AD CA Migration to Server 2022 yazımızda 2016 da bulunan Root CA Sunumuzu ad değişikliği yapmadan 2022’ye taşıyacağız. İlk olarak sunumuzda backup işlemlerine başlamaktayız. Adım adım yazımızda yapılması gerekenler ve sonrasında tüm kontroller gösterilecektir.
Backup CA
İlk olarak Certification Authority üzerinden All Task>Backup CA işlemi ile başlamaktayız.
Next ile devam etmekteyiz.
Private Key and CA Certificate
Certificate database and certificate database log işaretlemekteyiz.
Daha önceden CA sunucumuzda backup alındıysa Perform incremental backup yani sadece değişiklikler alınır. Fakat biz geçiş işleminde full backup ihtiyaç duymaktayız O yüzden işaretlemiyoruz. Backup alınacak location’da belirliyoruz. Bu path’in boş olması gerekmektedir.
Daha sonrasında CA File için şifre belirlemekteyiz. Bu şifreyi unutmayalım ilerleyen aşamalarda yeniden restore edildiğinde kullanacağız. Sonrasında Next diyerek devam etmekteyiz.
Backup oluşturuldu.
Backup CA Registry
İlk aşamadan sonra CA Registry yedeklemek gerekmektedir. Bunun için path’e giderek Export etmekteyiz. Bu Export’u da Database backup aldığımız folder içersine atmaktayız.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
CRL List Backup
Registry adımından sonra CRL List Backuplama aşamasına geldik. Cmd üzerinde pkiview komutu ile Enterprise PKI açıyoruz. Ve Export ediyoruz.
Backup işlemi burada bitmiştir. Yeni sunucuya geçmek için artık hazırız. Bu aşamadan sonra Eski sunucunun kaldırılmasıdır.
Certification Service Rolünün Kaldırılması
Remove Server Roles üzerinden başlamaktayız. Burada Certification Authority Web Enrollment kullanıyorsak öncelikle Web Server IIS kaldırılması gerekmektedir. Öncellikle Web Enrollement kaldırıp sonrasında Certification Authority kaldırıyoruz.
Öncellikle Web Enrollment kaldırılmaktayız.
Sonra Certification Authority kaldırmaktayız.
Sunucudan Active Directory Certificate Service kaldırılmış olduk. Şimdi sunucumuzu Rename ederek tutabiliriz ya da domainden çıkarıp ortamdan kaldırabiliriz. Ben sunucumuzu Rename ederek devam etmekteyim.
Sunucu Rename edilmesi
Sunucumuzu Rename ediyoruz. Sonrasında makineye restart ediyoruz.
2022 Sunucunun Aynı isimle Domaine Dahil Edilmesi ve Service Kurulumu
2022 sunucumuza eski sunucumuzun ismi ile dahil etmekteyiz. Sonrasında restart atıp CA Service kurulumunu yapmaktayız. Eğer aynı IP adresi ile kurulacaksa DNS tarafında eski sunucuyu kaldırmayı ve replication kontrol etmek gerekebilir. Benim test ortamında IP farklı olarak kullandım. Eğer ortamdan emin değilseniz aynı IP ve Hostname kullanmaya çalışın.
Açılan sunucuda Rol yüklemesi yapacağız. Burada Dikkat Dikkat;
Sunucuya giriş yaptığımız hesabın Enterprise Admins veya Root Domain’in Domain Admins grubunun üyesi olması gerekmektedir.
By default, to install a root or subordinate certification authority (CA), you must be a member of the Enterprise Admins group, or Domain Admins for the root domain- Delegated Installation for an Enterprise Certification Authority
Rol ekleme işlemini yapmaktayız. Eski Sunucumuzda CA Rolü ve Web Enrollement bulunmaktaydı. Aynı şekilde kuracağız.
Web Enrollement için Sunucuya IIS rolünün kurulması gerekmektedir. Add Features olarak devam etmekteyiz.
Next ile devam edip tüm gerekli olan kurulumları yapmaktayız. Kurulum tamamlandı CA Configure etme aşamasına geldik. Configure Active Directory Certificate Services on the destination server seçeneği ile devam etmekteyiz.
Restore CA
Açılan sayfada kullanıcımın yetkilerini kontrol ediyorum. Eğer kullanıcıya yetkiyi yeni tamamladıysanız log off- log on olmak gerekebilir.
Sonrasında kurulacak Rolleri seçmekteyiz.
Enterprise CA olarak devam etmekteyiz.
Root CA yenilemesi yapmaktayız. Root CA Seçeneği ile devam etmekteyiz.
Migration en önemli noktası buradaki adımdır. Use Existing Private Key seçmekteyiz.
Bu adımda Backup alınan sertifikamızı import etmekteyiz.
Sertifikamızı import ettik.
Database location seçimini yapıyoruz. Default olarak bıraktım. İstenirse başka bir diske veya path atabilirsiniz.
Configure ederek devam etmekteyiz.
Restore Database and Registry
Şimdi önceden alınan database backup’ımızı yeni sunucumuzda restore edeceğiz. Certification Authority All Task>Restore CA ile devam etmekteyiz.
Backup işleminin aynısını Restore için yapmaktayız. Backup dosyamızı gösteriyoruz.
Yedekleme yapılırken girilen password burada tekrardan girmekteyiz.
Next diyerek devam ediyoruz ve Database Restore işlemini tamamlıyoruz.
Bu adımdan sonra Registry Restore işlemi yapmaktayız. Alınan registry backup yüklüyoruz.
Bu aşamadan sonra AD CA Servisine Restart atacağız.
Bundan sonra Kontrol aşamasında Certificate Template to Issue’da sertifika template’lerimizi görmek gerekecek.
En son olarak Eğer IIS de Binding ayarlarınız var ise onlarıda kontrol edelim. HTTPS Binding ise oluşturalım eski kaydın aynısını.
Bonus Bilgi
Eğer Sertifika sunucunuzun adını değiştirmek isterseniz yeni sunucuya tüm aşamalar aynıdır. Fakat Registry import ederken değişiklik yapmak gerekir.
Registry configuration açıp import etmeden önce; CAServerName Değiştiriniz.
Burayı rename ettikten sonra import ediniz.
Sonuç olarak sizlere AD CA Migration senaryosunu anlatmış olduk. Windows Server 2008/2008R2/2012/2012R2/2016/2019 gibi sunucularınızı 2022 yeni sunucuya taşıyabilirsiniz. Diğer yazılarımı aşağıdaki kategorilerden takip edebilirsiniz.