicherort aus, und fügen Sie Medien an.

2. Melden Sie sich bei der Quellzertifizierungsstelle an.

3. From Server Manager, select Tools, then Certification Authority to open the snap-in.

4. Right-click the node with the CA name, point to All Tasks, and then select Back Up CA.

5. On the Welcome page of the CA Backup wizard, select Next.

6. Aktivieren Sie auf der Seite "Elemente zum Sichern" die Kontrollkästchen „Privater Schlüssel und CA-Zertifikat“ und „Zertifikatdatenbank und Zertifikatdatenbank-Protokoll“, geben Sie den Sicherungsspeicherort an, und wählen Sie dann „Weiter“ aus.

7. Geben Sie auf der Seite " Kennwort auswählen " ein Kennwort ein, um den privaten Schlüssel der Zertifizierungsstelle zu schützen, und wählen Sie "Weiter" aus.

8. Klicken Sie auf der Seite Fertigstellen des Sicherungs-Assistenten auf Fertig stellen.

9. Überprüfen Sie nach Abschluss der Sicherung die folgenden Dateien am angegebenen Speicherort:

   • CAName.p12 containing the CA certificate and private key

   • Database folder containing files certbkxp.dat, edb#####.log, and CAName.edb

10. Öffnen Sie ein Eingabeaufforderungsfenster, und geben Sie net stop certsvc ein, um den Active Directory-Zertifikatdienstedienst zu beenden.

11. Kopieren Sie alle Sicherungsdateien an einen Speicherort, auf den vom Zielserver zugegriffen werden kann, z. B. eine Netzwerkfreigabe oder Wechselmedien.

PowerShell

The following steps describe how to back up the CA database and private key by using the Backup-CARoleService cmdlet while logged on to the source CA.

1. Melden Sie sich mit lokalen Administratoranmeldeinformationen am Computer der Zertifizierungsstelle an.

2. Right- Windows PowerShell and select Run as Administrator.

3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   Backup-CARoleService –Path "BackupDirectoryPath"
   

4. Der Dienst muss beendet werden, um die Ausstellung weiterer Zertifikate zu verhindern. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   Stop-Service -Name "certsvc"
   

5. Überprüfen Sie nach Abschluss der Sicherung die folgenden Dateien am angegebenen Speicherort:

   • CAName.p12 containing the CA certificate and private key

   • Database folder containing files certbkxp.dat, edb#####.log, and CAName.edb

6. Kopieren Sie alle Sicherungsdateien an einen Speicherort, auf den vom Zielserver zugegriffen werden kann. Beispielsweise eine Netzwerkfreigabe oder Wechselmedien.

Certutil

The following procedure describes the steps to back up the CA database and private key by using Certutil.exe while logged on to the source CA. Certutil.exe ist ein Befehlszeilenprogramm, das als Teil der Zertifikatdienste installiert ist. Sie können certutil.exe verwenden, um Konfigurationsinformationen der Zertifizierungsstelle anzuzeigen, Zertifikatdienste zu konfigurieren und Zertifizierungsstellenkomponenten zu sichern und wiederherzustellen.

1. Melden Sie sich mit lokalen Administratoranmeldeinformationen am Computer der Zertifizierungsstelle an.

2. Öffnen Sie ein Eingabeaufforderungsfenster.

3. Geben Sie Folgendes ein: certutil –backupdb BackupDirectory und drücken Sie die EINGABETASTE.

4. Geben Sie certutil –backupkey BackupDirectory ein, und drücken Sie die Eingabetaste.

5. Geben Sie an der Eingabeaufforderung ein Kennwort ein, und drücken Sie die EINGABETASTE. Sie müssen eine Kopie des Kennworts aufbewahren, um während der Installation der Zertifizierungsstelle auf dem Zielserver auf den Schlüssel zuzugreifen.

6. Geben Sie Folgendes ein: net stop certsvc und drücken Sie die EINGABETASTE, um den Active Directory-Zertifikatdienstedienst zu beenden. Der Dienst muss beendet werden, um die Ausstellung weiterer Zertifikate zu verhindern.

7. Überprüfen Sie nach Abschluss der Sicherung die folgenden Dateien am angegebenen Speicherort:

   • CAName.p12 containing the CA certificate and private key

   • Database folder containing files certbkxp.dat, edb#####.log, and CAName.edb

8. Kopieren Sie alle Sicherungsdateien an einen Speicherort, auf den vom Zielserver zugegriffen werden kann, z. B. eine Netzwerkfreigabe oder Wechselmedien.

Sichern der Registrierungseinstellungen der Zertifizierungsstelle

Führen Sie eines der folgenden Verfahren aus, um die Registrierungseinstellungen der Zertifizierungsstelle zu sichern.

Die während des Sicherungsvorgangs erstellten Dateien sollten an demselben Speicherort wie die Datenbank- und privaten Schlüsselsicherungsdateien gespeichert werden, um die Migration zu vereinfachen. Der Speicherort muss auf dem Zielserver zugänglich sein, z. B. Wechselmedien oder ein freigegebener Ordner auf dem Zielserver oder einem anderen Domänenmitglied.

Sie müssen mit einem Konto, das Mitglied der lokalen Administratorgruppe ist, bei der Quellzertifizierungsstelle angemeldet sein.

Sichern der Registrierungseinstellungen der Zertifizierungsstelle mit „Regedit.exe“

1. Select Start, point to Run, and type regedit to open the Registry Editor.

2. In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc, right-click Configuration, and then select Export.

3. Specify a location and file name, and then select Save. Dadurch wird eine Registrierungsdatei erstellt, die die Zertifizierungsstellen-Konfigurationsdaten der Quellzertifizierungsstelle enthält.

4. Kopieren Sie die Registrierungsdatei an einen Speicherort, auf den vom Zielserver zugegriffen werden kann; z. B. einen freigegebenen Ordner oder Wechseldatenträger.

Sichern der Registrierungseinstellungen der Zertifizierungsstelle mit „Reg.exe“

1. Öffnen Sie ein Eingabeaufforderungsfenster.

2. Geben Sie reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration<output file>.reg ein, und drücken Sie die EINGABETASTE.

3. Kopieren Sie die Registrierungsdatei an einen Speicherort, auf den vom Zielserver zugegriffen werden kann; z. B. einen freigegebenen Ordner oder Wechseldatenträger.

