Guide de migration des services de certificats Active Directory pour Windows Server 2012 R2
S'applique à: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
À propos de ce guide
Ce document fournit des conseils sur la migration d’une autorité de certification vers un serveur qui exécute Windows Server 2012 R2 à partir d’un serveur qui exécute Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2 ou Windows Server 2003.
Public visé
Administrateurs ou ingénieurs d'exploitation informatique chargés de planifier et de réaliser la migration de l'autorité de certification.
Administrateurs ou ingénieurs d'exploitation informatique chargés de la gestion et du dépannage quotidiens des réseaux, serveurs, ordinateurs clients, systèmes d'exploitation ou applications.
Directeurs informatiques responsables de la gestion des réseaux et serveurs.
Architectes informatiques chargés de la gestion et de la sécurité des ordinateurs pour l’ensemble de l’organisation.
Scénarios de migration pris en charge
Ce guide vous fournit des instructions sur la migration d’un serveur existant qui exécute les services de certificats Active Directory® (AD CS) vers un serveur qui exécute Windows Server 2008 R2 ou Windows Server 2012 R2. Ce guide ne contient pas d’instructions pour une migration avec un serveur source exécutant plusieurs rôles. Si votre serveur exécute plusieurs rôles, il est recommandé de concevoir une procédure de migration personnalisée spécifique à votre environnement de serveur, en fonction des informations fournies dans les autres guides de migration des rôles. Pour afficher les guides de migration pour d’autres rôles serveur, consultez Migration des rôles et fonctionnalités dans Windows Server (https://go.microsoft.com/fwlink/?LinkID=128554).
Notes
Ce guide peut être utilisé pour migrer une autorité de certification à partir d'un serveur source également contrôleur de domaine vers un serveur de destination portant un autre nom. La migration d'un contrôleur de domaine n'est toutefois pas couverte dans ce guide. Pour plus d'informations sur la migration des services de domaine Active Directory (AD DS), consultez le Guide de migration des serveurs AD DS (Services de domaine Active Directory) et DNS (Domain Name System) (https://go.microsoft.com/fwlink/?LinkId=179357).
Systèmes d'exploitation pris en charge
Ce guide prend en charge les migrations à partir des serveurs sources qui exécutent les versions et Service Packs des systèmes d'exploitation répertoriés dans le tableau suivant. Toutes les migrations décrites dans ce document supposent que le serveur de destination exécute Windows Server 2012 R2 comme indiqué dans le tableau suivant.
Processeur du serveur source |
Système d’exploitation du serveur source |
Système d’exploitation du serveur de destination |
Processeur du serveur de destination |
|---|---|---|---|
x64 |
Windows Server 2012 R2 |
Windows Server 2012 R2, Serveur avec une interface utilisateur graphique uniquement (pas Server Core ou Interface serveur minimale) |
x64 |
x64 |
Windows Server 2012 |
Windows Server 2012 R2 ou Windows Server 2012, Serveur avec une interface utilisateur graphique uniquement (pas Server Core ou Interface serveur minimale) |
x64 |
x64 |
Windows Server 2008 R2 |
Windows Server 2012 R2ou Windows Server 2012, Serveur avec une interface graphique utilisateur uniquement (pas Server Core ou Interface serveur minimale) ou Windows Server 2008 R2, options d’installation complète ou minimale |
x64 |
x86 ou x64 |
Windows Server 2008 |
Windows Server 2012 R2ou Windows Server 2012, Serveur avec une interface graphique utilisateur uniquement (pas Server Core ou Interface serveur minimale) ou Windows Server 2008 R2, options d’installation complète ou minimale |
x64 |
x86 ou x64 |
Windows Server 2003 R2 |
Windows Server 2012 R2ou Windows Server 2012, Serveur avec une interface graphique utilisateur uniquement (pas Server Core ou Interface serveur minimale) ou Windows Server 2008 R2, options d’installation complète ou minimale |
x64 |
x86 ou x64 |
Windows Server 2003 avec Service Pack 2 |
Windows Server 2012 R2ou Windows Server 2012, Serveur avec une interface graphique utilisateur uniquement (pas Server Core ou Interface serveur minimale) ou Windows Server 2008 R2, options d’installation complète ou minimale |
x64 |
Notes
Les mises à niveau sur place directement à partir de Windows Server 2003 avec Service Pack 2 ou Windows Server 2003 R2 vers Windows Server 2012 R2 ne sont pas prises en charge. Si vous exécutez un ordinateur x64, vous pouvez commencer par mettre à niveau le service de rôle Autorité de certification de Windows Server 2003 avec Service Pack 2 ou Windows Server 2003 R2 vers Windows Server 2008 ou Windows Server 2008 R2, puis passer à Windows Server 2012 R2 ou Windows Server 2012.
