mars
2010
Un article de Michaël
Une fois que la copie est effectuée, il faut remonter l’autorité sur ce nouveau serveur Core. Tout se passe dessus à partir de maintenant. Il faut aller dans le répertoire migrateCAkit fraîchement copié pour restaurer la clé privée de l’autorité.
certutil -importpfx "backupCA\Todorovic Intermediate Certification Authority.p12"
Le mot de passe entré tout à l’heure est alors demandé. Une fois la clé installée, il va falloir installer l’autorité en utilisant cette clé. On doit alors trouver le nom du conteneur de clé. Pour cela, il faut utiliser la commande
certutil -store my | find "Conteneur de cl"
ou
certutil -store my | find "Key Container"
selon la langue de votre système. Vous devriez alors avoir une ligne du genre
Key Container = Todorovic Intermediate Certification Authority-d1e9bdc8-8edf-410d-a1bb-05f096b901a7
Vous devrez prendre cette ligne après le « = » et sans espaces devant ni derrière cette « phrase ». Ca donnera « Todorovic Intermediate Certification Authority-d1e9bdc8-8edf-410d-a1bb-05f096b901a7″.
Maintenant, l’étape la plus importante dans la migration : l’installation de l’autorité. Cela se fait simplement avec la commande suivante
cscript SetupCA.vbs /IF /RC /SN "Todorovic Intermediate Certification Authority-d1e9bdc8-8edf-410d-a1bb-05f096b901a7"
Il est nécessaire de bien comprendre les paramètres de SetupCA.vbs. Ceux commençant par I déterminent le type d’autorité qui sera installée. Naturellement, le type doit être identique à l’ancienne autorité.
- /IE : Autorité d’entreprise racine
- /IS : Autorité autonome racine
- /IF : Autorité d’entreprise secondaire
- /IT : Autorité autonome secondaire
- /RC : Réutiliser la clé privée et le certificat : cela évite de créer une nouvelle clé et un nouveau certificat
- /SN : Nom de l’autorité : doit reprendre la valeur de la commande certutil -store my
- /UC : désintaller l’autorité
Si tout se passe bien, vous devriez voir une ligne « Found cert !« . Cela veut dire que le script a bien pris en compte la clé. Si vous ne la voyez pas, contrôlez bien la valeur de /SN. Il est inutile d’aller plus loin si le script n’a pas trouvé la clé. Pour ré-essayer, vous devrez supprimer l’autorité avec
cscript SetupCA.vbs /UC
Par défaut, le script démarre l’autorité. Cette dernière est installée mais n’est pas correctement paramétrée et le backup n’est toujours pas restauré : il va falloir arrêter l’autorité avec
sc stop certsvc
On va importer l’ancienne configuration depuis le fichier de registre modifié CAsettingsCore.reg
reg import CAsettingsCore.reg
Si vous suivez les Best Practices, votre autorité stockait ses données sur un disque différent du disque système. Il va donc falloir s’assurer que ces paramètres sont bien en place.
certutil -setreg DBLogDirectory "D:\CertLog"
certutil -setreg DBTempDirectory "D:\CertLog"
certutil -setreg DBSystemDirectory "D:\CertLog"
Le chemin doit bien entendu exister sur votre serveur Core.
Pour finir, il faut importer la base de l’ancienne autorité avec
certutil -f -restoredb %userprofile%\Documents\migrateCA\backupCA
Si vous obtenez une erreur 0x8007010b, c’est que votre autorité a mal été installée (il vous manquait sans doute la ligne Found cert !). Si vous obtenez une erreur 0x80070091, c’est que vous avez oublié le -f pour forcer le remplacement des bases. Il faudra alors la supprimer pour la réinstaller.
Enfin, si vous allez de Windows 2003/2008 vers 2008 R2, il faudra modifier une valeur du registre avec
certutil -setreg DBSessionCount 100
Il ne reste plus qu’à démarrer l’autorité avec
sc start sertsvc
La dernière chose à faire sera de contrôler que l’autorité a bien été migrée avant de supprimer l’ancienne autorité définitivement 