Sichern von „CAPolicy.inf“

Wenn Ihre Quellzertifizierungsstelle eine benutzerdefinierte CAPolicy.inf-Datei verwendet, sollten Sie die Datei an denselben Speicherort wie die Sicherungsdateien der Quellzertifizierungsstelle kopieren.

The CAPolicy.inf file is located in the %SystemRoot% directory, which is usually C:\Windows.

Sichern einer Zertifizierungsstellen-Vorlagenliste

Einer Unternehmen-Zertifizierungsstelle können Zertifikatvorlagen zugewiesen sein. Sie sollten die zugewiesenen Zertifikatvorlagen aufzeichnen, bevor Sie mit der Ca-Migration beginnen. Die Informationen sind weder in der CA-Datenbank noch in den Sicherungseinstellungen der Registrierung gesichert. Dies liegt daran, dass Zertifikatvorlagen und ihre Zuordnung zu Unternehmens-Zertifizierungsstellen in AD DS gespeichert werden. Sie müssen die gleiche Liste von Vorlagen zum Zielserver hinzufügen, um die Ca-Migration abzuschließen.

Note

Es ist wichtig, dass die Zertifikatvorlagen, die der Quellzertifizierungsstelle zugewiesen sind, nach Abschluss dieses Verfahrens nicht geändert werden.

You can determine the certificate templates assigned to a CA by using the Certification Authority snap-in or the Certutil.exe –catemplates command.

Erstellen einer Zertifizierungsstellen-Vorlagenliste mit dem Zertifizierungsstellen-Snap-In

1. Melden Sie sich mit lokalen Administratoranmeldeinformationen am Computer der Zertifizierungsstelle an.

2. Öffnen Sie das Snap-In der Zertifizierungsstelle.

3. In the console tree, expand Certification Authority, and select Certificate Templates.

4. Notieren Sie die Liste der Zertifikatvorlagen, indem Sie einen Screenshot erstellen oder die Liste in eine Textdatei eingeben.

Erstellen einer Zertifizierungsstellen-Vorlagenliste mit „Certutil.exe“

1. Melden Sie sich mit lokalen Administratoranmeldeinformationen am Computer der Zertifizierungsstelle an.

2. Öffnen Sie ein Eingabeaufforderungsfenster.

3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE.

   certutil.exe –catemplates > catemplates.txt
   

4. Stellen Sie sicher, dass die catemplates.txt Datei die Vorlagenliste enthält.

Note

Wenn der Zertifizierungsstelle keine Zertifikatvorlagen zugewiesen sind, enthält die Datei eine Fehlermeldung: 0x80070490 (Element nicht gefunden).

Veröffentlichen einer CRL mit verlängerter Gültigkeitsdauer

Bevor Sie mit der Ca-Migration beginnen, empfiehlt es sich, eine CRL mit einem Gültigkeitszeitraum zu veröffentlichen, der sich über den geplanten Migrationszeitraum erstreckt. Die Gültigkeitsdauer der CRL sollte mindestens die Für die Migration geplante Zeitspanne sein. Dies ist erforderlich, um Zertifikatüberprüfungsprozesse auf Clientcomputern zu aktivieren, um während des Migrationszeitraums fortzufahren.

Sie sollten eine CRL mit einer erweiterten Gültigkeitsdauer für jede zu migrierende Zertifizierungsstelle veröffentlichen. Dieses Verfahren ist besonders wichtig für eine Stammzertifizierungsstelle aufgrund der potenziell großen Anzahl von Zertifikaten, die von der Nichtverfügbarkeit einer CRL betroffen wären.

Standardmäßig ist der Gültigkeitszeitraum der CRL gleich dem CRL-Veröffentlichungszeitraum plus 10 Prozent. Legen Sie nach dem Ermitteln eines geeigneten Gültigkeitszeitraums für CRL das CRL-Veröffentlichungsintervall fest, und veröffentlichen Sie die CRL manuell, indem Sie die folgenden Verfahren ausführen: Planen Sie die Veröffentlichung der Zertifikatsperrliste, und veröffentlichen Sie die Zertifikatsperrliste manuell.

Important

Notieren Sie den Wert des CRL-Veröffentlichungszeitraums, bevor Sie ihn ändern. Nach Abschluss der Migration sollte der CRL-Veröffentlichungszeitraum auf den vorherigen Wert zurückgesetzt werden. Clientcomputer laden eine neue CRL erst nach Ablauf der Gültigkeitsdauer einer lokal zwischengespeicherten CRL herunter. Daher sollten Sie keinen Gültigkeitszeitraum für CRL verwenden, der übermäßig lang ist.

Entfernen des Zertifizierungsstellen-Rollendiensts vom Quellserver

Es ist wichtig, den Zertifizierungsstellenrollendienst nach Abschluss der Sicherungsprozeduren und vor der Installation des Zertifizierungsstellenrollendiensts auf dem Zielserver vom Quellserver zu entfernen. Unternehmens-CAs und eigenständige Zertifizierungsstellen, die Domänenmitglieder sind, speichern in Active Directory Domain Services (AD DS)-Konfigurationsdaten, die dem gemeinsamen Namen der Zertifizierungsstelle zugeordnet sind. Durch das Entfernen des Zertifizierungsstellen-Rollendiensts werden auch die Konfigurationsdaten der Zertifizierungsstelle aus AD DS entfernt. Da die Quellzertifizierungsstelle und die Zielzertifizierungsstelle denselben gemeinsamen Namen aufweisen, entfernt das Entfernen des Zertifizierungsstellenrollendiensts nach der Installation des Zertifizierungsstellenrollendiensts auf dem Zielserver Konfigurationsdaten, die von der Zielzertifizierungsstelle benötigt werden, und stört den Vorgang.

Die Zertifizierungsstelle-Datenbank, der private Schlüssel und das Zertifikat werden nicht vom Quellserver entfernt, indem sie den Zertifizierungsstelle-Rollendienst entfernen. Daher kann die Quellzertifizierungsstelle durch eine erneute Installation des Zertifizierungsstellen-Rollendiensts auf dem Quellserver wiederhergestellt werden, wenn die Migration fehlschlägt und ein Rollback erforderlich ist.

