Compartir a través de

Migración de una entidad de certificación

La migración de una entidad de certificación (CA) garantiza la continuidad de los servicios de certificados de su organización. En esta guía se proporcionan instrucciones paso a paso y procedimientos recomendados para migrar correctamente una entidad de certificación. Cubre tareas esenciales, como la copia de seguridad de la base de datos de la AC y la clave privada, la eliminación del servicio de rol de la AC del servidor de origen y la restauración de la AC en el servidor de destino. Independientemente de si usa el complemento de la autoridad de certificación, Windows PowerShell o herramientas de línea de comandos como Certutil, esta guía ofrece pasos detallados adaptados a varios escenarios de migración. Siga estas instrucciones para garantizar un proceso de migración sin problemas y seguro.

Prerequisites

Antes de migrar la entidad de certificación (CA), asegúrese de que se cumplen los siguientes requisitos previos.

Debe disponer de lo siguiente:

  • Acceso administrativo para los servidores de origen y destino. En el caso de las CA empresariales, asegúrese de que es miembro del grupo Administradores de empresa o Administradores de dominio.
  • Acceso a herramientas como el complemento Entidad de certificación, PowerShell o CertUtil para realizar copias de seguridad y restauraciones.
  • Ubicación segura y accesible para almacenar archivos de copia de seguridad. Asegúrese de que la ubicación está protegida contra el acceso no autorizado.
  • Conectividad de red entre los servidores de origen y destino.
  • Para clústeres de conmutación por error:
    • Almacenamiento compartido configurado y accesible.
    • Los nodos de clúster están configurados correctamente y se conceden los permisos necesarios.

Al completar estos requisitos previos, puede garantizar una migración fluida y segura de la entidad de certificación.

Realización de copias de seguridad

Antes de comenzar a migrar la entidad de certificación, primero querrá realizar una copia de seguridad de:

  • Base de datos de CA
  • Claves privadas
  • Configuración del registro de CA
  • Archivo CAPolicy.inf
  • La lista de plantillas de CA (solo es necesaria para las autoridades de certificación empresariales)

Antes de continuar con la eliminación del rol de entidad de Certificación, también debe publicar una CRL con un período de validez extendido.

Hacer copia de seguridad de una base de datos de CA y una clave privada

Puede realizar una copia de seguridad de la base de datos de la Autoridad de Certificación y la clave privada mediante el complemento de Autoridad de Certificación, mediante PowerShell o mediante Certutil. Complete uno de los procedimientos de copia de seguridad descritos en esta sección mientras esté conectado a la autoridad de certificación de origen.

Debe usar una cuenta que sea administradora de CA. En una CA empresarial, la configuración predeterminada para los administradores de la CA incluye el grupo Administradores locales, el grupo Administradores de empresa y el grupo Administradores de dominio. En una CA independiente, la configuración predeterminada para los administradores de CA incluye el grupo local Administradores.

Note

Si la ENTIDAD de certificación usa un módulo de seguridad de hardware (HSM), realice una copia de seguridad de las claves privadas siguiendo los procedimientos proporcionados por el proveedor de HSM.

Después de completar los pasos de copia de seguridad, se debe detener el servicio Servicios de certificados de Active Directory (Certsvc) para evitar la emisión de más certificados. Antes de agregar el servicio de rol de CA al servidor de destino, se debe quitar el servicio de rol de CA del servidor de origen.

Los archivos de copia de seguridad creados durante estos procedimientos deben almacenarse en la misma ubicación para simplificar la migración. La ubicación debe ser accesible desde el servidor de destino.

En los pasos siguientes se describe cómo realizar una copia de seguridad de la base de datos de la entidad de certificación y la clave privada, comenzando desde el Administrador del Servidor y usando el complemento de la entidad de certificación.

  1. Elija una ubicación de copia de seguridad y adjunte medios, si es necesario.

  2. Iniciar sesión en la entidad de certificación de origen.

  3. En administrador del servidor, seleccione Herramientas y, a continuación, entidad de certificación para abrir el complemento.

  4. Haga clic con el botón derecho en el nodo con el nombre de la ENTIDAD de certificación, seleccione Todas las tareas y, a continuación, seleccione Copia de seguridad de CA.

  5. En la página principal del Asistente para copia de seguridad de CA, seleccione Siguiente.

  6. En la página Elementos de copia de seguridad, active las casillas Clave privada y certificado de entidad de certificación,Base de datos de certificados y registro de base de datos de certificados , especifique la ubicación de copia de seguridad y, a continuación, seleccione Siguiente.

  7. En la página Seleccionar una contraseña , escriba una contraseña para proteger la clave privada de ca y seleccione Siguiente.

  8. En la página Finalización del Asistente para copia de seguridad , seleccione Finalizar.

  9. Una vez completada la copia de seguridad, compruebe los siguientes archivos en la ubicación especificada:

    • CAName.p12 que contiene el certificado de ENTIDAD de certificación y la clave privada

    • Carpeta de base de datos que contiene archivos certbkxp.dat, edb#####.log y CAName.edb

  10. Abra una ventana de comandos y escriba net stop certsvc para detener el servicio de Servicios de Certificados de Active Directory.

  11. Copie todos los archivos de copia de seguridad en una ubicación accesible desde el servidor de destino; por ejemplo, un recurso compartido de red o un medio extraíble.

Copia de seguridad de la configuración del registro de CA

Complete uno de los procedimientos siguientes para realizar una copia de seguridad de la configuración del Registro de CA.

