Compartilhar via

Migrar uma autoridade de certificação

A migração de uma AC (Autoridade de Certificação) garante a continuidade dos serviços de certificados da sua organização. Este guia fornece instruções passo a passo e práticas recomendadas para migrar com êxito uma AC. Ele abrange tarefas essenciais, como fazer backup do banco de dados da AC e da chave privada, remover o serviço de função de AC do servidor de origem e restaurar a AC no servidor de destino. Se você estiver usando o snap-in da Autoridade de Certificação, o Windows PowerShell ou as ferramentas de linha de comando, como o Certutil, este guia oferece etapas detalhadas adaptadas a vários cenários de migração. Siga estas instruções para garantir um processo de migração suave e seguro.

Prerequisites

Antes de migrar sua AC (Autoridade de Certificação), verifique se os pré-requisitos a seguir são atendidos.

Você deve ter:

  • Acesso administrativo para os servidores de origem e de destino. Para CAs empresariais, verifique se você é membro do grupo Administradores corporativos ou administradores de domínio.
  • Acesso a ferramentas como o snap-in da Autoridade de Certificação, o PowerShell ou o Certutil para executar backups e restaurações.
  • Um local seguro e acessível para armazenar arquivos de backup. Verifique se o local está protegido contra acesso não autorizado.
  • Conectividade de rede entre os servidores de origem e de destino.
  • Para clustering de failover:
    • Armazenamento compartilhado configurado e acessível.
    • Nódulos do cluster estão configurados corretamente e têm as permissões concedidas.

Ao concluir esses pré-requisitos, você pode garantir uma migração tranquila e segura de sua Autoridade de Certificação.

Executar backups

Antes de começar a migrar sua autoridade de certificação, primeiro você desejará fazer backup do:

  • Banco de dados de AC
  • Chaves privadas
  • Configurações de Registro de Autoridade Certificadora
  • Arquivo CAPolicy.inf
  • A lista de modelos de Autoridades Certificadoras (necessária somente para Autoridades Certificadoras empresariais)

Antes de prosseguir com a remoção da função de autoridade de certificação, você também deve publicar uma CRL com um período de validade estendido.

Fazer backup de um banco de dados de autoridade de certificação e uma chave privada

Você pode fazer backup do banco de dados da AC e da chave privada usando o snap-in da Autoridade de Certificação, o PowerShell ou usando o Certutil. Conclua um dos procedimentos de backup descritos nesta seção durante o logon na AC de origem.

Você deve usar uma conta com privilégios de administrador de Autoridade Certificadora. Em uma AC corporativa, a configuração padrão para administradores de AC inclui o grupo administradores locais, o grupo Administradores Corporativos e o grupo Administradores de Domínio. Em uma autoridade de certificação autônoma, a configuração padrão para administradores de autoridade de certificação inclui o grupo Administradores local.

Note

Se um HSM (módulo de segurança de hardware) for usado pela AC, faça backup das chaves privadas seguindo os procedimentos fornecidos pelo fornecedor de HSM.

Depois de concluir as etapas de backup, o serviço Serviços de Certificados do Active Directory (Certsvc) deve ser interrompido para impedir a emissão de mais certificados. Antes de adicionar o serviço de função de AC ao servidor de destino, o serviço de função de AC deve ser removido do servidor de origem.

Os arquivos de backup criados durante esses procedimentos devem ser armazenados no mesmo local para simplificar a migração. O local deve ser acessível do servidor de destino.

As etapas a seguir descrevem como fazer backup do banco de dados da AC e da chave privada começando no Gerenciador do Servidor e usando o snap-in da Autoridade de Certificação.

  1. Escolha um local de backup e anexe a mídia, se necessário.

  2. Faça logon na autoridade de certificação de origem.

  3. No Gerenciador do Servidor, selecione Ferramentas e, em seguida, Autoridade de Certificação para abrir o snap-in.

  4. Clique com o botão direito do mouse no nó com o nome da AC, aponte para Todas as Tarefas e selecione Fazer Backup da AC.

  5. Na página De boas-vindas do assistente de Backup da AC, selecione Avançar.

  6. Na página Itens para Fazer Backup, selecione a chave privada e o certificado da autoridade certificadora e as caixas de seleção de banco de dados de certificado e log de banco de dados de certificado, especifique o local de backup e selecione Avançar.