Warning

Obwohl es nicht empfohlen wird, können einige Administratoren entscheiden, den Rollendienst der Zertifizierungsstelle auf dem Quellserver installiert zu lassen, damit die Quellzertifizierungsstelle schnell online geschaltet werden kann, wenn die Migration fehlschlägt. Wenn Sie den Zertifizierungsstellenrollendienst nicht vom Quellserver entfernen möchten, bevor Sie den Zertifizierungsstellenrollendienst auf dem Zielserver installieren, ist es wichtig, dass Sie den Active Directory-Zertifikatdienstedienst (Certsvc) deaktivieren und den Quellserver herunterfahren, bevor Sie den Zertifizierungsstellenrollendienst auf dem Zielserver installieren. Entfernen Sie den Zertifizierungsstellen-Rollendienst nach der Migration zum Zielserver nicht vom Quellserver.

Um den Zertifizierungsstellen-Rollendienst zu entfernen, verwenden Sie den Assistenten Entfernen von Rollen und Features im Server-Manager.

1. From Server Manager, select Manage, then Remove Roles and Features.
2. Select Next in the wizard until you come to Server Roles.
3. Deaktivieren Sie unter „Serverrollen“ > „Active Directory-Zertifikatdienste“ das Kontrollkästchen für die Zertifizierungsstelle.
4. Vergewissern Sie sich, dass Sie auch Features entfernen möchten, die eine Zertifizierungsstelle erfordern.
5. Select Next until you come to the Confirmation page. Then select Remove.
6. Bestätigen Sie, dass die Rolle erfolgreich entfernt wurde.

Entfernen des Quellservers aus der Domäne

Da Computernamen innerhalb einer Active Directory-Domäne eindeutig sein müssen, müssen Sie den Quellserver aus seiner Domäne entfernen und das zugeordnete Computerkonto aus Active Directory löschen, bevor Sie dem Zielserver der Domäne beitreten.

Führen Sie das folgende Verfahren aus, um den Quellserver aus der Domäne zu entfernen.

Entfernen des Quellservers aus der Domäne mithilfe von PowerShell

Use the Windows PowerShell cmdlet Remove-ADComputer to remove the computer account from AD DS.

Verwenden Sie den folgenden Befehl, um einen bestimmten Computer aus Active Directory zu entfernen:

Remove-ADComputer -Identity "COMPUTER_IDENTITY"

Der -Identity Parameter wird verwendet, um ein Active Directory-Computerobjekt anzugeben, indem einer der folgenden Eigenschaftswerte angegeben wird: Distinguished Name, GA GUID (objectGUID), Security Identifier (objectSid) oder Security Accounts Manager-Kontoname (sAMAccountName).

Verbinden des Zielservers mit der Domäne

Ändern Sie vor dem Hinzufügen des Zielservers zur Domäne den Computernamen auf denselben Namen wie der Quellserver. Führen Sie dann das Verfahren aus, um den Zielserver mit der Domäne zu verbinden.

Wenn der Zielserver auf der Server Core-Installationsoption ausgeführt wird, müssen Sie die Befehlszeilenprozedur verwenden.

Um den Zielserver umzubenennen, müssen Sie Mitglied der lokalen Gruppe "Administratoren" sein. Um dem Server der Domäne beizutreten, müssen Sie Mitglied der Gruppen "Domänenadministratoren" oder "Unternehmensadministratoren" sein oder über delegierte Berechtigungen verfügen, um dem Zielserver einer Organisationseinheit (OU) in der Domäne beizutreten.

Important

Wenn Sie eine eigenständige Zertifizierungsstelle migrieren, die kein Domänenmitglied ist, führen Sie nur die Schritte aus, um den Zielserver umzubenennen und den Zielserver nicht mit der Domäne zu verbinden.

Verbinden des Zielservers mit PowerShell zur Domäne

1. Öffnen Sie auf dem Zielserver ein PowerShell-Fenster mit erhöhten Rechten.

2. Use the cmdlet Rename-Computer by typing:

   Rename-Computer -NewName "NEW_COMPUTER_NAME" -DomainCredential Domain01\Admin01 -Restart
   

3. Melden Sie sich nach dem Neustart des Zielservers mit einem Konto an, das über die Berechtigung zum Beitreten von Computern zur Domäne verfügt.

4. Open an elevated PowerShell window, and use the cmdlet Add-Computer to add a computer to a domain.

   Add-Computer -DomainName Domain01 -Restart
   

Hinzufügen des Zertifizierungsstellen-Rollendiensts zum Zielserver

In diesem Abschnitt werden zwei unterschiedliche Verfahren zum Hinzufügen des Zertifizierungsstellen-Rollendiensts zum Zielserver beschrieben, einschließlich spezieller Anweisungen für das Failoverclustering.

Überprüfen Sie die folgenden Anweisungen, um zu bestimmen, welche Verfahren abgeschlossen werden sollen.

• If your destination server is running the Server Core installation option, you can use Windows PowerShell to install the CA using the cmdlet Install-AdcsCertificationAuthority.

• Wenn Sie zu einer Zertifizierungsstelle migrieren, die ein HSM verwendet, führen Sie die Verfahren "Importieren des Zertifizierungsstellenzertifikats " und "Hinzufügen des Ca-Rollendiensts" aus.

• Wenn Sie zu einer Zertifizierungsstelle migrieren, die Failoverclustering verwendet, müssen die Verfahren zum Importieren des Zertifizierungsstellenzertifikats und zum Hinzufügen des Zertifizierungsstellenrollendiensts auf jedem Clusterknoten abgeschlossen werden. Nachdem der Zertifizierungsstellen-Rollendienst jedem Knoten hinzugefügt wurde, beenden Sie den Active Directory-Zertifikatdienste (Certsvc). Vergewissern Sie sich außerdem, dass:

  • Der von der Zertifizierungsstelle verwendete freigegebene Speicher ist online und dem Knoten zugewiesen, dem Sie den Rollendienst der Zertifizierungsstelle hinzufügen.
  • Die Zertifizierungsstellen-Datenbank und Protokolldateien müssen sich auf freigegebenem Speicher befinden.

Importieren des Zertifizierungsstellenzertifikats

Wenn Sie den Zertifizierungsstellenrollendienst mithilfe des Server-Managers hinzufügen, führen Sie das folgende Verfahren aus, um das Zertifizierungsstellenzertifikat zu importieren.

Importieren des Zertifizierungsstellenzertifikats

1. Starten Sie das Zertifikat-Snap-In für das lokale Computerkonto.

2. Doppelklicken Sie in der Konsolenstruktur auf Zertifikate (lokaler Computer), und wählen Sie "Persönlich" aus.

3. On the Action menu, select All Tasks, and then select Import... to open the Certificate Import Wizard. Select Next.

4. Suchen Sie nach der Datei „<Zertifizierungsstellenname>.p12“, die beim Sichern des Zertifizierungsstellenzertifikats und privaten Schlüssels der Quellzertifizierungsstelle erstellt wurde, und wählen Sie Öffnen aus.