Los archivos creados durante el procedimiento de copia de seguridad deben almacenarse en la misma ubicación que la base de datos y los archivos de copia de seguridad de claves privadas para simplificar la migración. La ubicación debe ser accesible desde el servidor de destino; por ejemplo, medios extraíbles o una carpeta compartida en el servidor de destino u otro miembro de dominio.

Debe iniciar sesión en la CA de origen con una cuenta que sea miembro del grupo de administradores locales.

Realizar una copia de seguridad de la configuración del registro de CA mediante Regedit.exe

  1. Seleccione Inicio, seleccione Ejecutar y escriba regedit para abrir el Editor del Registro.

  2. En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc, haga clic con el botón derecho en Configuración y, a continuación, seleccione Exportar.

  3. Especifique una ubicación y un nombre de archivo y, a continuación, seleccione Guardar. Esto crea un archivo de registro que contiene los datos de configuración de la CA de la Autoridad de Certificación de origen.

  4. Copie el archivo del Registro en una ubicación accesible desde el servidor de destino; por ejemplo, una carpeta compartida o un medio extraíble.

Realiza una copia de seguridad de la configuración del registro de la Autoridad Certificadora mediante Reg.exe

  1. Abra una ventana de línea de comandos.

  2. Escriba reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration<output file>.reg y presione ENTRAR.

  3. Copie el archivo del Registro en una ubicación accesible desde el servidor de destino; por ejemplo, una carpeta compartida o un medio extraíble.

Realice una copia de seguridad de CAPolicy.inf

Si la Autoridad Certificadora de origen usa un archivo CAPolicy.inf personalizado, debe copiar el archivo en la misma ubicación que los archivos de copia de seguridad de la Autoridad Certificadora de origen.

El archivo CAPolicy.inf se encuentra en el directorio %SystemRoot%, que normalmente es C:\Windows.

Realizar una copia de seguridad de la lista de plantillas de la Autoridad de Certificación

Una entidad de certificación empresarial puede tener asignadas plantillas de certificado. Debería grabar las plantillas de certificado asignadas antes de comenzar la migración de la CA. La información no está respaldada en la base de datos de la entidad de certificación ni en la copia de seguridad de la configuración del Registro. Esto se debe a que las plantillas de certificado y su asociación con las CA empresariales se almacenan en AD DS. Deberá agregar la misma lista de plantillas al servidor de destino para completar la migración de CA.

Note

Es importante que las plantillas de certificado asignadas a la ENTIDAD de certificación de origen no cambien una vez completado este procedimiento.

Puede determinar las plantillas de certificado asignadas a una ENTIDAD de certificación mediante el complemento entidad de certificación o el comando Certutil.exe –catemplates .

Registrar una lista de plantillas de CA utilizando el complemento Entidad de certificación

  1. Inicie sesión con credenciales administrativas locales en el equipo de CA.

  2. Abra el complemento Entidad de certificación.

  3. En el árbol de consola, expanda Entidad de certificación y seleccione Plantillas de certificado.

  4. Registre la lista de plantillas de certificado tomando una captura de pantalla o escribiendo la lista en un archivo de texto.

Registrar una lista de plantillas de CA utilizando Certutil.exe

  1. Inicie sesión con credenciales administrativas locales en el equipo de CA.

  2. Abra una ventana de línea de comandos.

  3. Escriba el siguiente comando y presione ENTRAR.

    certutil.exe –catemplates > catemplates.txt

  4. Compruebe que el archivo catemplates.txt contiene la lista de plantillas.

Note

Si no se asigna ninguna plantilla de certificado a la ENTIDAD de certificación, el archivo contiene un mensaje de error: 0x80070490 (elemento no encontrado).

Publicación de una CRL con un período de validez extendido

Antes de comenzar la migración de CA, se recomienda publicar una CRL con un período de validez que se extienda más allá del período de migración planeado. El período de validez de la CRL debe ser al menos el período de tiempo previsto para la migración. Esto es necesario para permitir que los procesos de validación de certificados en los equipos cliente continúen durante el período de migración.

Debería publicar una CRL con un período de validez extendido para cada CA que va a migrar. Este procedimiento es especialmente importante para una ENTIDAD de certificación raíz debido al gran número de certificados que podrían verse afectados por la falta de disponibilidad de una CRL.

De forma predeterminada, el período de validez de la CRL es igual al período de publicación de CRL más el 10 %. Después de determinar un período de validez de CRL adecuado, establezca el intervalo de publicación de CRL y publique manualmente la CRL completando los procedimientos siguientes: Programe la publicación de la lista de revocación de certificados y publique manualmente la lista de revocación de certificados.

Important

Registre el valor del período de publicación de CRL antes de cambiarlo. Una vez completada la migración, el período de publicación de CRL debe restablecerse a su valor anterior. Los equipos cliente descargan una nueva CRL solo después de que expire el período de validez de una CRL almacenada localmente en caché. Por consiguiente, no debería usar un período de validez de CRL excesivamente largo.

Quitar el servicio de rol de CA del servidor de origen

Es importante quitar el servicio de rol de Entidad de Certificación del servidor de origen después de completar los procedimientos de copia de seguridad y antes de instalar el servicio de rol de Entidad de Certificación en el servidor de destino. Las autoridades de certificación empresariales y las autoridades de certificación independientes que son miembros del dominio almacenan en Active Directory Domain Services (AD DS) datos de configuración asociados con el nombre común de la autoridad de certificación. Al quitar el servicio de rol de CA, también se quitan los datos de configuración de la CA de AD DS. Dado que la CA de origen y la CA de destino comparten el mismo nombre común, al quitar el servicio de rol de CA del servidor de origen después de instalar el servicio de rol de CA en el servidor de destino se quitan los datos de configuración requeridos por la ENTIDAD de certificación de destino e interfiere con su operación.

