Applets de commande de sauvegarde et de restauration de l'autorité de certification Windows PowerShell
Auteur : Justin Turner, ingénieur support senior d’escalade auprès du groupe Windows
Notes
Ce contenu est écrit par un ingénieur du support client Microsoft et est destiné aux administrateurs expérimentés et aux architectes système qui recherchent des explications techniques plus approfondies des fonctionnalités et des solutions Windows Server 2012 R2 que n'en proposent généralement les rubriques de TechNet. Toutefois, il n'a pas subi les mêmes passes de correction. De ce fait, une partie du langage peut sembler moins finalisée que le contenu de TechNet.
Vue d’ensemble
Le module ADCSAdministration de Windows PowerShell a été introduit dans Window Server 2012. Deux nouvelles applets de commande ont été ajoutées à ce module dans Windows Server 2012 R2 pour prendre en charge la sauvegarde et la restauration d’une autorité de certification.
Backup-CARoleService
Restore-CARoleService
Backup-CARoleService
Applet de commande ADCSAdministration : Backup-CARoleService
| Arguments - les arguments en gras sont obligatoires | Description |
|---|---|
| -Path | - Chaîne : emplacement d’enregistrement de la sauvegarde - Il s’agit du seul paramètre sans nom - paramètre de position Exemple : Backup-CARoleService.-Path c:\adcsbackup1 Backup-CARoleService c:\adcsbackup2 |
| -KeyOnly | - Sauvegarde le certificat d’autorité de certification sans la base de données Exemple : Backup-CARoleService c:\adcsbackup3 -KeyOnly |
| -Mot de passe | - Spécifie le mot de passe pour protéger les certificats d’autorité de certification et les clés privées - Doit être une chaîne sécurisée - Non valide avec le paramètre -DatabaseOnly Exemple : Backup-CARoleService c:\adcsbackup4 -Password (Read-Host -prompt "Password:" -AsSecureString) Backup-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force) |
| -DatabaseOnly | - Sauvegarde la base de données sans le certificat d’autorité de certification Backup-CARoleService c:\adcsbackup6 -DatabaseOnly |
| -Force | 1. Vous permet de remplacer la sauvegarde qui existe à l’emplacement spécifié dans le paramètre -Path Backup-CARoleService c:\adcsbackup1 -Force |
| -Incremental | - Effectue une sauvegarde incrémentielle Backup-CARoleService c:\adcsbackup7 -Incremental |
| -KeepLog | 1. Indique à la commande de conserver les fichiers journaux. Si le commutateur n’est pas spécifié, les fichiers journaux sont tronqués par défaut, sauf dans le scénario incrémentiel Backup-CARoleService c:\adcsbackup7 -KeepLog |
-Password <Chaîne sécurisée>
Si le paramètre -Password est utilisé, le mot de passe fourni doit être une chaîne sécurisée. Utilisez l’applet de commande Read-Host pour lancer une invite interactive de saisie de mot de passe sécurisée, ou utilisez l’applet de commande ConvertTo-SecureString pour spécifier le mot de passe inline.
Passez en revue les exemples suivants
Spécification d’une chaîne sécurisée pour le paramètre Password à l’aide de Read-Host
Backup-CARoleService c:\adcsbackup4 -Password (Read-Host -prompt "Password:" -AsSecureString)
Spécification d’une chaîne sécurisée pour le paramètre Password à l’aide de ConvertTo-SecureString
Backup-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force)
Restore-CARoleService
Applet de commande ADCSAdministration : Restore-CARoleService
| Arguments - les arguments en gras sont obligatoires | Description |
|---|---|
| -Path | - Chaîne : emplacement à partir duquel restaurer la sauvegarde - Il s’agit du seul paramètre sans nom - paramètre de position Exemple : Restore-CARoleService.-Path c:\adcsbackup1 -Force Restore-CARoleService c:\adcsbackup2 -Force |
| -KeyOnly | - Restaure le certificat d’autorité de certification sans la base de données - Doit être spécifié si la sauvegarde a été effectuée avec l’option -KeyOnly Exemple : Restore-CARoleService c:\adcsbackup3 -KeyOnly -Force |
| -Mot de passe | - Spécifie le mot de passe des certificats d’autorité de certification et des clés privées - Doit être une chaîne sécurisée Exemple : Restore-CARoleService c:\adcsbackup4 -Password (read-host -prompt "Password:" -AsSecureString) -Force Restore-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force) -Force |
| -DatabaseOnly | - Restaure la base de données sans le certificat d’autorité de certification Restore-CARoleService c:\adcsbackup6 -DatabaseOnly |
| -Force | - Vous permet de remplacer les clés préexistantes - Est un paramètre facultatif, mais lors de la restauration sur place, il est probablement nécessaire Restore-CARoleService c:\adcsbackup1 -Force |
Problèmes
Une sauvegarde non protégée par mot de passe est effectuée si la fonction ConvertTo-SecureString échoue lors de l’utilisation de Backup-CARoleService avec le paramètre -Password.
Erreurs courantes
| Action | Erreur | Commentaire |
|---|---|---|
| Restore-CARoleService C:\ADCSBackup | Restore-CARoleService : le processus ne peut pas accéder au fichier, car il est utilisé par un autre processus. (Exception de HRESULT : 0x80070020) |
Arrêtez les services de certificats Active Directory avant d’exécuter l’applet de commande Restore-CARoleService |
| Restore-CARoleService C:\ADCSBackup | Restore-CARoleService : le répertoire n’est pas vide. (Exception de HRESULT : 0x80070091) | Utiliser le paramètre -Force pour remplacer les clés préexistantes |
| Backup-CARoleService C:\ADCSBackup -Password (Read-Host -Prompt "Password:" -AsSecureString) -DatabaseOnly | Backup-CARoleService : le jeu de paramètres ne peut pas être résolu à l’aide des paramètres nommés spécifiés. | Le paramètre -Password est utilisé uniquement pour protéger les clés privées par mot de passe et n’est donc pas valide lorsque vous ne les sauvegardez pas |
| Restore-CARoleService C:\ADCSBack15 -Password (Read-Host -Prompt "Password:" -AsSecureString) -DatabaseOnly | Restore-CARoleService : le jeu de paramètres ne peut pas être résolu à l’aide des paramètres nommés spécifiés. | Le paramètre -Password est utilisé uniquement pour protéger les clés privées par mot de passe et n’est donc pas valide lorsque vous ne les restaurez pas |
| Restore-CARoleService C:\ADCSBack14 -Password (Read-Host -Prompt "Password:" -AsSecureString) | Restore-CARoleService : le fichier spécifié est introuvable. (Exception de HRESULT : 0x80070002) | Le chemin spécifié ne contient pas de sauvegarde de base de données valide. Peut-être que le chemin n’est pas valide ou que la sauvegarde a été effectuée avec l’option -KeysOnly ? |
Ressources supplémentaires
Guide de migration des services de certificats Active Directory
Sauvegarde de la base de données et de la clé privée d'une autorité de certification
Essayez ceci : Sauvegardez l’autorité de certification dans votre lab à l’aide de Windows PowerShell
Utilisez les commandes de cette leçon pour sauvegarder la base de données d’autorité de certification et la clé privée sécurisées avec un mot de passe.
Attendez pour la restauration de l’autorité de certification pour le moment.