5. Type the password, and select OK.

6. Wählen Sie "Alle Zertifikate im folgenden Speicher speichern" aus.

7. Verify Personal is displayed in Certificate store. If it isn't, select Browse, select Personal, select OK.

   Note

   Wenn Sie ein Netzwerk-HSM verwenden, führen Sie die Schritte 8 bis 10 aus, um die Zuordnung zwischen dem importierten Zertifizierungsstellenzertifikat und dem privaten Schlüssel zu reparieren, der im HSM gespeichert ist. Wählen Sie andernfalls „Fertig stellen“ aus, um den Assistenten abzuschließen, und dann „OK“, um zu bestätigen, dass das Zertifikat erfolgreich importiert wurde.

8. In the console tree, double-click Personal Certificates, and select the imported CA certificate.

9. On the Action menu, select Open. Select the Details tab, copy the serial number to the Clipboard, and then select OK.

10. Öffnen Sie ein Eingabeaufforderungsfenster, geben Sie certutil –repairstore My"{Serialnumber}" ein, und drücken Sie dann die EINGABETASTE.

Hinzufügen des Zertifizierungsstellen-Rollendiensts

Wenn Ihr Zielserver ein Domänenmitglied ist, müssen Sie ein Konto verwenden, das Mitglied der Gruppe "Domänenadministratoren" oder "Unternehmensadministratoren" ist, damit der Installations-Assistent auf Objekte in AD DS zugreifen kann. Fügen Sie den Zertifizierungsstellen-Rollendienst entweder mithilfe von Server-Manager oder PowerShell hinzu.

Important

Wenn Sie von der Quellzertifizierungsstelle eine CAPolicy.inf-Datei zur Sicherung erstellt haben, überprüfen Sie die Einstellungen, und ändern Sie diese, falls erforderlich. Kopieren Sie die Datei "CAPolicy.inf" in den Ordner "%windir%" (standardmäßig "C:\Windows") der Zielzertifizierungsstelle, bevor Sie den Ca-Rollendienst hinzufügen.

Führen Sie die folgenden Schritte aus, um den Zertifizierungsstellen-Rollendienst mithilfe des Server-Managers hinzuzufügen.

1. Melden Sie sich beim Zielserver an, und starten Sie den Server-Manager.

2. In the console tree, select Roles.

3. On the Action menu, select Add Roles.

4. Wenn die Seite "Vor Beginn " angezeigt wird, wählen Sie "Weiter" aus.

5. Aktivieren Sie auf der Seite " Serverrollen auswählen " das Kontrollkästchen "Active Directory-Zertifikatdienste ", und wählen Sie "Weiter" aus.

6. Wählen Sie auf der Seite "Einführung in AD CS " die Option "Weiter" aus.

7. On the Role Services page, select the Certification Authority check box, and select Next.

   Note

   Wenn Sie vorhaben, andere Rollendienste auf dem Zielserver zu installieren, sollten Sie zuerst die Installation der Zertifizierungsstelle abschließen und andere Rollendienste dann separat installieren. Installationsprozeduren für andere AD CS-Rollendienste werden in diesem Handbuch nicht beschrieben.

8. Geben Sie auf der Seite Setuptyp angeben entsprechend der Quellzertifizierungsstelle Unternehmen oder Eigenständig an, und wählen Sie Weiter aus.

9. Geben Sie auf der Seite " Ca Type angeben " entweder " Stammzertifizierungsstelle " oder "Untergeordnete Zertifizierungsstelle" an, um der Quellzertifizierungsstelle zu entsprechen, und wählen Sie "Weiter" aus.

10. Wählen Sie auf der Seite "Privaten Schlüssel einrichten" die Option "Vorhandenen privaten Schlüssel verwenden" aus, und wählen Sie ein Zertifikat aus, und verwenden Sie den zugehörigen privaten Schlüssel.

    Note

    Wenn ein HSM von der Zertifizierungsstelle verwendet wird, wählen Sie den privaten Schlüssel aus, indem Sie die vom HSM-Anbieter bereitgestellten Verfahren ausführen.

11. In the Certificates list, select the imported CA certificate, and then select Next.

12. On the CA Database page, specify the locations for the CA database and log files.

13. On the Confirmation page, review the messages, and then select Configure.

14. Wenn Sie zu einem Failovercluster migrieren, beenden Sie den Active Directory-Zertifikatdienstedienst (Certsvc) und den HSM-Dienst, wenn Ihre Zertifizierungsstelle ein HSM verwendet. Dann wiederholen Sie die Schritte, um das Zertifikat der Zertifizierungsstelle zu importieren und den Rollendienst der Zertifizierungsstelle auf anderen Clusterknoten hinzuzufügen.

If you'd like to install the CA role service using PowerShell, use the Install-AdcsCertificationAuthority cmdlet.

Wiederherstellen der Zertifizierungsstelle

Jetzt ist es an der Zeit, mit der Wiederherstellung der Zertifizierungsstelle zu beginnen. Stellen Sie die Zertifizierungsstellen-Datenbank, die Zertifizierungsstellen- und die Zertifikatvorlagenliste bei Bedarf wieder her.

Wiederherstellen der Zertifizierungsstellendatenbank und -konfiguration auf dem Zielserver

Die Verfahren in diesem Abschnitt sollten erst abgeschlossen werden, nachdem der Rollendienst der Zertifizierungsstelle auf dem Zielserver installiert wurde.

Wenn Sie zu einem Failovercluster migrieren, fügen Sie den Zertifizierungsstellen-Rollendienst allen Clusterknoten hinzu, bevor Sie die Datenbank der Zertifizierungsstelle wiederherstellen. Die Zertifizierungsstellendatenbank sollte nur auf einem Clusterknoten wiederhergestellt werden und muss sich im freigegebenen Speicher befinden.

Das Wiederherstellen der Sicherung der Quellzertifizierungsstelle umfasst die folgenden Aufgaben:

• Wiederherstellen der Datenbank der Quellzertifizierungsstelle auf dem Zielserver
• Wiederherstellen der Registrierungseinstellungen der Quellzertifizierungsstelle auf dem Zielserver
• Überprüfen der Zertifikaterweiterungen auf der Zielzertifizierungsstelle
• Wiederherstellen der Zertifikatvorlagenliste (nur für Unternehmens-Zertifizierungsstellen erforderlich)

Wiederherstellen der Datenbank der Quellzertifizierungsstelle auf dem Zielserver

In diesem Abschnitt werden die verschiedenen Verfahren zur Wiederherstellung der Quell-CA-Datenbanksicherung auf dem Zielserver beschrieben, wobei entweder das Zertifizierungsstellen-Snap-In, PowerShell oder Certutil verwendet wird.