La base de datos de CA, la clave privada y el certificado no se eliminan del servidor de origen al quitar el servicio de rol de CA. Por consiguiente, al reinstalar el servicio de rol de CA en el servidor de origen, se restaura la CA de origen si se produce un error en la migración y es necesario realizar una recuperación.

Warning

Aunque no se recomienda, algunos administradores pueden optar por dejar el servicio de rol de la Autoridad de Certificación instalado en el servidor de origen para permitir que la Autoridad de Certificación de origen se ponga en línea rápidamente si la migración falla. Si decide no quitar el servicio de rol de entidad de certificación del servidor de origen antes de instalar el servicio de rol de entidad de certificación en el servidor de destino, es importante deshabilitar el servicio de servicios de certificados de Active Directory (Certsvc) y apagar el servidor de origen antes de instalar el servicio de rol de entidad de certificación en el servidor de destino. No quite el servicio de rol de Autoridad de Certificación del servidor de origen después de completar la migración al servidor de destino.

Para quitar el servicio de rol de entidad de certificación, use el Asistente para Quitar roles y características en el Administrador del Servidor.

  1. En el Administrador del servidor, seleccione Administrar y, después, Quitar roles y características.
  2. Seleccione Siguiente en el asistente hasta que llegue a Roles de servidor.
  3. En Roles de servidor, en Servicios de certificados de Active Directory, desactive la casilla de la Autoridad de certificación.
  4. Confirme que también desea quitar características que requieren entidad de certificación.
  5. Seleccione Siguiente hasta que llegue a la página Confirmación. A continuación, seleccione Quitar.
  6. Confirme que el rol se quitó correctamente.

Quitar el servidor de origen del dominio

Dado que los nombres de equipo deben ser únicos dentro de un dominio de Active Directory, es necesario quitar el servidor de origen de su dominio y eliminar la cuenta de equipo asociada de Active Directory antes de unir el servidor de destino al dominio.

Complete el procedimiento siguiente para quitar el servidor de origen del dominio.

Eliminación del servidor de origen del dominio mediante PowerShell

Use el cmdlet Remove-ADComputer de Windows PowerShell para quitar la cuenta de equipo de AD DS.

Para quitar un equipo específico de Active Directory, use el siguiente comando:

Remove-ADComputer -Identity "COMPUTER_IDENTITY"

El -Identity parámetro se usa para especificar un objeto de equipo de Active Directory proporcionando uno de los siguientes valores de propiedad: nombre distintivo, GUID de ga (objectGUID), identificador de seguridad (objectSid) o nombre de cuenta del Administrador de cuentas de seguridad (sAMAccountName).

Une el servidor de destino al dominio

Antes de unir el servidor de destino al dominio, cambie el nombre del equipo al mismo nombre que el servidor de origen. A continuación, complete el procedimiento para unir el servidor de destino al dominio.

Si el servidor de destino se ejecuta en la opción de instalación Server Core, debe usar el procedimiento de línea de comandos.

Para cambiar el nombre del servidor de destino, debe ser miembro del grupo administradores local. Para unir el servidor al dominio, debe ser miembro de los grupos Administradores de dominio o Administradores de empresa, o tener permisos delegados para unir el servidor de destino a una unidad organizativa (OU) en el dominio.

Important

Si va a migrar una entidad de certificación independiente que no sea miembro de dominio, complete solo los pasos para cambiar el nombre del servidor de destino y no unir el servidor de destino al dominio.

Unión del servidor de destino al dominio mediante PowerShell

  1. En el servidor de destino, abra una ventana de PowerShell con privilegios elevados.

  2. Para usar el cmdlet Rename-Computer , escriba:

    Rename-Computer -NewName "NEW_COMPUTER_NAME" -DomainCredential Domain01\Admin01 -Restart

  3. Una vez reiniciado el servidor de destino, inicie sesión con una cuenta que tenga permiso para unir equipos al dominio.

  4. Abra una ventana de PowerShell con privilegios elevados y use el cmdlet Add-Computer para agregar un equipo a un dominio.

    Add-Computer -DomainName Domain01 -Restart

Agrega el servicio de rol de Autoridad de Certificación al servidor de destino

En esta sección se describen dos procedimientos diferentes para agregar el servicio de rol de CA al servidor de destino, que incluyen instrucciones especiales para usar el clúster de conmutación por error.

Revise las siguientes declaraciones para determinar qué procedimientos completar.

  • Si el servidor de destino ejecuta la opción de instalación Server Core, puede usar Windows PowerShell para instalar la ENTIDAD de certificación mediante el cmdlet Install-AdcsCertificationAuthority.

  • Si va a migrar a una entidad de certificación que usa un HSM, complete los procedimientos Importar el certificado de CA y Agregar el servicio de rol de CA.

  • Si va a migrar a una entidad de certificación que usa clústeres de conmutación por error, los procedimientos para importar el certificado de la CA y Agregar el servicio de rol de la CA deben completarse en cada nodo de clúster. Una vez agregado a cada nodo el servicio de rol de CA, detenga los Servicios de certificados de Active Directory (Certsvc). Confirme también lo siguiente:

    • El almacenamiento compartido utilizado por la Autoridad de Certificación está en línea y se asigna al nodo al que está agregando el servicio de rol de la Autoridad de Certificación.
    • La base de datos de ca y los archivos de registro deben encontrarse en el almacenamiento compartido.

Importar el certificado de entidad de certificación

Si va a agregar el servicio de rol de autoridad certificadora mediante el Administrador del servidor, complete el siguiente procedimiento para importar el certificado de CA.