  7. Na página Selecionar uma Senha, digite uma senha para proteger a chave privada da AC e selecione Avançar.

  8. Na página Concluir o Assistente de Backup , selecione Concluir.

  9. Após a conclusão do backup, verifique os seguintes arquivos no local especificado:

    • CAName.p12 que contém o certificado de AC e a chave privada

    • Pasta de banco de dados que contém arquivos certbkxp.dat, edb#####.log e CAName.edb

  10. Abra uma janela do Prompt de Comando e digite net stop certsvc para parar os Serviços de Certificados do Active Directory.

  11. Copie todos os arquivos de backup para um local acessível do servidor de destino; por exemplo, um compartilhamento de rede ou mídia removível.

Fazer backup das configurações do Registro de Autoridade de Certificação

Conclua um dos procedimentos a seguir para fazer backup das configurações do Registro de Autoridade de Certificação.

Os arquivos criados durante o procedimento de backup devem ser armazenados no mesmo local que o banco de dados e os arquivos de backup de chave privada para simplificar a migração. O local deve estar acessível no servidor de destino; por exemplo, mídia removível ou uma pasta compartilhada no servidor de destino ou em outro membro do domínio.

Você deve estar logado à AC de origem usando uma conta que seja membro do grupo de Administradores locais.

Fazer backup das configurações do Registro de Autoridade de Certificação usando Regedit.exe

  1. Selecione Iniciar, aponte para Executar e digite regedit para abrir o Editor do Registro.

  2. Em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc, clique com o botão direito do mouse em Configuração e selecione Exportar.

  3. Especifique um local e um nome de arquivo e selecione Salvar. Isso cria um arquivo do Registro contendo os dados de configuração da autoridade de certificação de origem.

  4. Copie o arquivo do Registro para um local acessível do servidor de destino; por exemplo, uma pasta compartilhada ou mídia removível.

Fazer backup das configurações do Registro de Autoridade de Certificação usando Reg.exe

  1. Abra uma janela de Prompt de Comando.

  2. Digite reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration<arquivo de saída>.reg e pressione Enter.

  3. Copie o arquivo do Registro para um local acessível do servidor de destino; por exemplo, uma pasta compartilhada ou mídia removível.

Fazer backup do CAPolicy.inf

Se a AC de origem estiver usando um arquivo CAPolicy.inf personalizado, você deverá copiar o arquivo para o mesmo local que os arquivos de backup da AC de origem.

O arquivo CAPolicy.inf está localizado no diretório %SystemRoot%, que geralmente é C:\Windows.

Fazer backup de uma lista de modelos de autoridade de certificação

Uma AC corporativa pode ter modelos de certificado atribuídos a ela. Você deve gravar os modelos de certificado atribuídos antes de iniciar a migração da CA. As informações não são compatíveis com o banco de dados de autoridade de certificação ou o backup de configurações do Registro. Isso ocorre porque os modelos de certificado e sua associação com as ACs empresariais são armazenados no AD DS. Você precisará adicionar a mesma lista de templates ao servidor de destino para concluir a migração do CA.

Note

É importante que os modelos de certificado atribuídos à AC de origem não sejam alterados após a conclusão deste procedimento.

Você pode determinar os modelos de certificado atribuídos a uma AC usando o snap-in da Autoridade de Certificação ou o comando Certutil.exe –catemplates .

Registrar uma lista de modelos de autoridade de certificação usando o snap-in da Autoridade de Certificação

  1. Efetue o logon com credenciais administrativas locais no computador da CA.

  2. Abra o snap-in da Autoridade de Certificação.

  3. Na árvore de console, expanda a Autoridade de Certificação e selecione Modelos de Certificado.

  4. Registre a lista de modelos de certificado usando uma captura de tela ou digitando a lista em um arquivo de texto.

Registrar uma lista de modelos de Certificado de Autenticidade (CA) usando Certutil.exe

  1. Efetue o logon com credenciais administrativas locais no computador da CA.

  2. Abra uma janela de Prompt de Comando.

  3. Digite o comando a seguir e pressione ENTER.

    certutil.exe –catemplates > catemplates.txt

  4. Verifique se o arquivo catemplates.txt contém a lista de modelos.

Note

Se nenhum modelo de certificado for atribuído à AC, o arquivo conterá uma mensagem de erro: 0x80070490 (Elemento não encontrado).