Wenn Sie zu einer Server Core-Installation migrieren, müssen Sie Certutil PowerShell verwenden. Es ist möglich, eine Zertifizierungsstelle, die auf einer Server Core-Installation ausgeführt wird, remote mithilfe des Zertifizierungsstellen-Snap-Ins und des Server-Managers zu verwalten. Es ist jedoch nur möglich, eine Zertifizierungsstellendatenbank remote mithilfe von Windows PowerShell wiederherzustellen.

Wenn Sie zu einem Failovercluster migrieren, müssen Sie sicherstellen, dass der freigegebene Speicher online ist, und die Datenbank der Zertifizierungsstelle nur auf einem Clusterknoten wiederherstellen.

Server Manager

Um die Zertifizierungsstellendatenbank wiederherzustellen, starten Sie vom Server-Manager, und verwenden Sie das Zertifizierungsstellen-Snap-In, um die folgenden Schritte auszuführen:

1. Melden Sie sich beim Zielserver mit einem Konto an, das über Administratorrechte für die Zertifizierungsstelle verfügt.

2. Starten Sie das Zertifizierungsstellen-Snap-In.

3. Right-click the node with the CA name, point to All Tasks, and then select Restore CA.

4. On the Welcome page, select Next.

5. Wählen Sie auf der Seite "Elemente zum Wiederherstellen " die Option "Zertifikatdatenbank" und "Zertifikatdatenbankprotokoll" aus.

6. Select Browse. Navigate to the parent folder that holds the Database folder (the folder that contains the CA database files created during the CA database backup).

   Warning

   wählen Sie nicht den Datenbankordner aus. Wählen Sie den übergeordneten Ordner aus.

7. Select Next and then select Finish.

8. Select Yes to start the CA service (certsvc).

PowerShell

Führen Sie die folgenden Schritte aus, um nur die Zertifizierungsstellendatenbank mithilfe von Windows PowerShell wiederherzustellen:

1. Melden Sie sich beim Zielserver mit einem Konto an, das über Administratorrechte für die Zertifizierungsstelle verfügt.

2. Right-click Windows PowerShell and select Run as Administrator.

3. Geben Sie den folgenden Befehl ein, um den CA-Dienst zu beenden, und drücken Sie die ENTER-Taste.

   Stop-Service -Name "certsvc"
   

4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   Restore-CARoleService –Path "<CA Database Backup Directory>" -DatabaseOnly -Force
   

   Note

   Sicherungsverzeichnis der Datenbank der Zertifizierungsstelle ist das übergeordnete Verzeichnis des Verzeichnisses Datenbank. Wenn sich z. B. die Sicherungsdateien der Zertifizierungsstelle-Datenbank in C:\Temp\Database befinden, lautet der Wert des Ca Database Backup Directory C:\Temp. Schließen Sie das Force-Flag ein, da eine leere Zertifizierungsstellendatenbank bereits vorhanden ist, nachdem Sie die Schritte zum Hinzufügen des Zertifizierungsstellen-Rollendiensts ausgeführt haben.

5. Geben Sie den folgenden Befehl ein, um den Zertifizierungsstellendienst neu zu starten, und drücken Sie die EINGABETASTE:

   Start-Service -Name "certsvc"
   

Certutil

Führen Sie die folgenden Schritte aus, um die Zertifizierungsstellendatenbank mithilfe von Certutil.exewiederherzustellen:

1. Melden Sie sich beim Zielserver mit einem Konto an, das über Administratorrechte für die Zertifizierungsstelle verfügt.

2. Öffnen Sie ein Eingabeaufforderungsfenster.

3. Geben Sie den folgenden Befehl ein, um den Zertifizierungsstellendienst zu beenden, und drücken Sie die EINGABETASTE: net stop certsvc

4. Geben Sie certutil.exe -f -restoredb "CA Database Backup Directory" ein, und drücken Sie die Eingabetaste.

5. Geben Sie den folgenden Befehl ein, um den Zertifizierungsstellendienst neu zu starten, und drücken Sie die EINGABETASTE: net start certsvc

Wiederherstellen der Registrierungseinstellungen der Quellzertifizierungsstelle auf dem Zielserver

The CA configuration information is stored in the registry in: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Stellen Sie vor dem Importieren der Registrierungseinstellungen aus der Quellzertifizierungsstelle in die Zielzertifizierungsstelle sicher, dass Sie eine Sicherung der Standardmäßigen Registrierungskonfiguration für die Zielzertifizierungsstelle erstellen. Führen Sie diese Schritte auf der Zielzertifizierungsstelle aus, und benennen Sie die Registrierungsdatei mit einem Namen wie "DefaultRegCfgBackup.reg", um Verwirrung zu vermeiden.

Important

Einige Registrierungsparameter sollten ohne Änderungen vom Quellcomputer der Zertifizierungsstelle migriert werden, und einige sollten nicht migriert werden. Wenn sie migriert werden, sollten sie nach der Migration im Zielsystem aktualisiert werden, da einige Werte der Zertifizierungsstelle zugeordnet sind, während andere der Domänenumgebung, dem physischen Host, der Windows-Version oder anderen Faktoren zugeordnet sind, die im Zielsystem unterschiedlich sein können.

Eine vorgeschlagene Methode zum Ausführen des Registrierungskonfigurationsimports besteht darin, zuerst die Registrierungsdatei zu öffnen, die Sie aus der Quellzertifizierungsstelle in einem Text-Editor exportiert haben, und sie nach Einstellungen zu analysieren, die möglicherweise geändert oder entfernt werden müssen.

Analysieren der Registrierungsdatei

1. Klicken Sie mit der rechten Maustaste auf die .reg Text-Datei, die durch das Exportieren der Einstellungen aus der CA-Quelle erstellt wurde.

2. Select Edit to open the file in a text editor.

3. Wenn sich der Computername der Zielzertifizierungsstelle vom Computernamen der Quellzertifizierungsstelle unterscheidet, suchen Sie die Datei nach dem Hostnamen des Quell-Zertifizierungsstellencomputers. Für jede Instanz, die für den Hostnamen gefunden wird, sollten Sie sicherstellen, dass es sich um den entsprechenden Wert für die Zielumgebung handelt. Ändern Sie bei Bedarf den Hostnamen. Update the CAServerName value.