Importar el certificado de entidad de certificación

  1. Inicie el complemento Certificados para la cuenta de equipo local.

  2. En el árbol de consola, haga doble clic en Certificados (equipo local) y seleccione Personal.

  3. En el menú Acción , seleccione Todas las tareas y, a continuación, seleccione Importar... para abrir el Asistente para importación de certificados. Seleccione Siguiente.

  4. Busque el <archivo CAName.p12> creado por el certificado de CA y la copia de seguridad de clave privada en la CA de origen y seleccione Abrir.

  5. Escriba la contraseña y seleccione Aceptar.

  6. Seleccione Colocar todos los certificados en el siguiente almacén.

  7. Compruebe que Personal se muestra en almacén de certificados. Si no es así, seleccione Examinar, seleccione Personal, seleccione Aceptar.

    Note

    Si usa un HSM de red, complete los pasos del 8 al 10 para reparar la asociación entre el certificado de CA importado y la clave privada que se almacena en el HSM. De lo contrario, seleccione Finalizar para completar el asistente y seleccione Aceptar para confirmar que el certificado se importó correctamente.

  8. En el árbol de consola, haga doble clic en Certificados personales y seleccione el certificado de CA importado.

  9. En el menú Acción , seleccione Abrir. Seleccione la pestaña Detalles , copie el número de serie en el Portapapeles y, a continuación, seleccione Aceptar.

  10. Abra una ventana de símbolo del sistema, escriba certutil –repairstore My"{Serialnumber}" y, luego, presione ENTRAR.

Añadir el servicio de rol de CA

Si el servidor de destino es miembro de dominio, debe usar una cuenta que sea miembro del grupo Administradores de dominio o Administradores de empresa para que el asistente de instalación acceda a objetos de AD DS. Agregue el servicio de rol de Autoridad de Certificación mediante el Administrador de Servidores o PowerShell.

Important

Si ha realizado un archivo CAPolicy.inf de copia de seguridad desde la CA de origen, revise la configuración y realice ajustes, si es necesario. Copie el archivo CAPolicy.inf en la carpeta %windir% (C:\Windows de forma predeterminada) de la CA de destino antes de agregar el servicio de rol ca.

Para agregar el servicio de rol de CA mediante el Administrador de servidores, siga estos pasos.

  1. Inicie sesión en el servidor de destino e inicie el Administrador del servidor.

  2. En el árbol de consola, seleccione Roles.

  3. En el menú Acción , seleccione Agregar roles.

  4. Si aparece la página Antes de comenzar , seleccione Siguiente.

  5. En la página Seleccionar roles de servidor , active la casilla Servicios de certificados de Active Directory y seleccione Siguiente.

  6. En la página Introducción a AD CS , seleccione Siguiente.

  7. En la página Servicios de rol, active la casilla Entidad de certificación y seleccione Siguiente.

    Note

    Si tiene previsto instalar otros servicios de rol en el servidor de destino, primero debe completar la instalación de ca y, a continuación, instalar otros servicios de rol por separado. Los procedimientos de instalación para otros servicios de rol de AD CS no se describen en esta guía.

  8. En la página Especificar tipo de instalación , especifique Enterprise o Independiente para que coincida con la CA de origen y seleccione Siguiente.

  9. En la página Especificar tipo de CA , especifique ca raíz o CA subordinada, para que coincida con la CA de origen y seleccione Siguiente.

  10. En la página Configurar clave privada , seleccione Usar clave privada existente y Seleccione un certificado y use su clave privada asociada.

    Note

    Si la ENTIDAD de certificación usa un HSM, seleccione la clave privada siguiendo los procedimientos proporcionados por el proveedor de HSM.

  11. En la lista Certificados , seleccione el certificado de ENTIDAD de certificación importado y, a continuación, seleccione Siguiente.

  12. En la página Base de datos de CA , especifique las ubicaciones de los archivos de registro y la base de datos de CA.

  13. En la página Confirmación , revise los mensajes y, a continuación, seleccione Configurar.

  14. Si va a migrar a un clúster de conmutación por error, detenga los Servicios de certificados de Active Directory (Certsvc), y el servicio HSM si la CA usa HSM. A continuación, repita los procedimientos para importar el certificado de autoridad de certificación y agregue el servicio de función CA en otros nodos del clúster.

Si desea instalar el servicio de rol de ENTIDAD de certificación mediante PowerShell, use el cmdlet Install-AdcsCertificationAuthority .

Restaurar la entidad de certificación

Es hora de restaurar la entidad de certificación. Restaure la base de datos de CA, la configuración del registro de CA y la lista de plantillas de certificado si es necesario.

Restaurar la base de datos y la configuración de CA en el servidor de destino

Los procedimientos de esta sección deben completarse solo después de instalar el servicio de rol de la autoridad certificadora en el servidor de destino.

Si va a migrar a un clúster de conmutación por error, agregue el servicio de rol de CA a todos los nodos de clúster antes de restaurar la base de datos de CA. La base de datos CA debe restaurarse únicamente en un nodo del clúster y debe ubicarse en almacenamiento compartido.

La restauración de la copia de seguridad de la entidad de certificación de origen incluye las siguientes tareas:

  • Restauración de la base de datos de ca de origen en el servidor de destino
  • Restauración de la configuración del registro de ca de origen en el servidor de destino
  • Verifique las extensiones de certificado en la Entidad de Certificación de destino
  • Restaurar la lista de plantillas de certificado (solo para las CA empresariales)

Restauración de la base de datos de ca de origen en el servidor de destino

En esta sección se describen diferentes métodos para restaurar la copia de seguridad de la base de datos de la CA en origen en el servidor de destino usando el complemento Entidad de certificación, PowerShell, o CertUtil.

Si va a migrar a una instalación de Server Core, debe usar Certutil PowerShell. Es posible administrar de forma remota una CA que se ejecuta en una instalación básica mediante el complemento Entidad de certificación y Administrador del servidor. Sin embargo, solo es posible restaurar una base de datos de CA de forma remota mediante Windows PowerShell.

Si va a migrar a un clúster de conmutación por error, asegúrese de que el almacenamiento compartido está en línea y restaure la base de datos de CA en un solo nodo de clúster.

Para restaurar la base de datos de CA, inicie desde el Administrador del Servidor y use el complemento de la Autoridad de Certificación para completar estos pasos:

  1. Inicie sesión en el servidor de destino mediante una cuenta que sea administrador de CA.

  2. Inicie el complemento Entidad de certificación.

  3. Haga clic con el botón derecho en el nodo con el nombre de la ENTIDAD de certificación, seleccione Todas las tareas y, a continuación, seleccione Restaurar CA.

  4. En la página principal, selecciona Siguiente.

  5. En la página Elementos que se van a restaurar , seleccione Base de datos de certificados y registro de base de datos de certificados.

  6. Seleccione Examinar. Vaya a la carpeta primaria que contiene la carpeta Base de datos (la carpeta que contiene los archivos de base de datos de CA creados durante la copia de seguridad de la base de datos de ca).

    Warning

    no seleccione la carpeta Base de datos. Seleccione su carpeta primaria.

  7. Seleccione Siguiente y, a continuación, seleccione Finalizar.

  8. Seleccione para iniciar el servicio de CA (certsvc).

Restauración de la configuración del registro de ca de origen en el servidor de destino

La información de configuración de ca se almacena en el Registro en: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Antes de importar la configuración del Registro desde la entidad de certificación de origen a la CA de destino, asegúrese de crear una copia de seguridad de la configuración predeterminada del registro de ca de destino. Asegúrese de realizar estos pasos en la CA de destino y asignar un nombre al archivo del Registro como "DefaultRegCfgBackup.reg" para evitar confusiones.

Important

Algunos parámetros del Registro deben migrarse sin cambios desde el equipo de ca de origen y algunos no deben migrarse. Si se migran, deben actualizarse en el sistema de destino después de la migración porque algunos valores están asociados a la propia ENTIDAD de certificación, mientras que otros están asociados con el entorno de dominio, el host físico, la versión de Windows u otros factores que pueden ser diferentes en el sistema de destino.

Una manera sugerida de realizar la importación de configuración del Registro es abrir primero el archivo del Registro que exportó desde la CA de origen en un editor de texto y analizarlo para la configuración que puede que tenga que cambiarse o quitarse.

Análisis del archivo del Registro

  1. Haga clic con el botón derecho en el archivo de texto .reg creado mediante la exportación de la configuración de la CA de origen.

  2. Seleccione Editar para abrir el archivo en un editor de texto.

  3. Si el nombre del equipo de la autoridad de certificación de destino es diferente del nombre del equipo de la autoridad de certificación de origen, busque en el archivo el nombre de host del equipo de la autoridad de certificación de origen. Para cada instancia del nombre de host encontrado, asegúrese de que es el valor adecuado para el entorno de destino. Cambie el nombre de host, si es necesario. Actualice el valor CAServerName .

  4. Compruebe los valores de registro que indican rutas de acceso de archivo local, para asegurarse de que las rutas de acceso y los nombres de letra de unidad son correctos para la CA de destino. Si hay un error de coincidencia entre la CA de origen y la CA de destino, actualice o elimine los valores del archivo para que la configuración predeterminada se conserve en la CA de destino.

Warning

Algunos valores del Registro están asociados a la Autoridad de Certificación, mientras que otros están asociados con el entorno de dominio, el equipo host físico, la versión de Windows o incluso otros servicios de rol. Por lo tanto, algunos parámetros del Registro deben migrarse sin cambios desde el equipo de CA de origen y otros no. Cualquier valor que no aparezca en el archivo de texto de .reg que se restaura en la CA de destino conserva su valor predeterminado o la configuración existente.

Quite los valores del Registro que no desee importar a la Autoridad de Certificación de destino. Una vez que se edita el archivo de texto .reg, se puede importar en la CA de destino. Al importar la configuración del Registro del servidor de origen al servidor de destino, la configuración de la CA de origen se migra al servidor de destino.

Importación de la copia de seguridad del registro de ca de origen en la CA de destino

  1. Inicie sesión en el servidor de destino como miembro del grupo administradores local.

  2. Abra una ventana de línea de comandos.

  3. Escriba net stop certsvc y presione ENTRAR.

  4. Escriba reg import "Registry Settings Backup.reg" (Importar reg import "Configuración del Registro Backup.reg" y presione ENTRAR.

Edición de la configuración del Registro de CA

  1. Seleccione Inicio, escriba regedit.exe en el cuadro Buscar programas y archivos y presione ENTRAR para abrir el Editor del Registro.

  2. En el árbol de consola, busque la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configurationy seleccione Configuración.

  3. En el panel de detalles, haga doble clic en DBSessionCount.

  4. Seleccione Hexadecimal. En Datos de valor, escriba 64 y, a continuación, seleccione Aceptar.

  5. Compruebe que las ubicaciones especificadas en la siguiente configuración son correctas para el servidor de destino y cámbielas según sea necesario para indicar la ubicación de los archivos de registro y la base de datos de CA.

    • DBDirectory

    • DBLogDirectory

    • DBSystemDirectory

    • DBTempDirectory

    Important

    Complete los pasos del 6 al 8 solo si el nombre del servidor de destino es diferente del nombre del servidor de origen.

  6. En el árbol de consola del editor del Registro, expanda Configuración y seleccione el nombre de la entidad de certificación.

  7. Modifique los valores de la siguiente configuración del Registro reemplazando el nombre del servidor de origen por el nombre del servidor de destino.

    Note

    En la lista siguiente, los valores CACertFileName y ConfigurationDirectory solo se crean cuando se especifican determinadas opciones de instalación de CA. Si no se muestran estas dos opciones, puede continuar con el paso siguiente.

    • CAServerName

    • CACertFileName

    • ConfigurationDirectory: este valor debe aparecer en el Registro de Windows en la siguiente ubicación: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

Comprobar las extensiones de certificado en la CA de destino

Los pasos descritos para importar la configuración del registro de la CA de origen y editar el registro si hay un cambio de nombre de servidor están diseñados para conservar las ubicaciones de red que usaba la CA de origen para publicar las listas de revocación de certificados y los certificados de la CA. Si la entidad de certificación de origen se publicó en ubicaciones predeterminadas de Active Directory, después de completar el procedimiento anterior, debe haber una extensión con las opciones de publicación habilitadas y una URL de LDAP que haga referencia al nombre NetBIOS del servidor de origen; por ejemplo, ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Dado que muchos administradores configuran extensiones personalizadas para su entorno de red, no es posible proporcionar instrucciones exactas para configurar el punto de distribución crL y las extensiones de acceso a la información de autoridad.

Revise cuidadosamente las ubicaciones configuradas y las opciones de publicación y asegúrese de que las extensiones son correctas según los requisitos de su organización.

Comprobar las extensiones mediante el complemento Entidad de certificación

  1. Revise y modifique el punto de distribución crL y las opciones de acceso a la información de autoridad y las opciones de publicación siguiendo los procedimientos de ejemplo descritos en Especificar puntos de distribución crL (https://go.microsoft.com/fwlink/?LinkID=145848).

  2. Si el nombre del servidor de destino es diferente del nombre del servidor de origen, agregue una dirección URL LDAP que especifique una ubicación que haga referencia al nombre NetBIOS del servidor de destino con la variable <de sustitución ServerShortName>; por ejemplo ldap:///CN=\<CATruncatedName\>\<CRLNameSuffix\>,CN=\<ServerShortName\>,CN=CDP,CN=Public Key Services,CN=Services,\<ConfigurationContainer\>\<CDPObjectClass\>, .

  3. Asegúrese de que las opciones de CDP estén definidas para que no se incluya la ubicación de CDP anterior en la extensión de CDP de los certificados recientemente emitidos o en la extensión CRL más actualizada de los CRL.

Restauración de la lista de plantillas de certificado

El procedimiento siguiente solo es necesario para una entidad de certificación empresarial. Una ENTIDAD de certificación independiente no tiene plantillas de certificado.

Asignación de plantillas de certificado a la entidad de certificación de destino

  1. Inicie sesión con credenciales administrativas en la CA de destino.

  2. Abra una ventana de símbolo del sistema.

  3. Escriba: certutil -setcatemplates + <templatelist> y presione ENTRAR.

    Note

    Reemplace templatelist por una lista separada por comas de los nombres de plantilla que aparecen en el archivo catemplates.txt creado durante el procedimiento "Para registrar una lista de plantillas de ENTIDAD de certificación mediante Certutil.exe". Por ejemplo, certutil -setcatemplates +Administrator,User,DomainController.

Conceder permisos en contenedores de AIA y CDP

Si el nombre del servidor de destino es diferente del servidor de origen, se deben conceder permisos al servidor de destino en los contenedores CDP y AIA del servidor de origen en AD DS para publicar CRL y certificados de CA. Complete el procedimiento siguiente si hay un cambio de nombre de servidor.

Conceder permisos en los contenedores de AIA y CDP

  1. Inicie sesión como miembro del grupo Administradores de empresa en un equipo en el que está instalado el complemento Sitios y servicios de Active Directory. Abra Sitios y servicios de Active Directory (dssite.msc).

  2. En el árbol de consola, seleccione el nodo superior.

  3. En el menú Ver , seleccione Mostrar nodo Servicios.

  4. En el árbol de consola, expanda Servicios, expanda Servicios de clave pública y, a continuación, seleccione AIA.

  5. En el panel de detalles, haga clic con el botón derecho en el nombre de la ENTIDAD de certificación y, a continuación, seleccione Propiedades.

  6. Seleccione la pestaña Seguridad y, a continuación, seleccione Agregar.

  7. Seleccione Tipos de objeto, equipos y, después, Aceptar.

  8. Escriba el nombre de la ENTIDAD de certificación y seleccione Aceptar.

  9. En la columna Permitir , seleccione Control total y seleccione Aplicar.

  10. El objeto de equipo de entidad de certificación anterior se muestra (como Account Unknown con un identificador de seguridad que lo sigue) en nombres de grupo o de usuario. Puede quitar esa cuenta. Para ello, selecciónelo y, a continuación, seleccione Quitar. Selecciona Aceptar.

  11. En el árbol de consola, expanda CDP y, a continuación, seleccione la carpeta con el mismo nombre que la CA.

  12. En el panel de detalles, haga clic con el botón derecho en el elemento CRLDistributionPoint en la parte superior de la lista y, a continuación, seleccione Propiedades.