Publicar uma CRL com um período de validade estendido

Antes de começar a migrar a autoridade de certificação, é uma boa prática publicar uma CRL cujo período de validade vá além do período de migração planejado. O período de validade da CRL deve ser pelo menos o período de tempo planejado para a migração. Isso é necessário para permitir que os processos de validação de certificado em computadores cliente continuem durante o período de migração.

Você deve publicar uma CRL com período de validade estendido para cada autoridade de certificação que está sendo migrada. Esse procedimento é particularmente importante para uma AC raiz devido ao número potencialmente grande de certificados que seriam afetados pela indisponibilidade de uma CRL.

Por padrão, o período de validade da CRL é igual ao período de publicação da CRL acrescido de 10%. Depois de determinar um período de validade de CRL apropriado, defina o intervalo de publicação de CRL e publique manualmente a CRL concluindo os seguintes procedimentos: Agende a publicação da lista de revogação de certificados e publique manualmente a lista de revogação de certificados.

Important

Registre o valor do período de publicação da CRL antes de alterá-lo. Após a conclusão da migração, o período de publicação de CRL deve ser redefinido para seu valor anterior. Os computadores cliente baixam uma nova CRL somente após o período de validade de uma CRL armazenada em cache localmente expirar. Portanto, você não deve usar um período de validade da CRL que seja excessivamente longo.

Remover o serviço de função de autoridade de certificação do servidor de origem

É importante remover o serviço de função de AC do servidor de origem depois de concluir os procedimentos de backup e antes de instalar o serviço de função de AC no servidor de destino. CAs empresariais e CAs autônomas que são membros de domínio armazenam, em Active Directory Domain Services (AD DS), dados de configuração associados ao nome comum da CA. A remoção do serviço de função de autoridade de certificação também remove os dados de configuração de autoridades de certificação do AD DS. Como a AC de origem e a AC de destino compartilham o mesmo nome comum, remover o serviço de função de AC do servidor de origem depois de instalar o serviço de função de AC no servidor de destino remove os dados de configuração exigidos pela AC de destino e interfere em sua operação.

O banco de dados, a chave privada e o certificado da autoridade de certificação não são removidos do servidor de origem com a remoção do serviço de função Autoridade de Certificação. Portanto, reinstalar o serviço de função de autoridade de certificação no servidor de origem restaura a autoridade de certificação de origem se a migração falha e se é necessário executar uma reversão.

Warning

Embora não seja recomendável, alguns administradores podem optar por deixar o serviço de função de AC instalado no servidor de origem para permitir que a AC de origem seja colocada online rapidamente se a migração falhar. Se você optar por não remover o serviço de função de AC do servidor de origem antes de instalar o serviço de função de AC no servidor de destino, é importante desabilitar o serviço de Serviços de Certificados do Active Directory (Certsvc) e desligar o servidor de origem antes de instalar o serviço de função de AC no servidor de destino. Não remova o serviço de função de autoridade de certificação do servidor de origem depois de concluir a migração para o servidor de destino.

Para remover o serviço de função de autoridade de certificação, use o Assistente para Remover Funções e Recursos no Gerenciador do Servidor.

  1. No Gerenciador do Servidor, selecione Gerenciare, em seguida, Remover Funções e Recursos.
  2. Selecione Avançar no assistente até chegar às Funções de Servidor.
  3. Em Funções de Servidor, em Serviços de Certificados do Active Directory, desmarque a caixa de seleção da Autoridade de Certificação.
  4. Confirme se você também deseja remover recursos que exigem a Autoridade de Certificação.
  5. Selecione Avançar até chegar à página Confirmação. Em seguida, selecione Remover.
  6. Confirme se a função foi removida com êxito.

Remover o servidor de origem do domínio

Como os nomes de computador devem ser exclusivos em um domínio do Active Directory, é necessário remover o servidor de origem de seu domínio e excluir a conta de computador associada do Active Directory antes de ingressar o servidor de destino no domínio.

Conclua o procedimento a seguir para remover o servidor de origem do domínio.

Remover o servidor de origem do domínio usando o PowerShell

Use o cmdlet Remove-ADComputer do Windows PowerShell para remover a conta do computador do AD DS.

Para remover um computador específico do Active Directory, use o seguinte comando:

Remove-ADComputer -Identity "COMPUTER_IDENTITY"

O -Identity parâmetro é usado para especificar um objeto de computador do Active Directory fornecendo um dos seguintes valores de propriedade: nome diferenciado, GUID de GA (objectGUID), identificador de segurança (objectSid) ou nome da conta do Gerenciador de Contas de Segurança (sAMAccountName).

Incluir o servidor de destino no domínio

Antes de conectar o servidor de destino ao domínio, mude o nome do computador para o mesmo nome do servidor de origem. Em seguida, conclua o procedimento para conectar o servidor de destino ao domínio.

Se o servidor de destino estiver em execução na opção de instalação Server Core, você deverá usar o procedimento de linha de comando.

Para renomear o servidor de destino, você deve ser um membro do grupo administradores local. Para adicionar o servidor ao domínio, você deve ser membro dos grupos Admins. do Domínio ou Administradores Corporativos ou ter permissões delegadas para adicionar o servidor de destino a uma UO (unidade organizacional) do domínio.

Important

Se você estiver migrando uma AC autônoma que não seja um membro de domínio, conclua apenas as etapas para renomear o servidor de destino e não ingresse o servidor de destino no domínio.

Ingresse o servidor de destino no domínio usando o PowerShell

  1. No servidor de destino, abra uma janela elevada do PowerShell.

  2. Use o cmdlet Rename-Computer digitando:

    Rename-Computer -NewName "NEW_COMPUTER_NAME" -DomainCredential Domain01\Admin01 -Restart

  3. Depois que o servidor de destino for reiniciado, faça logon usando uma conta que tenha permissão para ingressar computadores no domínio.

  4. Abra uma janela elevada do PowerShell e use o cmdlet Add-Computer para adicionar um computador a um domínio.

    Add-Computer -DomainName Domain01 -Restart

Adicionar o serviço de função de autoridade certificadora ao servidor de destino

Esta seção descreve dois procedimentos diferentes para acrescentar o serviço de função de autoridade de certificação ao servidor de destino, incluindo instruções especiais de como usar o cluster de failover.

Examine as instruções a seguir para determinar que procedimentos devem ser executados.

  • Se o servidor de destino estiver executando a opção de instalação Server Core, você poderá usar o Windows PowerShell para instalar a AC usando o cmdlet Install-AdcsCertificationAuthority.

  • Se você estiver migrando para uma AC que usa um HSM, conclua os procedimentos Importar o certificado de AC e adicionar o serviço de função de AC.

  • Se você estiver migrando para uma autoridade de certificação que usa o clustering de failover, os procedimentos para Importar o certificado de autoridade de certificação e Adicionar o serviço de função de autoridade de certificação deverão ser concluídos em cada nó de cluster. Depois que o serviço de função de autoridade de certificação for adicionado a cada nó, interrompa o serviço Serviços de Certificados do Active Directory (Certsvc). Confirme também que:

    • O armazenamento compartilhado usado pela autoridade de certificação está online e atribuído ao nó ao qual você está adicionando o serviço de função de autoridade de certificação.
    • O banco de dados da AC e os arquivos de log devem estar localizados no armazenamento compartilhado.

Importar o certificado CA

Se você estiver adicionando o serviço de função de AC usando o Gerenciador de Servidores, conclua o procedimento a seguir para importar o certificado de AC.

Importar o certificado CA

  1. Inicie o snap-in Certificados referente à conta de computador local.

  2. Na árvore de console, clique duas vezes em Certificados (Computador Local) e selecione Pessoal.

  3. No menu Ação , selecione Todas as Tarefas e selecione Importar... para abrir o Assistente de Importação de Certificado. Selecione Próximo.

  4. Localize o <arquivo CAName.p12> criado pelo certificado da AC e o backup de chave privada na AC de origem e selecione Abrir.

  5. Digite a senha e selecione OK.

  6. Selecione Colocar todos os certificados no repositório a seguir.

  7. Verifique se o Personal é exibido no repositório de certificados. Se não estiver, selecione Procurar, selecione Pessoal, selecione OK.

