AD CA Migration to Server 2022

AD CA Migration to Server 2022 yazımızda 2016 da bulunan Root CA Sunumuzu ad değişikliği yapmadan 2022’ye taşıyacağız. İlk olarak sunumuzda backup işlemlerine başlamaktayız. Adım adım yazımızda yapılması gerekenler ve sonrasında tüm kontroller gösterilecektir.

Backup CA

İlk olarak Certification Authority üzerinden All Task>Backup CA işlemi ile başlamaktayız.

AD CA Migration Backup

Next ile devam etmekteyiz.

Private Key and CA Certificate

Certificate database and certificate database log işaretlemekteyiz.

Daha önceden CA sunucumuzda backup alındıysa Perform incremental backup yani sadece değişiklikler alınır. Fakat biz geçiş işleminde full backup ihtiyaç duymaktayız O yüzden işaretlemiyoruz. Backup alınacak location’da belirliyoruz. Bu path’in boş olması gerekmektedir.

AD CA Migration Backup Private Key

Daha sonrasında CA File için şifre belirlemekteyiz. Bu şifreyi unutmayalım ilerleyen aşamalarda yeniden restore edildiğinde kullanacağız. Sonrasında Next diyerek devam etmekteyiz.

Backup oluşturuldu.

Backup CA Registry

İlk aşamadan sonra CA Registry yedeklemek gerekmektedir. Bunun için path’e giderek Export etmekteyiz. Bu Export’u da Database backup aldığımız folder içersine atmaktayız.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

Registry Backup AD CA Migration

CRL List Backup

Registry adımından sonra CRL List Backuplama aşamasına geldik. Cmd üzerinde pkiview komutu ile Enterprise PKI açıyoruz. Ve Export ediyoruz.

PKIView AD CA Migration
Export PKIView

Backup işlemi burada bitmiştir. Yeni sunucuya geçmek için artık hazırız. Bu aşamadan sonra Eski sunucunun kaldırılmasıdır.

Certification Service Rolünün Kaldırılması

Remove Server Roles üzerinden başlamaktayız. Burada Certification Authority Web Enrollment kullanıyorsak öncelikle Web Server IIS kaldırılması gerekmektedir. Öncellikle Web Enrollement kaldırıp sonrasında Certification Authority kaldırıyoruz.

Öncellikle Web Enrollment kaldırılmaktayız.

AD CA Migration Remove

Sonra Certification Authority kaldırmaktayız.

Sunucudan Active Directory Certificate Service kaldırılmış olduk. Şimdi sunucumuzu Rename ederek tutabiliriz ya da domainden çıkarıp ortamdan kaldırabiliriz. Ben sunucumuzu Rename ederek devam etmekteyim.

Sunucu Rename edilmesi

Sunucumuzu Rename ediyoruz. Sonrasında makineye restart ediyoruz.

AD CA Migration Rename

2022 Sunucunun Aynı isimle Domaine Dahil Edilmesi ve Service Kurulumu

2022 sunucumuza eski sunucumuzun ismi ile dahil etmekteyiz. Sonrasında restart atıp CA Service kurulumunu yapmaktayız. Eğer aynı IP adresi ile kurulacaksa DNS tarafında eski sunucuyu kaldırmayı ve replication kontrol etmek gerekebilir. Benim test ortamında IP farklı olarak kullandım. Eğer ortamdan emin değilseniz aynı IP ve Hostname kullanmaya çalışın.

AD CA Migration ADD new Server

Açılan sunucuda Rol yüklemesi yapacağız. Burada Dikkat Dikkat;

Sunucuya giriş yaptığımız hesabın Enterprise Admins veya Root Domain’in Domain Admins grubunun üyesi olması gerekmektedir.

By default, to install a root or subordinate certification authority (CA), you must be a member of the Enterprise Admins group, or Domain Admins for the root domain- Delegated Installation for an Enterprise Certification Authority

Rol ekleme işlemini yapmaktayız. Eski Sunucumuzda CA Rolü ve Web Enrollement bulunmaktaydı. Aynı şekilde kuracağız.

Web Enrollement için Sunucuya IIS rolünün kurulması gerekmektedir. Add Features olarak devam etmekteyiz.

Next ile devam edip tüm gerekli olan kurulumları yapmaktayız. Kurulum tamamlandı CA Configure etme aşamasına geldik. Configure Active Directory Certificate Services on the destination server seçeneği ile devam etmekteyiz.

Restore CA

Açılan sayfada kullanıcımın yetkilerini kontrol ediyorum. Eğer kullanıcıya yetkiyi yeni tamamladıysanız log off- log on olmak gerekebilir.

Restore CA

Sonrasında kurulacak Rolleri seçmekteyiz.

AD CA Migration Add Role

Enterprise CA olarak devam etmekteyiz.

AD CA Migration Enterprise CA

Root CA yenilemesi yapmaktayız. Root CA Seçeneği ile devam etmekteyiz.

AD CA Migration Root CA

Migration en önemli noktası buradaki adımdır. Use Existing Private Key seçmekteyiz.

Bu adımda Backup alınan sertifikamızı import etmekteyiz.

AD CA Migration Import

Sertifikamızı import ettik.

AD CA Migration Import CA

Database location seçimini yapıyoruz. Default olarak bıraktım. İstenirse başka bir diske veya path atabilirsiniz.

AD CA Migration Database

Configure ederek devam etmekteyiz.

Restore Database and Registry

Şimdi önceden alınan database backup’ımızı yeni sunucumuzda restore edeceğiz. Certification Authority All Task>Restore CA ile devam etmekteyiz.

AD CA Migration Restore CA

Backup işleminin aynısını Restore için yapmaktayız. Backup dosyamızı gösteriyoruz.

Yedekleme yapılırken girilen password burada tekrardan girmekteyiz.

AD CA Migration Password

Next diyerek devam ediyoruz ve Database Restore işlemini tamamlıyoruz.

Bu adımdan sonra Registry Restore işlemi yapmaktayız. Alınan registry backup yüklüyoruz.

Bu aşamadan sonra AD CA Servisine Restart atacağız.

AD CA Migration Service Restart

Bundan sonra Kontrol aşamasında Certificate Template to Issue’da sertifika template’lerimizi görmek gerekecek.

En son olarak Eğer IIS de Binding ayarlarınız var ise onlarıda kontrol edelim. HTTPS Binding ise oluşturalım eski kaydın aynısını.

IIS Configuration

Bonus Bilgi

Eğer Sertifika sunucunuzun adını değiştirmek isterseniz yeni sunucuya tüm aşamalar aynıdır. Fakat Registry import ederken değişiklik yapmak gerekir.

Registry configuration açıp import etmeden önce; CAServerName Değiştiriniz.

CAServerName Rename

Burayı rename ettikten sonra import ediniz.

Sonuç olarak sizlere AD CA Migration senaryosunu anlatmış olduk. Windows Server 2008/2008R2/2012/2012R2/2016/2019 gibi sunucularınızı 2022 yeni sunucuya taşıyabilirsiniz. Diğer yazılarımı aşağıdaki kategorilerden takip edebilirsiniz.