  13. Seleccione la pestaña Seguridad y, a continuación, seleccione Agregar.

  14. Seleccione Tipos de objeto, equipos y, después, Aceptar.

  15. Escriba el nombre del servidor de destino y seleccione Aceptar.

  16. En la columna Permitir , seleccione Control total y seleccione Aplicar.

  17. El objeto de equipo de entidad de certificación anterior se muestra (como Account Unknown con un identificador de seguridad que lo sigue) en nombres de grupo o de usuario. Puede quitar esa cuenta. Para ello, selecciónelo y, a continuación, seleccione Quitar. Seleccione Aceptar.

  18. Repita los pasos del 13 al 18 para cada elemento CRLDistributionPoint .

Note

Si usa la sintaxis file///computer\share en las extensiones de CDP para publicar la CRL en una ubicación de carpeta compartida, es posible que tenga que ajustar los permisos a esa carpeta compartida para que la CA de destino tenga la capacidad de escribir en esa ubicación. Si hospeda el CDP en el servidor de destino y usa una ruta de acceso AIA o CDP que incluye un nombre de alias (por ejemplo, pki.contoso.com) para el destino, es posible que tenga que ajustar el registro DNS para que apunte a la dirección IP de destino correcta.

Procedimientos adicionales para la agrupación en clústeres de conmutación por error

Si va a migrar a un clúster de conmutación por error, complete los siguientes procedimientos una vez migrados la base de datos de CA y la configuración del Registro al servidor de destino.

  • Configurar clústeres de conmutación por error para la CA de destino
  • Otorgar permisos para contenedores de claves públicas
  • Editar el nombre DNS de una autoridad de certificación agrupada en AD DS
  • Configurar puntos de distribución de CRL para los clústeres de conmutación por error

Configurar clústeres de conmutación por error para la CA de destino

Si va a migrar a un clúster de conmutación por error, complete los siguientes procedimientos para configurar el clúster de conmutación por error para AD CS.

Configuración de AD CS como un recurso de clúster

  1. Seleccione Inicio, seleccione Ejecutar, escriba Cluadmin.msc y, a continuación, seleccione Aceptar.

  2. En el árbol de consola del complemento Administración del clúster de conmutación por error, seleccione Servicios y aplicaciones.

  3. En el menú Acción , seleccione Configurar un servicio o una aplicación. Si aparece la página Antes de comenzar , seleccione Siguiente.

  4. En la lista de servicios y aplicaciones, seleccione Servicio genérico y Siguiente.

  5. En la lista de servicios, seleccione Servicios de certificados de Active Directory y seleccione Siguiente.

  6. Especifique un nombre de servicio y seleccione Siguiente.

  7. Seleccione el almacenamiento en disco que todavía está montado en el nodo y seleccione Siguiente.

  8. Para configurar un subárbol del Registro compartido, seleccione Agregar, escriba SYSTEM\CurrentControlSet\Services\CertSvc y, a continuación, seleccione Aceptar. Seleccione Siguiente dos veces.

  9. Seleccione Finalizar para completar la configuración de conmutación por error de AD CS.

  10. En el árbol de consola, haga doble clic en Servicios y aplicaciones y seleccione el servicio en clúster recién creado.

  11. En el panel de detalles, seleccione Servicio genérico. En el menú Acción , seleccione Propiedades.

  12. Cambie Nombre de recurso a Entidad de certificación y seleccione Aceptar.

Si utiliza un módulo de seguridad de hardware (HSM) para su autoridad de certificación, complete el siguiente procedimiento.

Para crear una dependencia entre una entidad de certificación y el servicio HSM de red

  1. Abra el complemento de Administración de clústeres de conmutación por error. En el árbol de consola, seleccione Servicios y aplicaciones.

  2. En el panel de detalles, seleccione el nombre creado anteriormente del servicio en clúster.

  3. En el menú Acción , seleccione Agregar un recurso y, a continuación, seleccione Servicio genérico.

  4. En la lista de servicios disponibles mostrados por el Asistente para nuevo recurso , seleccione el nombre del servicio que se instaló para conectarse a su HSM de red. Seleccione Siguiente dos veces y, a continuación, seleccione Finalizar.

  5. En Servicios y aplicaciones en el árbol de consola, seleccione el nombre de los servicios en clúster.

  6. En el panel de detalles, seleccione el servicio genérico recién creado. En el menú Acción , seleccione Propiedades.

  7. En la pestaña General , cambie el nombre del servicio si lo desea y seleccione Aceptar. Compruebe que el servicio está en línea.

  8. En el panel de detalles, seleccione el servicio anteriormente denominado Entidad de certificación. En el menú Acción , seleccione Propiedades.

  9. En la pestaña Dependencias , seleccione Insertar, seleccione el servicio HSM de red en la lista y seleccione Aceptar.

Otorgar permisos para contenedores de claves públicas

Si va a migrar a un clúster de conmutación por error, complete los siguientes procedimientos para conceder todos los permisos de nodos de clúster en los siguientes contenedores de AD DS:

  • El contenedor de AIA
  • El contenedor de inscripción
  • El contenedor KRA

Conceder permisos en contenedores de claves públicas en AD DS

  1. Inicie sesión en un equipo miembro del dominio como miembro del grupo Administradores de dominio o del grupo Administradores de empresa.

  2. Seleccione Inicio, seleccione Ejecutar, escriba dssite.msc y, a continuación, seleccione Aceptar.

  3. En el árbol de consola, seleccione el nodo superior.

  4. En el menú Ver , seleccione Mostrar nodo Servicios.

  5. En el árbol de consola, expanda Servicios, Servicios de clave pública y, a continuación, seleccione AIA.

  6. En el panel de detalles, haga clic con el botón derecho en el nombre de la CA de origen y, a continuación, seleccione Propiedades.

