Exporter (0) Imprimer
Développer tout

Migration des services de certificats Active Directory (AD CS) : préparation à la migration

Mis à jour: août 2009

S'applique à: Windows Server 2008 R2

Pour réduire la durée du processus de migration, vous pouvez effectuer les procédures décrites dans cette rubrique avant d'entamer le processus de migration et de placer l'autorité de certification en mode hors connexion.

Préparation du serveur de destination

Configuration matérielle requise pour le serveur de destination

La configuration matérielle requise pour installer n'importe quel service de rôle Services de certificats Active Directory (AD CS) est identique aux configurations minimale et recommandée pour l'installation de Windows Server 2008 R2. Cette section présente les recommandations générales relatives au matériel pour Windows Server 2008 R2. Pour connaître la configuration détaillée, consultez Configuration requise pour Windows Server 2008 R2 (page éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=117345).

Configuration matérielle requise pour AD CS dans Windows Server 2008 R2

En plus de la configuration matérielle requise pour Windows Server 2008 R2, considérez les spécifications de stockage et de performances suivantes pour des performances et une disponibilité optimales de l'autorité de certification :

  • L'espace disque requis pour une base de données d'autorité de certification dépend du nombre de certificats qu'émet l'autorité de certification. Parce qu'une autorité de certification stocke des demandes de certificat, les certificats émis, et, le cas échéant, la documentation clé archivée, un espace de base de données de 64 Ko par certificat est recommandé.

  • Le système d'exploitation, la base de données de l'autorité de certification et les fichiers journaux de l'autorité de certification doivent être stockés sur des lecteurs de disque physiques distincts dans une configuration multidisque. Pour des performances et une fiabilité optimales de l'autorité de certification, pensez à un système RAID (Redundant Array of Independent Disks), tel que RAID 5 pour la base de données de l'autorité de certification et les fichiers journaux et RAID 1 ou RAID 0+1 pour le système d'exploitation. La vitesse de disque dur minimale recommandée est de 10 000 tpm.

  • La puissance du processeur est généralement plus importante pour les performances de l'autorité de certification que la capacité en mémoire système.

  • Les clusters de basculement présentent des exigences supplémentaires en termes de matériel, de logiciels et de mise en réseau. Pour plus d'informations, consultez Conditions requises pour un cluster de basculement (page éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=179369).

  • Si un module de sécurité matériel (HSM, Hardware Security Module) est utilisé par l'autorité de certification, consultez le fournisseur de votre HSM pour vérifier la compatibilité avec Windows Server 2008 R2.

Configuration logicielle requise pour le serveur de destination

Les autorités de certification d'entreprise peuvent être installées sur des ordinateurs exécutant Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Entreprise ou Windows Server 2008 R2 Datacenter. Les autorités de certification d'entreprise ne peuvent pas être installées sur des ordinateurs qui exécutent Windows Web Server 2008 R2.

Lorsque les services de certificats Active Directory (AD CS) de Windows Server 2008 R2 sont installés dans les services de domaine Active Directory (AD DS), la version du schéma AD DS doit être au moins égale à 30 et tous les contrôleurs du domaine doivent exécuter l'un des systèmes d'exploitation suivants :

  • Windows Server 2008 avec Service Pack 1 (SP1)

  • Windows Server 2008

  • Windows Server 2003 R2

  • Windows Server 2003 avec Service Pack 2 (SP2)

  • Windows Server 2003 avec SP1

  • Windows Server 2003

noteRemarque
Les contrôleurs de domaine qui exécutent Windows 2000 Server avec Service Pack 4 (SP4) ou Windows 2000 Server avec Service Pack 3 (SP3) sont techniquement compatibles avec les déploiements AD CS. Toutefois, l'utilisation de Windows 2000 Server n'est pas recommandée, car le support standard n'est plus disponible pour ce système d'exploitation. Pour plus d'informations, consultez la Politique de support Microsoft (http://go.microsoft.com/fwlink/?LinkId=117347).

Si un HSM est utilisé par l'autorité de certification, consultez le fournisseur de votre HSM pour vérifier la compatibilité du fournisseur de services de chiffrement (CSP) et du fournisseur de services de chiffrement à stockage de clé (KSP) avec Windows Server 2008 R2.

Installation de Windows Server 2008 R2

Pour réduire la durée du processus de migration, vous pouvez préparer le serveur de destination en effectuant les procédures suivantes avant d'entamer le processus de migration et de placer l'autorité de certification source en mode hors connexion.

Sauvegarde du serveur source

Sauvegardez votre serveur source pour être prêt à récupérer l'autorité de certification source en cas d'échec de la migration.

Pour plus d'informations sur la création de sauvegardes dans Windows Server 2008, consultez le Guide pas à pas de la sauvegarde de Windows Server dans Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=119141).

Pour plus d'informations sur la création de sauvegardes de l'état du système dans Windows Server 2003, consultez l'article 326216 dans la Base de connaissances Microsoft (http://go.microsoft.com/fwlink/?LinkId=117369).

Des procédures détaillées pour sauvegarder la base de données, la clé privée et les paramètres du Registre de l'autorité de certification source sont fournies dans la rubrique Migration des services de certificats Active Directory (AD CS) : migration de l'autorité de certification.

