Windows PowerShell-Cmdlets zum Sichern und Wiederherstellen von Zertifizierungsstellen
Autor: Justin Turner, Senior Support Escalation Engineer bei der Windows-Gruppe
Hinweis
Dieser Inhalt wurde von einem Mitarbeiter des Microsoft-Kundendiensts geschrieben und richtet sich an erfahrene Administratoren und Systemarchitekten, die einen tieferen technischen Einblick in die Funktionen und Lösungen von Windows Server 2012 R2 suchen, als Ihnen die Themen im TechNet bieten können. Allerdings wurde er nicht mit der gleichen linguistischen Sorgfalt überprüft wie für die Artikel des TechNet üblich, so dass die Sprache gelegentlich holprig klingen mag.
Überblick
Das Windows PowerShell-Modul „ADCSAdministration“ wurde in Window Server 2012 eingeführt. Diesem Modul wurden in Window Server 2012 R2 zwei neue Cmdlets hinzugefügt, um die Sicherung und Wiederherstellung einer Zertifizierungsstelle zu unterstützen.
Backup-CARoleService
Restore-CARoleService
Backup-CARoleService
ADCSAdministration Cmdlet: Backup-CARoleService
| Argumente (erforderliche Argumente sind fett markiert) | BESCHREIBUNG |
|---|---|
| -Path | – Zeichenfolge: Standort zum Speichern der Sicherung – Der einzige unbenannte Parameter – Positionsparameter Beispiel: Backup-CARoleService.-Path c:\adcsbackup1 Backup-CARoleService c:\adcsbackup2 |
| -KeyOnly | – Sicherung des Zertifizierungsstellenzertifikats ohne Datenbank Beispiel: Backup-CARoleService c:\adcsbackup3 -KeyOnly |
| -Password | – Gibt das Kennwort zum Schutz von Zertifizierungsstellenzertifikaten und privaten Schlüsseln an – Muss eine sichere Zeichenfolge sein – Nicht gültig mit dem Parameter „-DatabaseOnly“ Beispiel: Backup-CARoleService c:\adcsbackup4 -Password (Read-Host -prompt "Password:" -AsSecureString) Backup-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force) |
| -DatabaseOnly | – Sicherung der Datenbank ohne Zertifizierungsstellenzertifikat Backup-CARoleService c:\adcsbackup6 -DatabaseOnly |
| -Force | 1. Ermöglicht das Überschreiben der Sicherung, die sich bereits an dem über den Parameter „-Path“ angegebenen Speicherort befindet. Backup-CARoleService c:\adcsbackup1 -Force |
| -Incremental | – Ausführen einer inkrementellen Sicherung Backup-CARoleService c:\adcsbackup7 -Incremental |
| -KeepLog | 1. Weist den Befehl an, Protokolldateien beizubehalten. Wenn die Option nicht angegeben wird, werden die Protokolldateien – außer im Szenario für inkrementelle Sicherungen – standardmäßig abgeschnitten. Backup-CARoleService c:\adcsbackup7 -KeepLog |
-Password <sichere Zeichenfolge>
Wenn der Parameter „-Password“ verwendet wird, muss das übergebene Kennwort eine sichere Zeichenfolge sein. Verwenden Sie das Cmdlet Read-Host, um eine interaktive Aufforderung zur Eingabe eines sicheren Kennworts zu starten, oder verwenden Sie das Cmdlet ConvertTo-SecureString, um das Kennwort inline anzugeben.
Sehen Sie sich die folgenden Beispiele an.
