von

Wissen

Praxis-Artikel rund um Microsoft ADCS – alle frei verfügbar. Architektur, Härtung, ESC-Angriffsvektoren, Auto-Enrollment, HSM, Migration und Post-Quantum.

Zu den Inhalten
Beratung

Beratung, Projektbegleitung, Quick Health Check deiner ADCS-Umgebung. CA-Hierarchie-Redesign, BSI-/NIS2-Härtung, HSM-Integration, Migration und Algorithmenwechsel.

Zur Beratung
Fachbücher

Mein Fachbuch zu PKI und Zertifikaten in modernen Microsoft-Umgebungen – ADCS-Architektur, Härtung, Templates, S/MIME, TLS, Codesigning und 47-Tage-Migration. Kompromisslos praxisnah. In Vorbereitung!

Zu den Büchern
Tools

CertBinder erneuert TLS-Zertifikate atomar über IIS, Exchange, SharePoint, ADFS, SQL Server, RDS und LDAPS hinweg. SMimeManager rollt S/MIME-Zertifikate für Exchange Online/Server sauber aus. Beide on-premises, einmalige Lizenz.

Tools ansehen
Schulungen

Online-Workshops zu ADCS, Härtung, ESC-Angriffsvektoren, Templates, Migration und Post-Quantum – kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen
Table of Contents
2
3

ADCS-Migration: CA-Backup und Wiederherstellung

Side-by-Side statt Vabanque – wie eine CA-Migration mit sauberem Backup und Rückfalloption gelingt

ADCS-Migration Schritt für Schritt – inkl. CA-Backup und Wiederherstellung

Kurzfassung vorab

Eine ADCS-Migration ist kein Klick-Marathon, sondern eine Backup-Übung mit angeschlossenem Serverwechsel. Der sichere Standardweg im Mittelstand ist die Side-by-Side-Migration: neuer Host, Übernahme von CA-Datenbank und privatem Schlüssel, Parallelbetrieb mit Rückfalloption. Inplace-Upgrades sind verlockend schnell, aber rollbackfeindlich – und das Backup, das du nie getestet hast, ist im Ernstfall kein Backup. Wer eine Sache mitnimmt: Der private Schlüssel ist das einzige unersetzliche Teil. Geht er verloren, baust du die PKI neu auf.

Abb. 1: Die drei Migrationswege im Vergleich – Aufwand, Risiko und Eignung. Side-by-Side ist der Default für die meisten Projekte.

1. Drei Wege zur neuen CA – und warum nur einer der Default ist

Bevor du auch nur ein Backup ziehst, musst du wissen, welche Migrationsstrategie du fährst. Es gibt drei, und sie unterscheiden sich nicht in der PowerShell, sondern im Risiko. Die schlechte Nachricht zuerst: Der schnellste Weg ist auch der gefährlichste.

Inplace-Upgrade heißt: Du hebst das Betriebssystem des CA-Servers an (etwa 2016 auf 2022), die CA bleibt auf derselben Maschine. Das geht technisch, ist aber ein Drahtseilakt ohne Netz – läuft das Upgrade schief, hast du keinen sauberen Rückweg außer einem Restore. In gewachsenen Umgebungen mit Altlasten ist das ein Vabanquespiel.

Side-by-Side-Migration baut eine neue Maschine auf, installiert die ADCS-Rolle frisch und spielt das Backup der alten CA dort ein. Der Clou: Die alte CA läuft die ganze Zeit weiter. Geht etwas schief, ziehst du einfach den Stecker am Neuen und keiner merkt etwas. Das ist der Weg, den ich in praktisch jedem Mittelstandsprojekt gehe.

Komplette Neu-PKI baut eine frische Hierarchie parallel auf und rollt schrittweise um. Maximaler Aufwand, maximale Sauberkeit – sinnvoll genau dann, wenn die Altumgebung historisch verkorkst oder kompromittiert ist und du dem alten Trust schlicht nicht mehr traust.

Praxis-Tipp · Die Entscheidung fällt vor dem ersten Backup

Frag dich nicht „Wie migriere ich?“, sondern „Vertraue ich dem Ist-Zustand?“. Saubere, dokumentierte Umgebung mit gepflegten Templates → Side-by-Side. Gewachsenes Chaos ohne nachvollziehbare Historie oder Verdacht auf eine Kompromittierung → Neu-PKI. Inplace bleibt der Sonderfall fürs Lab.

2. Was du sichern musst – und was die meisten vergessen

Eine ADCS-CA besteht aus vier Bausteinen, die zusammengehören. Das Backup ist nur dann ein Backup, wenn alle vier dabei sind. Der Klassiker im Consulting-Alltag: jemand sichert brav die CA-Datenbank, aber nicht den privaten Schlüssel – und steht beim Restore vor einer hübschen, aber wertlosen Datensammlung.

Abb. 2: Die vier Bausteine eines vollständigen CA-Backups. Datenbank und privater Schlüssel sind zwingend, Registry und Konfiguration sparen beim Restore Stunden.

Die vier Bausteine im Klartext:

  • CA-Datenbank (.edb) plus Transaktionslogs – enthält alle ausgestellten Zertifikate, gesperrte Einträge und die CRL-Historie.
  • Privater CA-Schlüssel plus Zertifikat – das Herz der CA. Bei Software-CSP im Backup-Paket enthalten, bei HSM-Betrieb separat im HSM.
  • CertSvc-Registry-Zweig – CRL-Intervalle, CDP/AIA-Pfade, Erweiterungen, Audit-Einstellungen. Spart dir das mühsame Nachklicken.
  • CAPolicy.inf und Templates – die Templates liegen im AD (also bei einer Enterprise CA ohnehin migriert), die CAPolicy.inf gehört zur Server-Doku.

    • Warnung · Das Backup, das nie getestet wurde

    Ein Backup ist erst dann eines, wenn du den Restore mindestens einmal in einer Testumgebung durchgespielt hast. „certutil -backup lief ohne Fehler“ ist keine Wiederherstellungsgarantie. Wer das überspringt, merkt am Migrationstag, dass der private Schlüssel als „nicht exportierbar“ markiert war – und dann ist der Tag gelaufen.

    3. Side-by-Side Schritt für Schritt

    Der konkrete Ablauf einer Side-by-Side-Migration. Die alte CA bleibt bis zum verifizierten Cut-over unangetastet – das ist die ganze Idee hinter dem Verfahren.

    Abb. 3: Der Migrationsablauf als Sequenz. Erst wenn das Test-Enrollment gegen die neue CA sauber läuft, stoppt die alte die Ausstellung.

  • Backup ziehen auf der Alt-CA: Datenbank, privater Schlüssel und Registry.
  • Neue Maschine aufsetzen, ADCS-Rolle installieren, Backup einspielen – wichtig: identischer CA-Name (Common Name), sonst stimmen die ausgestellten Zertifikate nicht mehr mit der CA überein.
  • CDP/AIA-URLs prüfen und in AD veröffentlichen. Wenn sich der Hostname ändert, müssen die Veröffentlichungspfade mitgezogen werden.
  • Test-Enrollment mit einem Pilot-Client gegen die neue CA. Erst wenn das sauber durchläuft, geht es weiter.
  • Alt-CA stoppt die Ausstellung – bleibt aber online und veröffentlicht weiter ihre CRL.
  • Auto-Enrollment läuft jetzt produktiv über die neue CA. Cut-over abgeschlossen.

    • PowerShell · Backup und Restore einer ADCS-CA

    # — Auf der ALTEN CA: vollständiges Backup inkl. privatem Schlüssel —

    # Passwort schützt den privaten Schlüssel im PFX. Niemals leer lassen.

    $pw = Read-Host "Backup-Passwort" -AsSecureString

    Backup-CARoleService -Path "D:\CABackup" -Password $pw

     

    # Registry-Konfiguration der CA separat exportieren

    reg export "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration" `

    "D:\CABackup\CertSvc-Config.reg" /y

     

    # — Auf der NEUEN CA: nach Rolleninstallation Restore einspielen —

    # ADCS-Rolle installieren (noch nicht konfigurieren!)

    Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

     

    # Datenbank und privaten Schlüssel zurückspielen

    Restore-CARoleService -Path "D:\CABackup" -Password $pw -Force

     

    # Registry-Zweig importieren, danach Dienst starten

    reg import "D:\CABackup\CertSvc-Config.reg"

    Start-Service CertSvc

     

    # Kontrolle: stimmen CA-Name und Zertifikate?

    certutil -getreg CA\CommonName

    certutil -view -restrict "RequestID>0" -out "RequestID,CommonName" | Select-Object -First 20

    4. Die typischen Stolperfallen

    Migrationen scheitern selten an der CA-Datenbank. Sie scheitern an den Dingen drumherum – Pfaden, Namen, Schlüsseln. Hier die Verdächtigen, die im Consulting-Alltag immer wieder auftauchen.

    Falle

    Symptom

    Gegenmittel

    CA-Name geändert

    Alte Zertifikate validieren nicht mehr

    Common Name identisch halten

    Privater Schlüssel nicht exportierbar

    Restore bricht ab

    Vorab Exportierbarkeit prüfen

    CDP/AIA zeigt auf Alt-Host

    Revocation-Checks schlagen fehl

    URLs umziehen, dann publizieren

    Alt-CA zu früh gelöscht

    CRL weg, Massen-Validierungsfehler

    CRL bis Restlaufzeit online

    HSM-Provider fehlt am Ziel

    Schlüssel nicht ladbar

    Identischen CSP/KSP installieren

     

    Warnung · Der CA-Name ist in Stein gemeißelt

    Der Common Name der CA steckt in jedem einzelnen ausgestellten Zertifikat als Aussteller-Referenz. Änderst du ihn bei der Migration, sind alle Bestandszertifikate faktisch verwaist. Wer einen schöneren CA-Namen will, braucht keine Migration, sondern eine Neu-PKI.

    5. Cut-over und das Abschalten der Alt-CA

    Der häufigste Fehler kommt nach der Migration: Die alte CA wird zu früh entsorgt. Sie hat aber noch einen Job – ihre CRL hält alle von ihr ausgestellten Zertifikate validierbar. Schaltest du sie ab, brechen schlagartig die Revocation-Checks weg.

    Abb. 4: Die Overlap-Zone ist Absicht. Die Alt-CA bleibt als CRL-Lieferant online, bis ihre letzten Zertifikate abgelaufen sind.

    Info · Verweis

    Wie du die CRL-Veröffentlichung sauber aufsetzt, ohne die Alt-CA dauerhaft im Netz zu lassen, zeigt der Spoke „CRL-Veröffentlichung der Offline Root – der elegante Weg ohne Netzwerk“ (Spoke 2.4). Für den Algorithmenwechsel während der Migration siehe Spoke 4.2.

    Praxis-Beispiel

    Ausgangslage: Die Trendforge Digital GmbH (Tech-Scaleup, rund 400 Mitarbeiter, cloud-affin) betreibt eine zweistufige PKI mit einer Issuing CA auf Windows Server 2016. Das OS läuft aus dem Support, die CA soll auf Server 2025 umziehen – ohne dass die rund 1.800 ausgestellten Geräte- und Nutzerzertifikate Schaden nehmen.

    Maßnahme: Wir entscheiden uns für Side-by-Side. Backup der Alt-CA mit Backup-CARoleService inklusive privatem Schlüssel, neue VM mit identischem CA-Namen, Restore eingespielt. CDP/AIA bleiben auf einem DFS-Pfad, der unabhängig vom Hostnamen erreichbar ist – also kein URL-Umzug nötig. Test-Enrollment gegen einen Pilot-Client, dann Cut-over.

    Ergebnis: Der Cut-over selbst dauerte unter einer Stunde, kein Anwender bemerkte etwas. Die Alt-CA blieb als CRL-Lieferant zwölf Monate online, bis das letzte 1-Jahres-Zertifikat ausgelaufen war, und ging dann sauber vom Netz. Kein einziges verwaistes Zertifikat, keine Validierungsfehler.