    Note

    Se você estiver usando um HSM de rede, conclua as etapas de 8 a 10 para reparar a associação entre o certificado de AC importado e a chave privada armazenada no HSM. Caso contrário, selecione Concluir para concluir o assistente e selecione OK para confirmar se o certificado foi importado com êxito.

  8. Na árvore de console, clique duas vezes em Certificados Pessoais e selecione o certificado de AC importado.

  9. No menu Ação , selecione Abrir. Selecione a guia Detalhes , copie o número de série para a Área de Transferência e selecione OK.

  10. Abra uma janela do Prompt de Comando, digite certutil –repairstore My"{Serialnumber}" e pressione ENTER.

Adicionar o serviço de função de autoridade de certificação

Se o servidor de destino for um membro de domínio, você deverá usar uma conta que seja membro do grupo Administradores de Domínio ou Administradores Corporativos para que o assistente de instalação acesse objetos no AD DS. Adicione o Serviço de Função de CA via Gerenciador de Servidores ou PowerShell.

Important

Se você fez um arquivo CAPolicy.inf de backup da AC de origem, examine as configurações e faça ajustes, se necessário. Copie o arquivo CAPolicy inf na pasta %windir% (por padrão, C:\Windows) da autoridade de certificação de destino antes de adicionar o serviço de função de autoridade de certificação.

Para adicionar o serviço de função de CA usando o Gerenciador de Servidores, siga estas etapas.

  1. Faça logon no servidor de destino e inicie o Gerenciador de Servidores.

  2. Na árvore de console, selecione Funções.

  3. No menu Ação , selecione Adicionar Funções.

  4. Se a página Antes de Começar for exibida, selecione Avançar.

  5. Na página Selecionar Funções de Servidor , marque a caixa de seleção Serviços de Certificados do Active Directory e selecione Avançar.

  6. Na página Introdução ao AD CS , selecione Avançar.

  7. Na página Serviços de Função , marque a caixa de seleção Autoridade de Certificação e selecione Avançar.

    Note

    Se você planeja instalar outros serviços de função no servidor de destino, execute primeiro a instalação da autoridade de certificação e depois instale outros serviços de função separadamente. Os procedimentos de instalação para outros serviços de função do AD CS não são descritos neste guia.

  8. Na página Especificar Tipo de Instalação , especifique Enterprise ou Autônomo, para corresponder à AC de origem e selecione Avançar.

  9. Na página Especificar Tipo de AC , especifique a AC Raiz ou a AC Subordinada, para corresponder à AC de origem e selecione Avançar.

  10. Na página Configurar Chave Privada , selecione Usar chave privada existente e Selecione um certificado e use sua chave privada associada.

    Note

    Se um HSM for usado pela AC, selecione a chave privada seguindo os procedimentos fornecidos pelo fornecedor de HSM.

  11. Na lista Certificados , selecione o certificado de autoridade de certificação importado e, em seguida, selecione Avançar.

  12. Na página Banco de Dados da AC , especifique os locais para o banco de dados da AC e os arquivos de log.

  13. Na página Confirmação , examine as mensagens e selecione Configurar.

  14. Caso esteja migrando para um cluster de failover, interrompa o serviço Certsvc (Serviços de Certificados do Active Directory) e o serviço de HSM se a autoridade de certificação usar um HSM. Em seguida, repita os procedimentos para importar o certificado da CA e adicionar o serviço de função da CA em outros nós de cluster.

Se você quiser instalar o serviço de função de AC usando o PowerShell, use o cmdlet Install-AdcsCertificationAuthority .

Restaurar a autoridade de certificação

Agora é hora de começar a restaurar a autoridade de certificação. Restaure o banco de dados da AC, as configurações de registro da AC e a lista de modelos de certificado, se necessário.

Restaurar o banco de dados e a configuração da Autoridade Certificadora no servidor de destino

Os procedimentos nesta seção devem ser concluídos somente depois que o serviço de função de Autoridade Certificadora (AC) tiver sido instalado no servidor de destino.

Caso esteja migrando para um cluster de failover, adicione o serviço de função de autoridade de certificação a todos os nós de cluster antes de restaurar o banco de dados de autoridade de certificação. O banco de dados deve ser restaurado em apenas um nó do cluster e deve estar localizado no armazenamento compartilhado.

