Sauvegarder et restaurer une autorité de certification (CA) sous Windows Server 2016

3. Restaurer votre autorité de certification

Pour ce tutoriel, nous avons arrêté le serveur où notre autorité de certification est actuellement installée et nous avons installé un nouveau serveur avec la même version de Windows Server.

3.1. Changer le nom NETBIOS du nouveau serveur

Avant de restaurer votre autorité de certification, il est important de changer le nom NETBIOS de votre nouveau serveur pour qu'il corresponde au nom NETBIOS de l'ancien serveur qui agissait en tant qu'autorité de certification.
En effet, ce nom est présent à différents endroits et notamment dans les URLs CDP permettant aux clients d'accéder aux listes de révocation publiées sur votre autorité de certification.

Dans notre cas, le nom NETBIOS de notre ancien serveur était : ca.
Une fois le nom NETBIOS modifié, cliquez sur OK.

Cliquez ensuite sur : Redémarrer maintenant.

3.2. Joindre le nouveau serveur au domaine

Comme vous le savez déjà, une autorité de certification d'entreprise est toujours liée à un domaine Active Directory.
Ce qui est notre cas.

Commencez par indiquer l'adresse IP de votre contrôleur de domaine Active Directory en tant que serveur DNS préféré sur votre nouveau serveur pour que ce serveur puisse trouver l'adresse IP correspondant au domaine Active Directory que vous souhaitez rejoindre.

A nouveau, dans les propriétés système de votre nouveau serveur, cliquez sur : Modifier les paramètres.

Sélectionnez "Domaine" et indiquez le nom de domaine dont faisait partie votre ancienne autorité de certification.

Indiquez les identifiants du compte Administrateur du domaine.

Le message "Bienvenue dans le domaine [nom de votre domaine]" apparait.
Cliquez sur OK.

Cliquez sur "Redémarrer maintenant" pour terminer la jonction au domaine Active Directory.

3.3. Réinstaller l'autorité de certification sur le nouveau serveur

Après le redémarrage du nouveau serveur (suite à sa jonction au domaine), connectez-vous en tant qu'administrateur du domaine au lieu du compte Administrateur local de ce serveur.

Pour commencer, copiez le fichier "CAPolicy.inf" de votre sauvegarde et collez-le dans le dossier "C:\Windows" de votre nouveau serveur.

Ensuite, lancez le gestionnaire de serveur et cliquez sur : Ajouter des rôles et des fonctionnalités.

Choisissez : Installation basée sur un rôle ou une fonctionnalité.

Installez le rôle : Services de certificats Active Directory.

Installez le service de rôle : Autorité de certification.

Cliquez sur : Installer.

Patientez pendant l'installation des services de certificats Active Directory.

Une fois l'installation des services de certificats Active Directory terminée, cliquez sur le lien qui s'affiche : Configurer les services de certificats Active Directory sur le serveur de destination.

L'assistant "Configuration des services de certificats Active Directory" apparait.
Cliquez sur Suivant.

Cochez la case "Autorité de certification" et cliquez sur Suivant.

Sélectionnez : Autorité de certification d'entreprise.

Sélectionnez "Autorité de certification racine".

Attention : cette fois-ci, vous devez sélectionner "Utiliser la clé privée existant" pour réutiliser la même paire "clé publique / clé privée".
Dans le cas contraire, tous les certificats que vous aviez émis par le passé n'émaneront plus d'une autorité de certification de confiance étant donné que la clé privée et la clé publique associée auront changé.

Lorsque vous souhaitez utiliser la clé privée existante, l'option "Sélectionner un certificat et utiliser sa clé privée associée" sera sélectionnée.
Ce qui vous permet d'importer la clé privée depuis un certificat (.p12) exporté précédemment.

A l'étape "Sélectionner un certificat existant pour l'AC" qui s'affiche, cliquez sur : Importer.

Dans la fenêtre "Importer un certificat existant" qui s'affiche, cliquez sur : Parcourir.

Sélectionnez le certificat "[nom de la CA].p12" créé précédemment lors de la sauvegarde de votre autorité de certification.

Le chemin du certificat apparait.
Indiquez le mot de passe protégeant la clé privée et cliquez sur OK.

Le certificat sélectionné apparait avec le nom et la date d'expiration de votre autorité de certification.

Une fois le certificat de votre autorité de certification importé, vous le verrez apparaitre dans le magasin de certificats "Personel" de votre serveur.

Si vous faites un double clic sur ce certificat, vous verrez que sa clé privée associée est aussi présente.