Services de certificats Windows Active Directory (AD CS), Microsoft Développé par , il s'agit d'un rôle qui permet aux organisations de créer et de gérer des certificats numériques et des solutions d'infrastructure à clé publique (PKI). Ce service est essentiel dans de nombreuses applications telles que la messagerie sécurisée, l'authentification basée sur le Web et l'identité des appareils. Cet article plongera dans les composants principaux d’AD CS, le processus d’installation et les meilleures pratiques de gestion.
Migration des services de certificats Active Directory (AD CS)
Besoins et objectifs
- Le nouveau matériel offre des performances plus rapides et une sécurité accrue
- Préservation des modèles et configurations de certificats existants
- Maintenir la continuité des activités en assurant une transition fluide
Compatibilité matérielle et logicielle
Il est essentiel de vérifier si le nouveau matériel et le nouveau système d'exploitation sont compatibles avec la configuration de l'AC existante. Les versions du système d'exploitation, les modèles de certificat et les paramètres de sécurité doivent être examinés en détail.
Stratégie de migration des données
La manière de déplacer la base de données CA existante, les modèles de certificat et les fichiers de configuration vers le nouveau serveur doit être planifiée.
Sécurité et contrôle d'accès
Au cours du processus de migration, il peut arriver que deux autorités de certification soient temporairement ensemble. De tels scénarios peuvent introduire des risques potentiels pour la sécurité. Les listes de contrôle d’accès (ACL) et les politiques de sécurité doivent être soigneusement examinées.
Environnement de test et plan de retour
Avant la mise en œuvre de la migration, toutes les étapes doivent être simulées dans un environnement de test. Un plan de secours doit être préparé et pourra être mis en œuvre si les choses ne se passent pas comme prévu.
Documentation et tenue de registres
Chaque étape du processus de migration doit être documentée en détail. Cela pourrait servir de guide pour des transactions similaires à l’avenir.
Processus de migration AD CS
ADCA Il existe trois composants principaux pour le processus de sauvegarde, ils sont les suivants :
- Base de données de CA
- Clé privée
- Configuration du registre de l'autorité de certification
Base de données de l'autorité de certificationet alors Clé privée pour le processus de sauvegarde Domaine Après vous être connecté avec un utilisateur autorisé, nous ouvrons le rôle AD CS.

Situé sur la console gauche CA après un clic droit sur le serveur Toutes les tâches – Sauvegarder CA Nous suivons vos pas.

Assistant de sauvegarde de l'autorité de certification sur la fenêtre « Clé privée et certificat CA » et base de données de certificats et journal de la base de données de certificats » Nous marquons les onglets.
Sauvegarder à cet emplacement Dans la section, nous sélectionnons la destination où seront situés les fichiers de sauvegarde.

À l'étape suivante, vous devez saisir votre mot de passe. Après le processus de mot de passe, vous disposerez de sauvegardes de base de données et de clé privée.
Notre prochaine étape consistera à sauvegarder le fichier CA Regedir.
Les paramètres de configuration pour AD CA sont stockés sur Regedit, vous pouvez suivre les étapes ci-dessous pour sauvegarder ces configurations.
- Nous ouvrons Powershell en tant qu'administrateur.
reg export HKLMSYSTEMCurrentControlSetServicesCertSvcConfiguration “c:Desktopca.reg”
- Avec ce processus, nous avons également sauvegardé le fichier CA Regedit.
Nous devons sauvegarder les modèles de certificat AD CS. Si vous disposez de modèles de certificat privés, vous devez sauvegarder les modèles de certificat pour AD CS avant de passer au nouveau serveur.
- Exécutez CMD en tant qu'administrateur.
certutil.exe –catemplates > "c:Desktoptemplates.txt"
Après ces étapes, vous sauvegarderez les modèles de certificat dans le dossier que vous avez spécifié.

Restauration du rôle AD CS
Base de données de l'autorité de certificationet alors Clé privée Pour le processus de restauration, d'abord Windows Server Le rôle AD CS doit y être installé.
Vous pouvez utiliser les commandes suivantes pour installer une autorité de certification d'entreprise et utiliser le certificat avec lequel vous avez sauvegardé.
Add-WindowsFeature ADCS-Cert-Authority –IncludeManagementTools
Install-AdcsCertificationAuthority –CAType EnterpriseRootCA -CertFile "C:DesktopAD-CONTOSOCS1-CA.p12" -CertFilePassword (read-host "Sertifika Parolası" -assecurestring)
Base de données de l'autorité de certificationet alors Clé privée pour le processus de sauvegarde Domaine Après vous être connecté avec un utilisateur autorisé, nous ouvrons le rôle AD CS.
Nous suivons l'étape All Task – Resore CA, sélectionnons le dossier où se trouvent les sauvegardes de la base de données et entrons le mot de passe que nous avons déterminé.

Après avoir restauré vos fichiers de sauvegarde, il vous sera demandé de redémarrer le service, confirmez simplement ce processus.
Nous devons réimporter la clé Regedit que nous avons sauvegardée. Les configurations AD CA de notre ancien serveur sont stockées dans la clé Regedit.
Nous pouvons importer le fichier REGEDIT que nous avons reçu en double-cliquant dessus, ou nous pouvons l'importer en utilisant Powershell.
reg import “c:Desktopca.reg"
Notre prochaine étape consistera à importer les fichiers modèles à l'aide de certutil. Pour effectuer cette opération via Powershell, vous devez exécuter Powershell en tant qu'administrateur.
certutil -setcatemplates +DirectoryEmailReplication taper et Entrer Appuyez sur la touche. Cette commande dans AD AnnuaireEmailRéplication Si le modèle n'existe pas déjà, CA l'ajoute à la liste des modèles. Enregistré dans le cadre de la procédure de sauvegarde de l'autorité de certification source templates.txt Vous pouvez obtenir la liste des modèles en ouvrant le fichier.
Il suffira de redémarrer les services avec l'étape net start certsvc.
Livre blanc
Autorité de certification (AC)
Il s'agit du composant principal qui crée et signe les certificats numériques. Les autorités de certification peuvent être examinées en deux catégories : racine et infrastructure.
Enregistrement du certificat
Il s'agit du composant dans lequel les utilisateurs et les appareils créent et envoient des demandes de certificat.
Services de diffusion
Ce service gère la distribution des certificats générés par l'autorité de certification aux utilisateurs ou appareils éligibles.
Modèles de certificat
C'est la structure qui définit les propriétés des certificats. Grâce aux modèles, il est possible de créer des certificats personnalisés pour différents scénarios d'application.
Politiques de sécurité
Les certificats numériques contenant des informations sensibles, la sécurité de ce service doit être une priorité. Des politiques de contrôle d’accès et des mécanismes de surveillance solides servent cet objectif.
Mises à jour et gestion des correctifs
Windows AD CS doit être mis à jour régulièrement et de nouveaux correctifs appliqués.
Journal et surveillance
Ce service stocke toutes les transactions dans des fichiers journaux. La surveillance régulière de ces fichiers facilite la prise de précautions contre d'éventuelles menaces de sécurité.
Un commentaire sur « Qu'est-ce que les services de certificats Windows Active Directory (AD CS) et les procédures de migration »