Heb je een nieuwe server en wil je de bestaande Certification Authority migreren ?
Volg dan onderstaande stappen om je CA te verhuizen van een oude server naar bijvoorbeeld een Server 2016 Domain Controller.
Aan de slag !
Alle stappen voeren we uit in een elevated Powershell
Als eerste stap stoppen we de CA Service op de bron server :
net stop certsvc
De CA Service wordt nu gestopt.
Maak op de C: schijf van de Domain Controller een mapje aan CAbackup
Hierin plaatsen we een backup van de bestaande CA instantie.
Start de CA en klik met de rechter muisknop op de autoriteit.
Kies dan zoals in onderstaand scherm Back up CA…
De backup wizard start, druk op Next
Hier moeten we aangeven wat we willen backuppen. Neem de instellingen zoals hieronder over en klik op Next
Vervolgens moeten we een wachtwoord opgeven, Kies hier een veilig wachtwoord en bevestig deze.
dan komen we bij het laatste scherm, druk op Finish en de backup zal starten.
Eenmaal klaar, zien we in de C:\CAbackup\ de volgende data staan :
Het maken van een backup is geslaagd !
We gaan nu de bestaande register settings exporteren t.b.v. migratie naar de nieuwe server.
reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration “c:\CAbackup\CAregsettings.reg”
Gevolgd door Enter en de register instellingen worden geexporteerd en in de map CAbackup geplaatst.
Vervolgens gaan we de bestaande Certificate Templates exporteren :
certutil.exe –catemplates > “c:\CAbackup\catemplates.txt”replacing “c:\CAbackup\catemplates.txt”
CAPolicy.inf File
Mocht het zo zijn dat jouw CA geconfigureerd was met een CAPolicy.inf bestand, kopieer dit bestand dan ook mee van de %systemroot% naar de nieuwe server in de %systemroot%
En als laatste gaan we de CA rol op de bron server deinstalleren :
Remove WindowsFeature Adcs-Cert-Authority
Nu zijn we klaar met de bron server en kunnen we de nieuwe server gaan inrichten.
Op de nieuwe server gaan we nu de AD CS rol installeren :
Add-WindowsFeature ADCS-Cert-Authority –IncludeManagementTools
De AD CS rol wordt nu geinstalleerd. Wacht even tot deze klaar is.
Kopieer nu van de bron server de map C:\CAbackup en plaats deze ook op de C: schijf van de nieuwe server.
Vervolgens importeren we het originele certificaat :
Install-AdcsCertificationAuthority –CAType EnterpriseRootCA -CertFile “C:\CAbackup\SERVERNAAM-DC-CA.p12” -CertFilePassword (read-host “DOMEINNAAM\administrator” -assecurestring)
Er wordt gevraagd om een wachtwoord wanneer je dit commando uitvoert.
Voer het commando in dat je bij het exporteren gebruikt hebt.
Nu kunnen we het geëxporteerde register bestand importeren :
NB: Wanneer je de nieuwe server dezelfde naam geeft als de oude, dan hoef je verder niets te wijzigen. Krijgt de nieuwe server een andere naam, dan moet je eerst het registerbestand wijzigen en de servernaam wijzigen naar de nieuwe naam.
reg import “c:\CAbackup\CAregsettings.reg”
Vervolgens moeten we nog de CA Templates importeren :
certutil -setcatemplates +DirectoryEmailReplication
Herstart dan de server en je bent klaar !