4. Überprüfen Sie alle Registrierungswerte, die lokale Dateipfade angeben, um sicherzustellen, dass Laufwerkbuchstabennamen und Pfade für die Zielzertifizierungsstelle korrekt sind. Wenn ein Konflikt zwischen der Quelle und der Zielzertifizierungsstelle besteht, aktualisieren Sie entweder die Werte in der Datei, oder entfernen Sie sie aus der Datei, sodass die Standardeinstellungen in der Zielzertifizierungsstelle beibehalten werden.

Warning

Einige Registrierungswerte sind der Zertifizierungsstelle zugeordnet, während andere der Domänenumgebung, dem physischen Hostcomputer, der Windows-Version oder sogar anderen Rollendiensten zugeordnet sind. Folglich sollten einige Registrierungsparameter ohne Änderungen vom Quellcomputer der Zertifizierungsstelle migriert werden, und andere sollten nicht. Jeder Wert, der nicht in der textdatei .reg aufgeführt ist, die in der Zielzertifizierungsstelle wiederhergestellt wird, behält seine vorhandene Einstellung oder den Standardwert bei.

Entfernen Sie alle Registrierungswerte, die Sie nicht in die Zielzertifizierungsstelle importieren möchten. Sobald die .reg Textdatei bearbeitet wurde, kann sie in die Zielzertifizierungsstelle importiert werden. Durch das Importieren der Sicherung der Registrierungseinstellungen des Quellservers in den Zielserver wird die Konfiguration der Quellzertifizierungsstelle zum Zielserver migriert.

Importieren der Registrierungssicherung der Quellzertifizierungsstelle auf der Zielzertifizierungsstelle

1. Melden Sie sich als Mitglied der lokalen Administratorgruppe beim Zielserver an.

2. Öffnen Sie ein Eingabeaufforderungsfenster.

3. Geben Sie net stop certsvc ein, und drücken Sie die EINGABETASTE.

4. Geben Sie reg import "Registry Settings Backup.reg" ein, und drücken Sie die Eingabetaste.

Bearbeiten der Registrierungseinstellungen der Zertifizierungsstelle

1. Select Start, type regedit.exe in the Search programs and files box, and press ENTER to open the Registry Editor.

2. In the console tree, locate the key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration, and select Configuration.

3. In the details pane, double-click DBSessionCount.

4. Select Hexadecimal. In Value data, type 64, and then select OK.

5. Überprüfen Sie, ob die in den folgenden Einstellungen angegebenen Speicherorte für Den Zielserver korrekt sind, und ändern Sie sie nach Bedarf, um den Speicherort der Ca-Datenbank und Protokolldateien anzugeben.

   • DBDirectory

   • DBLogDirectory

   • DBSystemDirectory

   • DBTempDirectory

   Important

   Führen Sie die Schritte 6 bis 8 nur aus, wenn sich der Name des Zielservers vom Namen des Quellservers unterscheidet.

6. In the console tree of the registry editor, expand Configuration, and select your CA name.

7. Ändern Sie die Werte der folgenden Registrierungseinstellungen, indem Sie den Quellservernamen durch den Zielservernamen ersetzen.

   Note

   In der folgenden Liste werden die Werte für CA-CertFileName und ConfigurationDirectory nur erstellt, wenn bestimmte Installationsoptionen für die CA angegeben werden. Wenn diese beiden Einstellungen nicht angezeigt werden, können Sie mit dem nächsten Schritt fortfahren.

   • CAServerName

   • CACertFileName

   • ConfigurationDirectory – Dieser Wert sollte in der Windows-Registrierung unter dem folgenden Speicherort erscheinen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

Überprüfen der Zertifikaterweiterungen auf der Zielzertifizierungsstelle

Die Schritte zum Importieren der Registrierungseinstellungen der Quellzertifizierungsstelle und zum Bearbeiten der Registrierung im Falle einer Servernamenänderung dienen dazu, die Netzwerkspeicherorte beizubehalten, die von der Quellzertifizierungsstelle zum Veröffentlichen von CRLs und CA-Zertifikaten verwendet wurden. Wenn die Quellzertifizierungsstelle an standardmäßigen Active Directory-Speicherorten veröffentlicht wurde, sollten nach dem Abschließen des vorherigen Verfahrens eine Erweiterung mit aktivierten Veröffentlichungsoptionen und eine LDAP-URL, die auf den NetBIOS-Namen des Quellservers verweist, vorhanden sein. Beispiel: ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Da viele Administratoren Erweiterungen konfigurieren, die für ihre Netzwerkumgebung angepasst sind, ist es nicht möglich, genaue Anweisungen zum Konfigurieren von CRL-Verteilungspunkt- und Autoritätsinformationszugriffserweiterungen bereitzustellen.

Überprüfen Sie sorgfältig die konfigurierten Speicherorte und Veröffentlichungsoptionen, und stellen Sie sicher, dass die Erweiterungen entsprechend den Anforderungen Ihrer Organisation korrekt sind.

Überprüfen von Erweiterungen mithilfe des Snap-Ins der Zertifizierungsstelle

1. Überprüfen und ändern Sie die CRL-Verteilungspunkt- und Autoritätsinformationszugriffserweiterungen und Veröffentlichungsoptionen, indem Sie die in "Angeben von CRL-Verteilungspunkten " () beschriebenen Beispielverfahren (https://go.microsoft.com/fwlink/?LinkID=145848) ausführen.

2. Wenn sich der Zielservername vom Quellservernamen unterscheidet, fügen Sie eine LDAP-URL hinzu, die einen Speicherort angibt, der auf den NetBIOS-Namen des Zielservers mit der Ersetzungsvariable <ServerShortName> verweist. Beispiel ldap:///CN=\<CATruncatedName\>\<CRLNameSuffix\>,CN=\<ServerShortName\>,CN=CDP,CN=Public Key Services,CN=Services,\<ConfigurationContainer\>\<CDPObjectClass\>.

3. Stellen Sie sicher, dass die CDP-Optionen so festgelegt sind, dass der vorherige CDP-Speicherort weder in der CDP-Erweiterung der neu ausgestellten Zertifikate noch in der Freshest CRL-Erweiterung der CRLs enthalten ist.

