Sertifika Servisi Yüklü Olan Sunucunuzu Nasıl Taşırsınız? Microsoft Certification Authority Migration

Bazen güvenlik gerekçeleri dolayısı ile, bazen eski sunucuyu yeni sunucuya taşıma süreçlerinde sertifika sunucunuzu bir sunucudan başka bir sunucuya taşımanız gerekebilir! Korkmayın, bu makaledeki adımları takip ederek çok kolay bir şekilde eski sunucudan yeni sunucuya sertifika servisinizi taşıyor olacaksınız.

Yapımdan biraz bahsedeyim, eski sunucum Windows Server 2008 üzerine kurulmuş (14 şubat 2020’de tamamiyle end of support oluyor bknz.,) lokal sertifika sunucu’dan, Windows server 2016 sürümüne taşınması aşamasında alınan ekran görüntülerinden oluşmuştur.

Bu makale’deki ortamım şu şekilde;

Server NameOperating SystemServer Roles
Exchange.nordisglobal.localWindows Server 2008Exchange Server, AD CS (Enterprise Certificate Authority)
Apollo.nordisglobal.localWindows Server 2016

Özet bilgiyi de verdiğimize göre şimdi gelelim bu işlemleri nasıl yaptığımıza

Adım 1: Windows Server 2008 certificate authority database’ini ve konfigurasyonun yedeklenmesi

  1. Windows Server 2008 sunucunuza local/domain administrator olarak bağlanın
  2. Start > Administrative Tools > Certification Authority’e gidin
  1. Açılan Sertifika MMC konsolunda sunucu node’u üzerinde sağ tıklayarak Backup CA butonuna tıklanır.
  1. Gelen sertifika sunucu yedekleme sihirbazı penceresine (Certification Authority Backup Wizard) Next ile devam edilir.
  1. Bir sonraki ekranda “Private key and CA certificate” ve “Certificate database and certificate database log” kutucuklarını işaretleyerek Browse butonuna tıklanarak, sertifika veritabanının yedekleneceği yol’u göstermemiz gerekiyor. Sonrasında Next ile devam ediyoruz.
  1. Ardından Sertifika ve Private Key’i korumak amacıyla parola girmenizi istenecektir, parolayı girdikten sonra Next butonuna tıklayın.
  1. Sonraki ekranda doğrulama ve yedeklemenin tamamlandığına dair Finish yazısı çıkacaktır.

Adım 2: Sertifika sunucunun kayıt defteri ayarlarının yedeklenmesi.

  1. Start>Run tıklanarak regedit yazılır ve Ok butonuna basılır ve regedit penceresi açılır.
  2. Bu işlemin ardından sertifika sunucunun kayıt defteri kayıtlarının yedeklenmesini yapalım.

Registry editör de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration üzerine gelerek buradaki kayıtları export yapalım.

  1. Bir sonraki adım yedeklemenin yapılacağı dizini gösterip, yedek için bir isim belirterek Save butonuna basarak yedeklemeyi yapalım. BackupCA.reg adı ile kaydediyorum ben.

Adım 3: Windows Server 2008’den Sertifika Servisinin kaldırılması

Artık yedek dosyalarımız hazır ve Sertifika hizmetlerini yeni Windows Server 2016’da yapılandırmadan önce CA hizmetlerini Windows Server 2008’den kaldırabiliriz. Bunu yapmak için aşağıdaki adımları takip etmeniz gerekir.

  1. Server Manager>Roles>Remove Roles
  1. Gelen ekranı Next butonu ile geçebilirsiniz.
  1. Bir sonraki ekranda “Active Directory Certificate Services” tikini kaldırarak Next butonu ile devam edelim.
  1. Sertifika servisininin kaldırılması için “Remove” seçeneği ile servisin kaldırılmasını tamamlayın.

Bu işlemle beraber, Windows Server 2008 sertifika servisinin kaldırılması işlemini tamamladık, bir sonraki adım Windows Server 2016’da sertifika servisinin kurulup yapılandırılması.

Adım 4: Windows Server 2016’ya Sertifika Servisinin Kurulması

  1. Windows Server 2016 sunuzu’ya local admin ya da domain admin olarak giriş yapın.
  2. Server Manager> Add roles and features’a gidelim.
  1. “Add roles and feature” sihirbazı açılacak, devam etmek için next butonuna tıklayacaksınız.
  1. Bir sonraki adımda “Role-based or feature-based installation” seçeneği seçilerek next butonuna basılır.
  1. Server Selection ekranında herhangi bir ayar’a dokunmadan varsayılan değerler seçili kalarak Next ile devam edelim.
  1. Bir sonraki ekranda “Active Directory Certificate Services” özelliği eklenmek için tıklayın, gerekli özelliklerin eklenmesi için bir pencere açılacaktır, eklemek için “Add features” seçeneğini tıklayın.
  1. Features bölümünde herhangi bir ayar’a dokunmadan Next ile devam ediyoruz.
  1. Bir sonraki adımda AD CS servisi hakkında kısa bir açıklama gözükecektir, devam etmek için Next butonuna tıklayın.
  1. Role Services bölümünde “Certification Authority” ve “Certification Authority Web Enrollment” seçeneklerinin seçimini yaparak Next ile ilerliyoruz.
  1. “Certification Authority Web Enrollement” özelliğinin yüklenebilmesi için IIS gereksinim duyar, bir sonraki adım’da IIS hakkında kısa bir açıklama gözükecektir, Next ile devam ediyorum.
  2. Gelen ekranda özelliklerin yüklenebilmesi için “Add Features” seçeneğine basılır.
  1. Eğer gereksinim var ise “Restart the destination server automatically if required” seçilerek, Yes butonuna basılır.
  1. Gelen özet ekranında kurulumun tamamlandığına dair özet bilgi gösterilecektir. Close ile bu ekranı kapatabilirsiniz.

Adım 5: AD CS Yapılandırılması

Bu adımda oluşturmuş olduğumuz yedek ayarları ve geri yükleme adımlarına bakılacaktır.

  1. Sertifika servisinin kurulmuş olduğu server’a Enterprise Administrator olarak giriş yapın.
  2. Server Manager> AD CS’ye tıklayın.
  1. Ekranın sağ üst köşesinde “More” seçeneği gözükecektir, yapılandırabilmek için buradaki butonu tıklayın.
  1. Açılan ekranda “Configure Active Directory Certificate Service …..” seçeneği seçimini yaparak devam edelim
  1. Bir sonraki pencerede kimlik bilgisi istenen ekran gelecektir, ben Enterprise Admin kullanıcımla sunucuma giriş yaptığım için Next ile devam ediyorum. Eğer bu adımda kurulum’a devam edemiyorsanız, girmiş olduğunuz kullanıcı, yetkili bir kullanıcı olmayabilir.
  1. Gelen ekranda hangi servisleri yapılandırmak istediğimize dair pencere açılacaktır, “Certification Authority”, “Certification Authority Web Enrollment” seçenekleriini seçerek next ile devam edin.
  1. Bir sonraki ekranda “Enterprise CA” seçeneğini seçin ve Next butonuna tıklayın.
  1. Gelen ekranda Root CA” seçeneği seçilerek Next ile devam edin.
  1. Bir sonraki seçenek çok önemlidir, bizden yeni bir private key oluşturmamız istenir, biz başka bir sunucudan geçiş yaptığımız ve daha önceden bir private key’imiz olduğu için biz “Use existing private key”, “Select a certificate and use its associated private key” seçenekleri seçilerek next ile devam edilir.
  1. Bir sonraki ekran import ekranı, yani daha önceki yedeğini aldığımız sertifika veritabanı yedeğinin yolunu göstermemiz gerekmekte, Browse butonu ile bu yol’u göstererek, daha önceden yedekleme için kullandığımız password’ü girerek Ok butonuna basarak devam edelim.
  1. Bir sonraki ekran’da içeri aktarılmış bir sertifika sunucusu gözükecektir, next ile devam ediyorum.
  1. Bu ekranda sertifika sunucusunun veritabanı yolu ve loglarının olduğu yolu girmeniz istenmekte, ben burada varsayılan olarak bıraktım. Next ile devam ediyoum
  1. Bir sonraki adımda yapılan işlemlerle ilgili konfigurasyon doğrulaması ekranı gelecektir, eğer ayarlarınızda bir yanlışlık yok ise Configure seçeneği ile devam edebilirsiniz.
  1. Kurulum tamamlandı. Kurulum sihirbazını kapatmak için Close butonuna tıklayabilirsiniz.

Adım 6: CA yedeğinden geri dönme

Şimdi, Windows Server 2008’de yaptığımız CA yedeğimizin geri yüklemesini yapmamız gerekiyor.

  1. Server Manager>Tools>Certification Authority seçeneğine gidin.
  2. Server Node’u üzerinde sağ tıklayarak All Tasks> Restore CA seçeneğini seçin.
  1. Sertifika servisinin durdurulacağına dair uyarı gözükecektir, OK butonuna basarak geri yüklemenin devam edilebilmesi için onaylayın.
  1. “Certification Authority Restore Wizard” seçenepş gözğkecektir, Next ile devam edelim.
  1. Bir sonraki adımda Windows Server 2008’de aldığımız CA yedek dosyasının bulunduğu dizin’i gösterin ve “Private key and CA certificate”, “Certificate database and certificate database log” seçeneklerini işaretleyelim ve Next butonu ile devam edelim.
  1. Bu adımda Windows Server 2008 sunucuda CA sunucunun private key’inin çalınmaması amacıyla girdiğimiz parolamızı giriyoruz.
  1. Bir sonraki adımda Finish butonuna tıklayarak, kurulumu tamamlayalım.
  1. Servisin başlatılması için bir pop-up pencere gelecektir, bu adımda Yes seçeneği ile devam edilir.

Adım 7: Registry kaydının geri yüklenmesi

Bu adımda eğer benim ortamımdaki gibi sunucu isimleri birbirinden farklı ise, registry kaydını notepad ile açarak eski sunucunun adını, yeni sunucu ile değiştirilmesi gerekmektedir.

  1. Registry kaydına çift tıklarak kaydın birleştirmesi için devam edilmesi gerektiğine dair bir ekran gelecektir, Yes ile devam edelim.
  1. Sertifika sunucu taşıma işlemi tamamlanmıştır.

Eğer tüm adımları doğru bir şekilde tamamlamışsanız eğer, Sertifika sunucusu taşıma işlemi başarıyla tamamlanmış demektir. Son olarak Sertifika sunucusu üzerinde Certificate Templates seçeneklerinin boş gelmediğine dikkat edilmesi önemli kontrollerden biridir, eğer burası boş ve ya hata kodu ile geliyorsa registry kaydı içerisinde değiştirilmeyen bir isim olabilir. Eğer yanlışlık yapmış ya da Templates alanı boş geliyorsa CA servisinin kaldırılarak, registry yoluna gidilerek o yolun silinmesi işlemini yaptıktan sonra yeniden başlatmalı ve sonrasında sıfırdan servis kurulumu yapılması önerilmektedir.

Referanslar:

https://blogs.technet.microsoft.com/canitpro/2014/11/11/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2003-to-2012-r2

https://www.petenetlive.com/KB/Article/0001473

Exit mobile version