A restauração do backup da Autoridade de Certificação (AC) de origem inclui as seguintes tarefas:

  • Restaurar o banco de dados CA de origem no servidor de destino
  • Restaurar as configurações de registro da CA de origem no servidor de destino
  • Verificar as extensões de certificado na autoridade de certificação de destino
  • Restaurar a lista de modelos de certificado (necessária somente para CAs empresariais)

Restaurar o banco de dados CA de origem no servidor de destino

Esta seção descreve diferentes procedimentos para restaurar o backup do banco de dados de AC de origem no servidor de destino usando o snap-in da Autoridade de Certificação, o PowerShell ou o Certutil.

Se você estiver migrando para uma instalação do Server Core, deverá usar o Certutil PowerShell. É possível gerenciar remotamente uma AC em execução em uma instalação do Server Core usando o snap-in da Autoridade de Certificação e o Gerenciador de Servidores. No entanto, só é possível restaurar um banco de dados de Autoridade de Certificação remotamente usando o Windows PowerShell.

Caso esteja migrando para um cluster de failover, verifique se o armazenamento compartilhado está online e restaure o banco de dados de autoridade de certificação em apenas um nó de cluster.

Para restaurar o banco de dados da CA, inicie a partir do Gerenciador de Servidores e use o snap-in da Autoridade de Certificação para concluir estas etapas:

  1. Acesse o servidor de destino usando uma conta que seja um administrador da Autoridade Certificadora.

  2. Inicie o snap-in Autoridade de Certificação.

  3. Clique com o botão direito do mouse no nó com o nome da AC, aponte para Todas as Tarefas e selecione Restaurar AC.

  4. Sobre o boas-vindas página, selecione próxima.

  5. Na página Itens para Restaurar , selecione o banco de dados de certificado e o log do banco de dados de certificado.

  6. Selecione Procurar. Navegue até a pasta pai que contém a pasta Banco de Dados (a pasta que contém os arquivos de banco de dados da AC criados durante o backup do banco de dados da AC).

    Warning

    não selecione a pasta Banco de Dados. Selecione sua pasta principal.

  7. Selecione Avançar e, em seguida, selecione Concluir.

  8. Selecione Sim para iniciar o serviço de AC (certsvc).

Restaurar as configurações de registro da CA de origem no servidor de destino

As informações de configuração da AC são armazenadas no registro em: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Antes de importar as configurações do Registro da AC de origem para a AC de destino, crie um backup da configuração padrão do registro de AC de destino. Certifique-se de executar essas etapas na AC de destino e nomear o arquivo de registro como "DefaultRegCfgBackup.reg" para evitar confusão.

Important

Alguns parâmetros do registro devem ser migrados sem alterações do computador de CA de origem, e outros não devem ser migrados. Se forem migrados, eles deverão ser atualizados no sistema de destino após a migração porque alguns valores estão associados à ac em si, enquanto outros estão associados ao ambiente de domínio, ao host físico, à versão do Windows ou a outros fatores que podem ser diferentes no sistema de destino.

Uma maneira sugerida de executar a importação de configuração do Registro é primeiro abrir o arquivo do Registro exportado da AC de origem em um editor de texto e analisá-lo para as configurações que talvez precisem ser alteradas ou removidas.

Analisar o arquivo do Registro

  1. Clique com o botão direito do mouse no arquivo de texto .reg criado exportando as configurações da AC de origem.

  2. Selecione Editar para abrir o arquivo em um editor de texto.

  3. Se o nome do computador da AC de destino for diferente do nome do computador da AC de origem, pesquise no arquivo o nome do host do computador de ac de origem. Para cada instância do nome do host encontrado, verifique se ele é o valor apropriado para o ambiente de destino. Altere o nome do host, se necessário. Atualize o valor CAServerName .

  4. Verifique os valores do Registro que indiquem caminhos de arquivo locais, para garantir que os nomes e caminhos das letras da unidade estejam corretos para a autoridade de certificação de destino. Se houver uma incompatibilidade entre a origem e a AC de destino, atualize os valores no arquivo ou remova-os do arquivo para que as configurações padrão sejam preservadas na AC de destino.