Préparation du serveur source

Pour réduire la durée et l'impact de la migration de l'autorité de certification, les procédures suivantes doivent être effectuées avant de commencer la migration :

  • Sauvegarde de la liste de modèles de l'autorité de certification (obligatoire uniquement pour les autorités de certification d'entreprise)

  • Enregistrement du CSP et de l'algorithme de signature de l'autorité de certification

  • Publication d'une liste de révocation de certificats avec une période de validité étendue

Sauvegarde d'une liste de modèles d'autorité de certification

Une autorité de certification d'entreprise peut se voir attribuer des modèles de certificats. Vous devez enregistrer les modèles de certificats attribués avant de commencer la migration de l'autorité de certification. Ces informations ne sont pas incluses avec la sauvegarde des paramètres de base de données ou de Registre de l'autorité de certification. En effet, les modèles de certificats et leur association avec les autorités de certification d'entreprise sont stockés dans les services de domaine Active Directory. Vous devrez ajouter la même liste de modèles au serveur de destination pour terminer la migration de l'autorité de certification.

noteRemarque
Il est important que les modèles de certificats attribués à l'autorité de certification source ne soient pas modifiés une fois cette procédure effectuée.

Vous pouvez déterminer les modèles de certificats attribués à une autorité de certification à l'aide du composant logiciel enfichable Autorité de certification ou de la commande Certutil.exe –catemplates.

Pour enregistrer une liste de modèles d'autorité de certification à l'aide du composant logiciel enfichable Autorité de certification

  1. Ouvrez une session avec les informations d'identification d'administration locales sur l'ordinateur de l'autorité de certification.

  2. Ouvrez le composant logiciel enfichable Autorité de certification.

  3. Dans l'arborescence de la console, développez Autorité de certification et cliquez sur Modèles de certificats.

  4. Enregistrez la liste de modèles de certificats en faisant une capture d'écran ou en tapant la liste dans un fichier texte.

Pour enregistrer une liste de modèles d'autorité de certification à l'aide de Certutil.exe

  1. Ouvrez une session avec les informations d'identification d'administration locales sur l'ordinateur de l'autorité de certification.

  2. Ouvrez une fenêtre d'invite de commandes.

  3. Tapez certutil.exe –catemplates > catemplates.txt et appuyez sur ENTRÉE.

  4. Vérifiez que le fichier catemplates.txt contient la liste de modèles.

    noteRemarque
    Si aucun modèle de certificat n'est attribué à l'autorité de certification, le fichier contient un message d'erreur : 0x80070490 (Élément introuvable).

Enregistrement de l'algorithme de signature et du CSP d'une autorité de certification

Pendant l'installation sur le serveur de destination d'une autorité de certification, vous pouvez spécifier son algorithme de signature et son CSP ou accepter la configuration par défaut. Si votre autorité de certification source n'utilise pas la configuration par défaut, vous devez effectuer la procédure suivante pour enregistrer le CSP et l'algorithme de signature.

noteRemarque
Si un module de sécurité matériel est utilisé par l'autorité de certification source, suivez les procédures proposées par le fournisseur du module pour en identifier le CSP.

Pour enregistrer le CSP d'une autorité de certification à l'aide de Certutil.exe

  1. Ouvrez une session avec les informations d'identification d'administration locales sur l'ordinateur de l'autorité de certification.

  2. Ouvrez une fenêtre d'invite de commandes.

  3. Tapez certutil.exe –getreg ca\csp\* > csp.txt et appuyez sur ENTRÉE.

  4. Vérifiez que le fichier csp.txt contient les détails du fournisseur de services de chiffrement.

Publication d'une liste de révocation de certificats avec une période de validité étendue

Avant de commencer la migration de l'autorité de certification, une bonne pratique consiste à publier une liste de révocation de certificats dont la période de validité s'étend au delà de la période de migration planifiée. La période de validité de la liste de révocation de certificats doit être au moins égale à la durée planifiée pour la migration. Cette condition est indispensable pour permettre aux processus de validation de certificats des ordinateurs clients de continuer pendant la période de migration.

Vous devez publier une liste de révocation de certificats avec une période de validité étendue pour chaque autorité de certification migrée. Cette procédure est particulièrement importante pour les autorités de certification racines, en raison du nombre potentiellement élevé de certificats pouvant se trouver affectés par l'indisponibilité d'une liste de révocation de certificats.

Par défaut, la période de validité d'une liste de révocation de certificats est égale à sa période de publication, plus 10 %. Après avoir déterminé une période de validité appropriée pour la liste de révocation de certificats, définissez-en l'intervalle de publication et publiez-la en effectuant les procédures suivantes :

ImportantImportant
Enregistrez la valeur de la période de publication de la liste de révocation de certificats avant de la modifier. Une fois la migration terminée, la période de publication de la liste de révocation de certificats doit être réinitialisée à sa valeur précédente.

CautionAttention
Les ordinateurs clients téléchargent une nouvelle liste de révocation de certificats uniquement après expiration de la période de validité d'une liste de révocation de certificats mise en cache localement. Par conséquent, veillez à ne pas utiliser une période de validité de liste de révocation de certificats excessivement longue.

Étapes suivantes

Après avoir effectué les procédures de préparation des serveurs sources et de destination, passez en revue la rubrique Migration des services de certificats Active Directory (AD CS) : migration de l'autorité de certification et effectuez les procédures qui conviennent à votre scénario de migration.

Voir aussi

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft