Pourquoi ne pas installer une autorité de certification sur un contrôleur de domaine ?

Bonjour

Lors d’un projet de migration des contrôleurs de domaine de Windows 2003 vers Windows 2008 R2, j’ai été confronté à la problématique de la migration du serveur d’autorité de certification d’entreprise.  Ce dernier était installé sur un contrôleur de domaine. Hors je devais rétrograder ce serveur en serveur membre pour finaliser la migration des contrôleurs de domaine vers Windows 2008 R2 et configurer la forêt en mode natif 2008 R2.

PROBLEME :
Lorsque j’ai exécuté l’assistant DCPROMO sur le contrôleur de domaine / serveur d’autorité de certification, j’ai obtenu le message d’erreur suivant :
« Avant de pouvoir installer ou désinstaller Active Directory, vous devez supprimer le composant Autorité de certification ».
Il s’agit d’une contrainte Microsoft et non d’un bug.

SOLUTION :
La solution consiste à :
– Sauvegarder l’autorité de certification depuis la console « Autorité de certification ».
– Sauvegarder les certificats sur votre serveur (faire une exportation au format PFX). Pour cela, lancer une MMC vierge (mmc.exe) et ajouter le composant logiciel enfichable certificat. Faire l’ajout pour l’ordinateur et pour l’utilisation. Faire une exportation de vos certificats en exportant la clé privée (format PFX).
– Sauvegarder la configuration du service CERTSVC avec REGEDT32 en sauvegardant la clé :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices CertSvcConfigurationCA_NAME.
– Vérifier l’emplacement du service autorité de certification !
– Taper “certutil –shutdown” pour arrêter le service d’autorité de certification.
– Taper “certutil –key” pour avoir des informations sur le certificat d’autorité de certification.
– Taper “certutil –delkey CA_NAME” pour supprimer le certificat de l’autorité de certification.
– Supprimer le composant « Autorité de certification » du serveur. Voir : http://support.microsoft.com/kb/298138/fr
– Lancer DCPROMO sur le serveur pour lui retirer le rôle de contrôleur de domaine.
– Installer de nouveau le composant autorité de certification sur le serveur en réutilisant le certificat de l’autorité de certification sauvegardée. Utiliser le même chemin.
– Restaurer la sauvegarde de l’autorité de certification.
– Tester le redémarrage de la CA.
– Si cela fonctionne, faire une sauvegarde de :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvc ConfigurationCA_NAME.
– Supprimer cette clé et toutes les sous clés.
– Restaurer l’ancienne configuration de votre CA en double cliquant sur le fichier .REG obtenu avant de supprimer la CA d’origine.

Pour plus d’informations :
http://support.microsoft.com/kb/555012/en-us
http://www.windowsitpro.com/article/tips/moving-a-certificate-authority-ca-to-another-dc
http://support.microsoft.com/kb/298138/en-us

Dans certains cas, il n’est pas possible de démarrer le service autorité de certification. Le message d’erreur « Clé incorrecte. Ox80090003 (-2146893821) ». On a un message d’erreur Source CertSvc EVENTID 100 dans le journal d’événement. On a ce problème quand le composant « Autorité de certification » a été réinstallé vers un emplacement différent. La solution est alors de supprimer / réinstaller l’autorité de certification. Si vous ne retrouvez pas l’ancien emplacement de la CA, ne réimporter pas les anciens paramètres du service d’autorité de certification. Pour plus d’informations :
http://blogs.msdn.com/b/danpark/archive/2005/07/19/440524.aspx

Remarque :
Pour rappel, il est n’est pas possible de renommer un serveur avec le composant « Autorité de certification », la solution proposée dans les articles ci-dessus est d’ajouter un nom de service supplémentaire (SPN) au niveau du compte ordinateur du serveur cible. Dans mon cas je voulais conserver l’autorité de certification sur ce serveur. Pas besoin d’appliquer cette technique.

A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.

About the Author

Guillaume MATHIEU

3 Comments

  • Smithf203 said:
    11 octobre 2018 at 7 h 27 min

    Your weblog is 1 of a kind, i really like the way you organize the topics. kedbaefeedecfedg

  • Sy jacques said:
    4 mars 2015 at 20 h 48 min

    Bonjour,
    Je dois effectuer une étude sur la migration d’un dc 2008 R2 VERS WS 2012 R2.
    La migration en elle même ne me gêne pas trop, par contre là où j’hésite, c’est que ma société à installé une CA entreprise sur ce DC. Je dois donc sauvegarder et transférer l’autorité de certificat et éventuellement les autres certificats, je pense aussi que je dois garder le même nom pour le DC ?
    LA CA entreprises et tous les certificats seront installés de nouveau sur un DC mains en 2012 R2.
    Pourriez-vous m’aider, au moins dans les grandes lignes, pour que je puisse migrer la CA, les templates et autres certificats vers WS 2012 R2 sans faire d’erreur.
    Je vous remercie
    Cordialement Jacques SY

Laisser un commentaire