Wiederherstellen der Zertifikatvorlagenliste

Das folgende Verfahren ist nur für eine Unternehmenszertifizierungsstelle erforderlich. Eine eigenständige Zertifizierungsstelle verfügt nicht über Zertifikatvorlagen.

Zuweisen von Zertifikatvorlagen zur Zielzertifizierungsstelle

1. Melden Sie sich mit Administratoranmeldedaten bei der Zielzertifizierungsstelle an.

2. Öffnen Sie ein Eingabeaufforderungsfenster.

3. Geben Sie Folgendes ein: certutil -setcatemplates + <templatelist> und drücken Sie die EINGABETASTE.

   Note

   Replace templatelist with a comma-separated list of the template names that are listed in the catemplates.txt file created during the procedure "To record a CA templates list by using Certutil.exe." For example, certutil -setcatemplates +Administrator,User,DomainController.

Gewähren von Berechtigungen für AIA- und CDP-Container

Wenn sich der Name des Zielservers vom Quellserver unterscheidet, müssen dem Zielserver Berechtigungen für die CDP- und AIA-Container des Quellservers in AD DS erteilt werden, um CRLs und CA-Zertifikate zu veröffentlichen. Führen Sie das folgende Verfahren aus, wenn eine Änderung des Servernamens erfolgt.

Gewähren von Berechtigungen für AIA- und CDP-Container

1. Melden Sie sich als Mitglied der Gruppe "Unternehmensadministratoren" an einem Computer an, auf dem das Active Directory-Snap-In "Websites und Dienste" installiert ist. Öffnen Sie die Active Directory-Standorte und -Dienste (dssite.msc).

2. Wählen Sie im Konsolebaum den oberen Knoten aus.

3. On the View menu, select Show services node.

4. In the console tree, expand Services, expand Public Key Services, and then select AIA.

5. In the details pane, right-click the name of the CA, and then select Properties.

6. Select the Security tab, and then select Add.

7. Select Object Types, select Computers, and then select OK.

8. Type the name of the CA, and select OK.

9. In the Allow column, select Full Control, and select Apply.

10. The previous CA computer object is displayed (as Account Unknown with a security identifier following it) in Group or user names. Sie können dieses Konto entfernen. To do so, select it and then select Remove. Select OK.

11. In the console tree, expand CDP, and then select the folder with the same name as the CA.

12. In the details pane, right-click the CRLDistributionPoint item at the top of the list, and then select Properties.

13. Select the Security tab, and then select Add.

14. Select Object Types, select Computers, and then select OK.

15. Type the name of the destination server, and select OK.

16. In the Allow column, select Full Control, and select Apply.

17. The previous CA computer object is displayed (as Account Unknown with a security identifier following it) in Group or user names. Sie können dieses Konto entfernen. To do so, select it and then select Remove. select OK.

18. Repeat steps 13 through 18 for each CRLDistributionPoint item.

Note

Bei Verwendung der Syntax „file//\computer\share“ in den CDP-Erweiterungen für die Veröffentlichung der Zertifikatssperrliste in einem freigegebenen Ordner müssen Sie eventuell die Berechtigungen für diesen freigegebenen Ordner anpassen, damit die Zielzertifizierungsstelle an diesen Speicherort schreiben kann. Wenn Sie das CDP auf dem Zielserver hosten und einen AIA- oder CDP-Pfad verwenden, der einen Aliasnamen (z. B. pki.contoso.com) für das Ziel enthält, müssen Sie den DNS-Eintrag möglicherweise so anpassen, dass er auf die richtige Ziel-IP-Adresse verweist.

Zusätzliche Verfahren für Failoverclustering

Wenn Sie zu einem Failovercluster migrieren, führen Sie die folgenden Verfahren aus, nachdem die Zertifizierungsstelle-Datenbank und die Registrierungseinstellungen auf den Zielserver migriert wurden.

• Konfigurieren des Failoverclusterings für die Zielzertifizierungsstelle
• Gewähren von Berechtigungen für Container von öffentlichen Schlüsseln
• Editieren Sie den DNS-Namen für einen gruppierten CA in AD DS
• Konfigurieren von CRL-Verteilungspunkten für Failovercluster

Konfigurieren des Failoverclusterings für die Zielzertifizierungsstelle

Wenn Sie zu einem Failovercluster migrieren, führen Sie die folgenden Verfahren aus, um failoverclustering für AD CS zu konfigurieren.

Konfigurieren von AD CS als Clusterressource

1. Select Start, point to Run, type Cluadmin.msc, and then select OK.

2. Wählen Sie in der Konsolenstruktur des Failoverclusterverwaltungs-Snap-Ins "Dienste und Anwendungen" aus.

3. On the Action menu, select Configure a service or Application. Wenn die Seite "Bevor Sie beginnen " angezeigt wird, wählen Sie "Weiter" aus.

4. In the list of services and applications, select Generic Service, and select Next.

5. Wählen Sie in der Liste der Dienste Active Directory-Zertifikatdienste und dann "Weiter" aus.

6. Specify a service name, and select Next.

7. Select the disk storage that is still mounted to the node, and select Next.

8. To configure a shared registry hive, select Add, type SYSTEM\CurrentControlSet\Services\CertSvc, and then select OK. Select Next twice.

9. Select Finish to complete the failover configuration for AD CS.

10. Doppelklicken Sie in der Konsolenstruktur auf Dienste und Anwendungen, und wählen Sie den neu erstellten gruppierten Dienst aus.

11. In the details pane, select Generic Service. On the Action menu, select Properties.

12. Change Resource Name to Certification Authority, and select OK.

Wenn Sie ein Hardwaresicherheitsmodul (HARDWARE Security Module, HSM) für Ihre Zertifizierungsstelle verwenden, führen Sie das folgende Verfahren aus.

So erstellen Sie eine Abhängigkeit zwischen einer Zertifizierungsstelle und dem Netzwerk-HSM-Dienst

1. Öffnen Sie das Failover-Cluster-Verwaltungs-Snap-In. Wählen Sie in der Konsolenstruktur "Dienste und Anwendungen" aus.

2. Wählen Sie im Detailbereich den zuvor erstellten Namen des gruppierten Diensts aus.

3. On the Action menu, select Add a resource, and then select Generic Service.

4. In the list of available services displayed by the New Resource wizard, select the name of the service that was installed to connect to your network HSM. Select Next twice, and then select Finish.

