Migración de una entidad certificadora desde Windows Server 2003 hacia Windows Server 2012

La migración de una CA de Microsoft es una actividad sencilla, pero debe llevarse a cabo de forma meticulosa, los tiempos de migración y la complejidad de ésta van a ir variado según el entorno al que nos enfrentemos. El primer paso es hacer el backup de la base de datos de la CA y de las configuraciones almacenadas en al registry.

Iniciar sesión en el servidor de origen, luego iniciar la consola de administración de la CA. Hacer click derecho sobre el nodo con el nombre de la CA, luego dirigirse a la opción All Tasks, luego hacer clic sobre Back Up CA.

1

En la sección Welcome to the Certification Authority Backup Wizard, presionar el Next.

2

En la sección Items to Back Up seleccionar Private Key and CA Certificates y Certificate database and certificate database log, luego seleccionar la ubicación en el campo Back up to this location y presionar Next.

3

En la sección Select a Password ingresar la contraseña para proteger la clave privada, presionar Next.

4

En la sección Completing the certification Authority Backup Wizard presionar Finish.

5

NOTA: Verificar que en la ruta seleccionada, existan los siguientes archivos: certbkxp.dat, edb#####.log, and CAName.edb

Desde la consola de comandos ejecutar “net stop certsvc.

6

NOTA: El servicio debe ser detenido para evitar la emisión de certificados adicionales.

El siguiente paso es exportar las claves de registro, para realizar esto desde el menú Run… ejecutar el comando regedit. Navegar hacia la clave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvc hacer click derecho sobre Configuration y hacer click en la opción Export. Seleccionar como destino la misma carpeta donde se realizó el backup de la CA, ingresar el nombre del archivo y presionar Save.

7

NOTA: Si la CA de origen usa un archivo CAPolicy.inf personalizado, se debe copiar el archivo en la misma ubicación que los archivos de copia de seguridad fuente de CA.

El archivo CAPolicy.inf se encuentra en el directorio %SystemRoot%, que suele estar en C:Windows.

Copiar la carpeta donde se realizaron los backups al nuevo servidor. Luego desinstalar la CA desde Add/Remove Windows Components Wizard, unir el servidor a un workgroup.

El siguiente paso es la instalación y configuración del rol AD-CS. Una vez instalado el rol AD-CS resta realizar la configuración del rol, para esto desde la consola Server Manager hacer click sobre el icono de notificaciones luego en el enlace Configure Active Directory Certificate Services on the destination server.

8

En la sección Specify credentials to configure roles services presionar Next.

9

En la sección Select Role Services to configure, seleccionar el rol Certification Authority luego presionar Next.

10

En la sección Specify the setup type of the CA seleccionar el mismo tipo de CA que la de origen, presionar Next.

11

En la sección Specify the type of the private key seleccionar la opción Use existing private key luego seleccionar la opción Select a certificate and use its associated private key, presionar Next.

12

En la sección Select an existing certificate for this CA, presionar el botón Import luego presionar el botón Browse… y navegar hasta la ruta donde se encuentra el certificado exportado. En el campo Password ingresar la contraseña para poder acceder a la clave privada por último presionar Next.

13

14

En la sección Specify the database locations verificar la ubicación de la base de datos y del log, presionar Next.

15

En la sección confirmation presionar el botón Configure.

16

En la sección Results presionar Close.

El siguiente paso es restaurar la base de datos de la CA de origen en el servidor de destino. Para llevar adelante esta tarea, ejecutar los siguientes pasos.

Iniciar sesión en el servidor de destino, iniciar la consola de administración de AD-CS hacer click derecho sobre el nodo con el nombre de la CA, dirigirse a la opción All tasks luego a la opción Restore CA…

17

Presionar el botón OK en la ventana que alerta sobre la detención del servicio AD-CS.

18

En la sección Welcome to the Certification Authority Restore Wizard presionar Next.

19

En la sección Items to restore seleccionar la opción Certificate database and certificate database log, luego presionar el botón Browse… y navegar hasta donde se encuentra la carpeta con el backup de la CA de origen, por último presionar Next.

20

En la sección Completing the Certification Authority Restore Wizard presionar Finish.

21

En la ventana Certification Authority Restore Wizard presionar el botón Yes para iniciar el servicio AD-CS.

22

El último paso en esta migración, es importar las claves de registro, antes de hacer esta tarea es importante revisar los siguientes valores, los cuales deben coincidir con los valores de la nueva instalación.

Estos valores de la ubicación del almacenamiento son elegidos durante la configuración de la CA. Estos existen en la clave del Registro de configuración:

  • DBDirectory
  • DBLogDirectory
  • DBSystemDirectory
  • DBTempDirectory

Los siguientes valores en la clave del Registro de configuración{nombre}CA contienen, en sus valores por defecto una ruta local. (Como alternativa, se puede actualizar estos valores después de importarlos mediante el uso de la consola de administración de CA. Los valores se encuentran en la solapa CA properties Extensions).

  • CACertPublicationURLs
  • CRLPublicationURLs

Iniciar la consola de comandos con privilegios de administrador, ejecutar el comando net stop certsvc.

23

Luego ubicados en la carpeta donde se encuentra el archivo .reg que queremos importar ejecutar el comando reg import < nombredearchivo.reg >

24

Por último ejecutar el comando net start certsvc para iniciar el servicio.

25

Con esto podemos finalizar la migración de la CA, finalmente pueden validar el funcionamiento de esta entidad certificadora, integrándolo con algún servicio web o similares para la distribución de certificados.

Nicolás Herrera, Consultor Infraestructura, Blue Solutions.

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s