  7. Seleccione la pestaña Seguridad y, a continuación, seleccione Agregar.

  8. Seleccione Tipos de objeto, equipos y, después, Aceptar.

  9. Escriba los nombres de cuenta de equipo de todos los nodos de clúster y seleccione Aceptar.

  10. En la columna Permitir , active la casilla Control total junto a cada nodo de clúster y seleccione Aceptar.

  11. En el árbol de consola, seleccione Servicios de inscripción.

  12. En el panel de detalles, haga clic con el botón derecho en el nombre de la CA de origen y, a continuación, seleccione Propiedades.

  13. Seleccione la pestaña Seguridad y, a continuación, seleccione Agregar.

  14. Seleccione Tipos de objeto, equipos y, después, Aceptar.

  15. Escriba los nombres de cuenta de equipo de todos los nodos de clúster y seleccione Aceptar.

  16. En la columna Permitir , active la casilla Control total junto a cada nodo de clúster y seleccione Aceptar.

  17. En el árbol de consola, seleccione KRA.

  18. En el panel de detalles, haga clic con el botón derecho en el nombre de la CA de origen y seleccione Propiedades.

  19. Seleccione la pestaña Seguridad y, a continuación, seleccione Agregar.

  20. Seleccione Tipos de objeto, equipos y, después, Aceptar.

  21. Escriba los nombres de todos los nodos de clúster y seleccione Aceptar.

  22. En la columna Permitir , active la casilla Control total junto a cada nodo de clúster y seleccione Aceptar.

Editar el nombre DNS de una autoridad de certificación agrupada en AD DS

Cuando el servicio de CA se instaló en el primer nodo de clúster, se creó el objeto Enrollment Services y el nombre DNS de ese nodo de clúster se agregó al atributo dNSHostName del objeto Enrollment Services. Dado que la ENTIDAD de certificación debe funcionar en todos los nodos del clúster, el valor del atributo dNSHostName del objeto Enrollment Services debe ser el nombre de servicio especificado en el paso 6 del procedimiento "Para configurar AD CS como un recurso de clúster".

Si va a migrar a un CA en clúster, complete el procedimiento siguiente en el nodo activo del clúster. Es necesario completar el procedimiento solo en un nodo de clúster.

Editar el nombre DNS de una autoridad de certificación agrupada en AD DS

  1. Inicie sesión en el nodo de clúster activo como miembro del grupo Administradores de empresa.

  2. Seleccione Inicio, seleccione Ejecutar, escriba adsiedit.msc y, a continuación, seleccione Aceptar.

  3. En el árbol de consola, seleccione ADSI Editar.

  4. En el menú Acción , seleccione Conectar a.

  5. En la lista de contextos de nomenclatura conocidos, seleccione Configuración y aceptar.

  6. En el árbol de consola, expanda Configuración, Servicios y Servicios de clave pública y seleccione Servicios de inscripción.

  7. En el panel de detalles, haga clic con el botón derecho en el nombre de la ENTIDAD de certificación del clúster y seleccione Propiedades.

  8. Seleccione dNSHostName y seleccione Editar.

  9. Escriba el nombre del servicio de la CA tal y como se muestra en Administración de clúster de conmutación por error en el complemento Administrador de clústeres de conmutación por error y seleccione Aceptar.

  10. Seleccione Aceptar para guardar los cambios.

Configurar puntos de distribución de CRL para los clústeres de conmutación por error

En la configuración predeterminada de una CA, el nombre corto del servidor se usa como parte de las ubicaciones de acceso a información de entidad emisora y punto de distribución de CRL.

Cuando una CA se está ejecutando en un clúster de conmutación por error, el nombre corto del servidor se debe reemplazar con el nombre corto del clúster en las ubicaciones de acceso a información de entidad emisora y punto de distribución de CRL. Para publicar la CRL en AD DS, el contenedor de punto de distribución de CRL se debe agregar manualmente.

Important

Los procedimientos siguientes se deben realizar en el nodo de clúster activo.

Cambiar los puntos de distribución CRL configurados

  1. Inicie sesión en el nodo de clúster activo como miembro del grupo administradores local.

  2. Seleccione Inicio, seleccione Ejecutar, escriba regedit y, a continuación, seleccione Aceptar.

  3. Busque la clave del Registro \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

  4. Seleccione el nombre de la ENTIDAD de certificación.

  5. En el panel derecho, haga doble clic en CRLPublicationURLs.

  6. En la segunda línea, reemplace %2 por el nombre del servicio especificado en el paso 6 del procedimiento "Para configurar AD CS como un recurso de clúster".

    Tip

    El nombre del servicio también aparece en el complemento Administración del clúster de conmutación por error en Servicios y aplicaciones.

  7. Reinicie el servicio CA.

  8. Abra un símbolo del sistema, escriba certutil -CRL y presione ENTRAR.

    Note

    Si se muestra un mensaje de error "Objeto de directorio no encontrado", complete el siguiente procedimiento para crear el contenedor de puntos de distribución CRL en AD DS.

Creación del contenedor de puntos de distribución CRL en AD DS

  1. En un símbolo del sistema, escriba cd %windir%\System32\CertSrv\CertEnroll y presione ENTRAR. El archivo CRL creado por el comando certutil –CRL debe encontrarse en este directorio.

  2. Para publicar la CRL en AD DS, escriba certutil -f -dspublish"CRLFile.crl" y presione ENTRAR.

Paso siguiente

Después de completar los procedimientos para migrar la entidad de certificación, debe completar los procedimientos descritos en Comprobación de la migración de la entidad de certificación.

  • Last updated on