    Verwandte Themen

  • Pillar-Seite: Active Directory Certificate Services – der komplette Leitfaden → /adcs-leitfaden/
  • Side-by-Side-Migration im Detail – die unterschätzten Stolperfallen → /adcs-side-by-side/
  • Algorithmenwechsel und Hash-Migration ohne Reissuance → /adcs-hash-migration/
  • CRL-Veröffentlichung der Offline Root – der elegante Weg ohne Netzwerk → /adcs-crl-offline/

    • Häufige Fragen (FAQ)

    Wie sichere ich eine ADCS-CA vollständig?

    Ein vollständiges Backup umfasst vier Teile: CA-Datenbank, privaten Schlüssel, CertSvc-Registry und die Konfigurationsdateien. Mit Backup-CARoleService und einem Passwort für den privaten Schlüssel bekommst du Datenbank und Schlüssel in einem Rutsch. Die Registry exportierst du separat. Wichtig: Teste den Restore einmal in einer Testumgebung, sonst ist es kein Backup, sondern eine Hoffnung.

    Was ist der Unterschied zwischen Inplace und Side-by-Side?

    Inplace hebt das Betriebssystem auf derselben Maschine an, die CA bleibt am Platz – schnell, aber ohne sauberen Rückweg. Side-by-Side baut eine neue Maschine auf und spielt das Backup dort ein, während die alte CA weiterläuft. Side-by-Side ist der sichere Standardweg, weil du jederzeit zurück kannst.

    Warum muss der CA-Name bei der Migration gleich bleiben?

    Der Common Name der CA steckt als Aussteller-Referenz in jedem ausgestellten Zertifikat. Änderst du ihn, verlieren alle Bestandszertifikate ihren Bezug zur CA und validieren nicht mehr. Wer einen neuen Namen will, braucht eine komplette Neu-PKI, keine Migration.

    Wann darf ich die alte CA abschalten?

    Erst wenn das letzte von ihr ausgestellte Zertifikat abgelaufen oder umgezogen ist. Bis dahin muss die alte CA ihre CRL weiter veröffentlichen, damit Revocation-Checks funktionieren. Bei 1-Jahres-Zertifikaten bedeutet das rund zwölf Monate Parallelbetrieb der CRL.

    Was passiert mit dem privaten Schlüssel bei einer HSM-CA?

    Bei einer HSM-CA liegt der private Schlüssel im HSM und wird nicht über Backup-CARoleService mitgesichert. Du musst den Schlüssel separat im HSM sichern oder den identischen HSM-Provider auf dem Zielsystem bereitstellen. Ohne passenden Provider lässt sich der Schlüssel auf der neuen Maschine nicht laden.

    Wie teste ich, ob die Migration erfolgreich war?

    Prüfe nach dem Restore den CA-Namen mit certutil -getreg CA\CommonName und kontrolliere die übernommenen Zertifikate. Danach machst du ein Test-Enrollment mit einem Pilot-Client gegen die neue CA. Läuft das sauber und sind CDP/AIA erreichbar, ist die Migration verifiziert – erst dann stoppst du die Ausstellung auf der alten CA.

    Nächste Schritte mit boddenberg.de

    Eine Migration ist der Moment, in dem sich zeigt, ob die PKI sauber dokumentiert war. Wenn du nicht allein durch den Cut-over willst:

  • ADCS-Health-Check · Standortbestimmung deiner bestehenden PKI vor der Migration – Architektur, Härtung, Audit-Readiness.
  • Architektur- oder Redesign-Workshop · Vom Ist-Zustand zur Zielarchitektur, auf Wunsch fokussiert auf das Migrationsszenario.
  • Implementierungs- oder Migrationsbegleitung · Beratung und technische Unterstützung beim Umsetzen – vom Backup bis zum verifizierten Cut-over.

    •  

    Für die atomare Erneuerung von TLS-Zertifikaten über IIS, Exchange und Co. nach der Migration lohnt ein Blick auf CertBinder (siehe Spoke 5.2). Mehr Hintergrund zu PKI-Migrationen liefert das PKI-Buch „PKI und Zertifikate in modernen Microsoft-Umgebungen“ (sobald veröffentlicht).

     

    Kontakt: Uli Boddenberg · boddenberg.de · Dortmund