Angeben einer sicheren Zeichenfolge für den Parameter „Password“ mit „Read-Host“
Backup-CARoleService c:\adcsbackup4 -Password (Read-Host -prompt "Password:" -AsSecureString)
Angeben einer sicheren Zeichenfolge für den Parameter „Password“ mit „ConvertTo-SecureString“
Backup-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force)
Restore-CARoleService
ADCSAdministration Cmdlet: Restore-CARoleService
| Argumente (erforderliche Argumente sind fett markiert) | BESCHREIBUNG |
|---|---|
| -Path | – Zeichenfolge: Speicherort, von dem aus die Sicherung wiederhergestellt werden soll – Der einzige unbenannte Parameter – Positionsparameter Beispiel: Restore-CARoleService.-Path c:\adcsbackup1 -Force Restore-CARoleService c:\adcsbackup2 -Force |
| -KeyOnly | – Wiederherstellung des Zertifizierungsstellenzertifikats ohne Datenbank – Muss angegeben werden, wenn die Sicherung mit der Option „-KeyOnly“ erstellt wurde Beispiel: Restore-CARoleService c:\adcsbackup3 -KeyOnly -Force |
| -Password | – Gibt das Kennwort für Zertifizierungsstellenzertifikate und private Schlüssel an – Muss eine sichere Zeichenfolge sein Beispiel: Restore-CARoleService c:\adcsbackup4 -Password (read-host -prompt "Password:" -AsSecureString) -Force Restore-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force) -Force |
| -DatabaseOnly | – Wiederherstellung der Datenbank ohne Zertifizierungsstellenzertifikat Restore-CARoleService c:\adcsbackup6 -DatabaseOnly |
| -Force | – Ermöglicht das Überschreiben der bereits vorhandenen Schlüssel – Ist ein optionaler Parameter, bei der direkten Wiederherstellung aber wahrscheinlich erforderlich Restore-CARoleService c:\adcsbackup1 -Force |
Probleme
Wenn die Funktion „ConvertTo-SecureString“ bei Verwendung von „Backup-CARoleService“ mit dem Parameter „-Password“ fehlschlägt, wird eine nicht kennwortgeschützte Sicherung erstellt.
Häufige Fehler
| Aktion | Fehler | Kommentar |
|---|---|---|
| Restore-CARoleService C:\ADCSBackup | Restore-CARoleService: Der Prozess kann nicht auf die Datei zugreifen, da sie bereits von einem anderen Prozess verwendet wird. (Ausnahme von HRESULT: 0x80070020) |
Beenden Sie die Active Directory-Zertifikatdienste vor Ausführung des Cmdlets „Restore-CARoleService“. |
| Restore-CARoleService C:\ADCSBackup | Restore-CARoleService: Das Verzeichnis ist nicht leer. (Ausnahme von HRESULT: 0x80070091) | Verwenden Sie den Parameter „-Force“, um vorhandene Schlüssel zu überschreiben. |
| Backup-CARoleService C:\ADCSBackup -Password (Read-Host -Prompt "Password:" -AsSecureString) -DatabaseOnly | Backup-CARoleService: Der Parametersatz kann mit den angegebenen benannten Parametern nicht aufgelöst werden. | Der Parameter „-Password“ wird nur für den Kennwortschutz von privaten Schlüsseln verwendet und ist daher ungültig, wenn Sie diese nicht sichern. |
| Restore-CARoleService C:\ADCSBack15 -Password (Read-Host -Prompt "Password:" -AsSecureString) -DatabaseOnly | Restore-CARoleService: Der Parametersatz kann mit den angegebenen benannten Parametern nicht aufgelöst werden. | Der Parameter „-Password“ wird nur für den Kennwortschutz von privaten Schlüsseln verwendet und ist daher ungültig, wenn Sie diese nicht wiederherstellen. |
| Restore-CARoleService C:\ADCSBack14 -Password (Read-Host -Prompt "Password:" -AsSecureString) | Restore-CARoleService: Das System kann die angegebene Datei nicht finden. (Ausnahme von HRESULT: 0x80070002) | Der angegebene Pfad enthält keine gültige Datenbanksicherung. Möglicherweise ist der Pfad ungültig, oder die Sicherung wurde mit der Option „-KeysOnly“ erstellt? |
Weitere Ressourcen
Active Directory Certificate Services Migration Guide (Migrationshandbuch für die Active Directory-Zertifikatdienste)
Sichern der Datenbank der Zertifizierungsstelle und des privaten Schlüssels
Wiederherstellen der Datenbank und Konfiguration der Zertifizierungsstelle auf dem Zielserver
Versuchen Sie Folgendes: Sichern der Zertifizierungsstelle unter Verwendung von Windows PowerShell in Ihrem Lab
Verwenden Sie die Befehle in dieser Lektion, um die Zertifizierungsstellendatenbank und den mit einem Kennwort geschützten privaten Schlüssel zu sichern.
Warten Sie zunächst mit der Wiederherstellung der Zertifizierungsstelle.