5. Wählen Sie unter "Dienste und Anwendungen " in der Konsolenstruktur den Namen der gruppierten Dienste aus.

6. In the details pane, select the newly created Generic Service. On the Action menu, select Properties.

7. On the General tab, change the service name if desired, and select OK. Stellen Sie sicher, dass der Dienst online ist.

8. In the details pane, select the service previously named Certification Authority. On the Action menu, select Properties.

9. On the Dependencies tab, select Insert, select the network HSM service from the list, and select OK.

Gewähren von Berechtigungen für Container von öffentlichen Schlüsseln

Wenn Sie zu einem Failovercluster migrieren, führen Sie die folgenden Verfahren aus, um allen Clusterknoten Berechtigungen für die folgenden AD DS-Container zu erteilen:

• Der AIA-Container
• Der Registrierungscontainer
• Der KRA-Container

Gewähren von Berechtigungen für Container von öffentlichen Schlüsseln in AD DS

1. Melden Sie sich bei einem Domänenmitgliedscomputer als Mitglied der Gruppe "Domänenadministratoren" oder "Unternehmensadministratoren" an.

2. Select Start, point to Run, type dssite.msc, and then select OK.

3. Wählen Sie im Konsolebaum den oberen Knoten aus.

4. On the View menu, select Show services node.

5. In the console tree, expand Services, then Public Key Services, and then select AIA.

6. In the details pane, right-click the name of the source CA, and then select Properties.

7. Select the Security tab, and then select Add.

8. Select Object Types, select Computers, and then select OK.

9. Type the computer account names of all cluster nodes, and select OK.

10. In the Allow column, select the Full Control check box next to each cluster node, and select OK.

11. In the console tree, select Enrollment Services.

12. In the details pane, right-click the name of the source CA, and then select Properties.

13. Select the Security tab, and then select Add.

14. Select Object Types, select Computers, and then select OK.

15. Type the computer account names of all cluster nodes, and select OK.

16. In the Allow column, select the Full Control check box next to each cluster node, and select OK.

17. In the console tree, select KRA.

18. In the details pane, right-click the name of the source CA, then select Properties.

19. Select the Security tab, and then select Add.

20. Select Object Types, select Computers, and then select OK.

21. Type the names of all cluster nodes, and select OK.

22. In the Allow column, select the Full Control check box next to each cluster node, and select OK.

Editieren Sie den DNS-Namen für einen gruppierten CA in AD DS

Bei der Installation des Zertifizierungsstellendiensts auf dem ersten Clusterknoten wurde das Registrierungsdienstobjekt erstellt, und der DNS-Name dieses Clusterknotens wurde dem dNSHostName-Attribut des Registrierungsdienstobjekts hinzugefügt. Da die CA auf allen Clusterknoten ausgeführt werden muss, muss der Wert des dNSHostName-Attributs des Enrollment Services-Objekts dem in Schritt 6 der Prozedur "AD CS als Clusterressource konfigurieren" angegebenen Dienstnamen entsprechen.

Wenn Sie zu einer geclusterten Zertifizierungsstelle migrieren, führen Sie das folgende Verfahren auf dem aktiven Clusterknoten auf. Es ist erforderlich, das Verfahren nur auf einem Clusterknoten abzuschließen.

Editieren Sie den DNS-Namen für einen gruppierten CA in AD DS

1. Melden Sie sich beim aktiven Clusterknoten als Mitglied der Gruppe "Unternehmensadministratoren" an.

2. Select Start, point to Run, type adsiedit.msc, and then select OK.

3. In the console tree, select ADSI Edit.

4. On the Action menu, select Connect to.

5. In the list of well-known naming contexts, select Configuration, and select OK.

6. In the console tree, expand Configuration, Services, and Public Key Services, and select Enrollment Services.

7. In the details pane, right-click the name of the cluster CA, and select Properties.

8. Select dNSHostName, and select Edit.

9. Geben Sie den Dienstnamen der Zertifizierungsstelle ein, wie sie unter Failoverclusterverwaltung im Failovercluster-Manager-Snap-In angezeigt wird, und wählen Sie "OK" aus.

10. Select OK to save changes.

Konfigurieren von CRL-Verteilungspunkten für Failovercluster

In der Standardkonfiguration einer Zertifizierungsstelle wird der Kurzname des Servers als Teil des Sperrlisten-Verteilungspunkts und der Orte des Stelleninformationszugriffs verwendet.

Wenn eine Zertifizierungsstelle auf einem Failovercluster ausgeführt wird, muss der Kurzname des Servers im Sperrlisten-Verteilungspunkt und in den Orten des Stelleninformationszugriffs durch den Kurznamen des Clusters ersetzt werden. Um die CRL in AD DS zu veröffentlichen, muss der CRL-Verteilungspunktcontainer manuell hinzugefügt werden.

Important

Die folgenden Verfahren müssen auf dem aktiven Clusterknoten ausgeführt werden.

Ändern der konfigurierten CRL-Verteilungspunkte

1. Melden Sie sich beim aktiven Clusterknoten als Mitglied der lokalen Administratorgruppe an.

2. Select Start, select Run, type regedit, and then select OK.

3. Locate the registry key \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

4. Wählen Sie den Namen der Zertifizierungsstelle aus.

5. In the right pane, double-click CRLPublicationURLs.

6. In the second line, replace %2 with the service name specified in step 6 of the procedure "To configure AD CS as a cluster resource."

   Tip

   Der Dienstname wird auch im Failoverclusterverwaltungs-Snap-In unter "Dienste und Anwendungen" angezeigt.

7. Starten Sie den Zertifizierungsdienst neu.

8. Open a command prompt, type certutil -CRL, and press ENTER.

   Note

   Wenn eine Fehlermeldung "Verzeichnisobjekt nicht gefunden" angezeigt wird, führen Sie das folgende Verfahren aus, um den CRL-Verteilungspunktcontainer in AD DS zu erstellen.

Erstellen des CRL-Verteilungspunktcontainers in AD DS

1. At a command prompt, type cd %windir%\System32\CertSrv\CertEnroll, and press ENTER. Die vom Befehl certutil –CRL erstellte CRL-Datei sollte sich in diesem Verzeichnis befinden.

2. Um die CRL in AD DS zu veröffentlichen, geben Sie certutil -f -dspublish"CRLFile.crl" ein, und drücken Sie die EINGABETASTE.

Next step

Nach Abschluss der Verfahren zum Migrieren der Zertifizierungsstelle sollten Sie die unter "Überprüfen der Migration der Zertifizierungsstelle" beschriebenen Verfahren ausführen.