Ce que ce guide ne contient pas
Procédures de mise à niveau vers Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2
Procédures de migration de rôles serveur supplémentaires
Procédures de migration de services de rôle AD CS supplémentaires
En règle générale, la migration n'est pas requise pour les services de rôle AD CS suivants. À la place, vous pouvez installer et configurer ces services de rôle sur les ordinateurs qui exécutent Windows Server 2008 R2 ou Windows Server 2012 en effectuant les procédures d’installation des services de rôle. Pour plus d’informations sur l’impact de la migration de l’autorité de certification sur d’autres services de rôle AD CS, consultez Impact de la migration sur les autres ordinateurs de l’entreprise.
Configuration de la prise en charge de l'inscription de l'autorité de certification par le Web (https://go.microsoft.com/fwlink/?LinkId=179360)
Configuration de services de répondeur en ligne sur un réseau (https://go.microsoft.com/fwlink/?LinkId=143098)
Configurer le service d'inscription des périphériques réseau (https://go.microsoft.com/fwlink/?LinkId=179362)
Configuration des services Web d'inscription de certificats (https://go.microsoft.com/fwlink/?LinkId=179363)
Vue d'ensemble de la migration de l'autorité de certification
La migration de l'autorité de certification implique plusieurs procédures, qui sont traitées dans les sections suivantes.
Avertissement
Au cours de la procédure de migration, vous êtes invité à désactiver votre autorité de certification existante (l'ordinateur ou au moins l'autorité de certification). Vous êtes invité à nommer l'autorité de certification de destination avec le même nom que celui utilisé pour l'autorité de certification d'origine. Il n'est pas requis que le nom de l'ordinateur (nom d'hôte ou nom NetBIOS) corresponde à celui de l'autorité de certification d'origine. Toutefois, le nom de l'autorité de certification de destination doit correspondre à celui de l'autorité de certification source. En outre, le nom de l'autorité de certification de destination ne doit pas être identique au nom de l'ordinateur de destination.
Notes
Il est possible d'installer une nouvelle hiérarchie PKI (infrastructure à clé publique) tout en utilisant une hiérarchie PKI existante. Toutefois, cela requiert la conception d'une nouvelle PKI, ce qui n'est pas abordé dans ce guide. Pour une vue d’ensemble informelle de la manière dont une infrastructure PKI double peut fonctionner pour une organisation, consultez le billet de blog Ask DS suivant : Déplacement de votre organisation à partir d’une autorité de certification Microsoft unique vers une PKI Microsoft recommandée.
Préparation à la migration
Migration de l'autorité de certification
Sauvegarde de la base de données et de la clé privée d'une autorité de certification
Sauvegarde des paramètres de Registre de l'autorité de certification
Suppression du service de rôle Autorité de certification sur le serveur source
Ajout du service de rôle Autorité de certification au serveur de destination
Procédures supplémentaires pour le clustering avec basculement (facultatif)
Vérification de la migration
Tâches de post-migration
Mise à niveau des modèles de certificats dans les services de domaine Active Directory (AD DS)
Récupération de certificats après le changement de nom d'un hôte
Impact de la migration
Impact de la migration sur le serveur source
Les procédures de migration de l'autorité de certification décrites dans ce guide incluent la désaffectation du serveur source une fois la migration effectuée et les fonctionnalités de l'autorité de certification sur le serveur de destination vérifiées. Si le serveur source n'est pas désaffecté, le nom du serveur source doit être différent de celui du serveur de destination. Des étapes supplémentaires sont requises pour mettre à jour la configuration de l'autorité de certification sur le serveur de destination si son nom est différent de celui du serveur source.
Impact de la migration sur les autres ordinateurs de l’entreprise
Pendant la migration, l'autorité de certification ne peut pas émettre de certificats ou publier des listes de révocation de certificats.
Pour que les membres du domaine puissent procéder à la vérification de l'état de révocation pendant la migration de l'autorité de certification, il est primordial de publier une liste de révocation de certificats dont la période de validité s'étend au delà de la durée prévue de la migration.
Étant donné que l'extension d'accès aux informations de l'autorité et l'extension de point de distribution de liste de révocation de certificats (CLR, Certificate Revocation List) de certificats précédemment émis peuvent faire référence au nom de l'autorité de certification source, il est important soit de continuer à publier les certificats d'autorité de certification et les listes de révocation de certificats au même emplacement, soit de fournir une solution de redirection. Pour obtenir un exemple de configuration de la redirection IIS, consultez Redirection des sites Web dans IIS 6.0.
Autorisations requises pour effectuer la migration
Pour installer une autorité de certification d'entreprise ou autonome sur un ordinateur membre du domaine, vous devez être membre du groupe Administrateurs de l'entreprise ou du groupe Admins du domaine de ce domaine. Pour installer une autorité de certification autonome sur un serveur qui n'est pas membre du domaine, vous devez être membre du groupe Administrateurs local. Les conditions d'appartenance aux groupes requises pour la suppression du service de rôle Autorité de certification sur le serveur source sont les mêmes que pour l'installation.
Durée estimée
La migration de l'autorité de certification la plus simple doit généralement pouvoir s'effectuer en une à deux heures. La durée réelle de la migration de l'autorité de certification dépend du nombre d'autorités de certification et de la taille des bases de données d'autorité de certification.