Warning

Alguns valores do Registro são associados à Autoridade de Certificação, enquanto outros estão associados ao ambiente de rede de domínio, ao computador host físico, à versão do Windows ou até mesmo a outras funções de serviço. Consequentemente, alguns parâmetros do Registro devem ser migrados sem alterações do computador da autoridade de certificação de origem, enquanto outros não devem ser migrados. Qualquer valor que não esteja listado no arquivo de texto .reg restaurado na AC de destino mantém sua configuração existente ou valor padrão.

Remova os valores do Registro que você não deseja importar para a AC de destino. Depois que o arquivo de texto .reg for editado, ele poderá ser importado para a AC de destino. Ao importar as configurações de registro do servidor de origem de volta para o servidor de destino, a configuração da AC de origem é migrada para o servidor de destino.

Importar o backup do registro de AC de origem na AC de destino

  1. Faça logon no servidor de destino como membro do grupo administradores local.

  2. Abra uma janela de Prompt de Comando.

  3. Digite net stop certsvc e pressione ENTER.

  4. Digite reg import "Configurações do Registro Backup.reg" e pressione ENTER.

Editar as configurações do registro da CA

  1. Selecione Iniciar, digite regedit.exe na caixa Pesquisar programas e arquivos e pressione ENTER para abrir o Editor do Registro.

  2. Na árvore de console, localize a chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuratione selecione Configuração.

  3. No painel de detalhes, clique duas vezes em DBSessionCount.

  4. Selecione Hexadecimal. Em Dados de Valor, digite 64 e selecione OK.

  5. Verifique se os locais especificados nas configurações a seguir estão corretos para o servidor de destino e altere-os conforme necessário para indicar o local do banco de dados da AC e dos arquivos de log.

    • DBDirectory

    • DBLogDirectory

    • DBSystemDirectory

    • DBTempDirectory

    Important

    Conclua as etapas de 6 a 8 somente se o nome do servidor de destino for diferente do nome do servidor de origem.

  6. Na árvore de console do editor do Registro, expanda Configuração e selecione o nome da AC.

  7. Modifique os valores das seguintes configurações do Registro substituindo o nome do servidor de origem pelo nome do servidor de destino.

    Note

    Na lista a seguir, os valores CACertFileName e ConfigurationDirectory são criados somente quando determinadas opções de instalação da AC são especificadas. Se essas duas configurações não forem exibidas, você poderá prosseguir para a próxima etapa.

    • CAServerName

    • CACertFileName

    • ConfigurationDirectory – Esse valor deve aparecer no Registro do Windows no seguinte local: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

Verificar extensões de certificado na autoridade de certificação de destino

As etapas descritas para importar as configurações de registro de AC de origem e editar o registro se houver uma alteração de nome de servidor destinam-se a manter os locais de rede que foram usados pela AC de origem para publicar CRLs e certificados de AC. Se a autoridade de certificação de origem tiver sido publicada em locais padrão do Active Directory, depois de concluir o procedimento anterior, deverá haver uma extensão com opções de publicação habilitadas e um URL LDAP que faça referência ao nome NetBIOS do servidor de origem; por exemplo, ldap:///CN=<CATruncatedName><CRLNameSuffix,CN>=<ServerShortName,CN>=CDP,CN=Public Key Services, CN=Services,<ConfigurationContainer><CDPObjectClass>.

Como muitos administradores configuram extensões personalizadas para seu ambiente de rede, não é possível fornecer instruções exatas para configurar extensões de acesso de informações de autoridade e ponto de distribuição de CRL.

Examine cuidadosamente os locais configurados e as opções de publicação e verifique se as extensões estão corretas de acordo com os requisitos da sua organização.

Verificar extensões usando o snap-in da Autoridade de Certificação

  1. Revise e modifique o ponto de distribuição de CRL, as extensões de acesso à autoridade de informações e as opções de publicação, seguindo os procedimentos de exemplo descritos em Especificar Pontos de Distribuição de CRL (https://go.microsoft.com/fwlink/?LinkID=145848).

  2. Se o nome do servidor de destino for diferente do nome do servidor de origem, adicione uma URL LDAP especificando um local que faça referência ao nome NetBIOS do servidor de destino com a variável <de substituição ServerShortName>; por exemplo ldap:///CN=\<CATruncatedName\>\<CRLNameSuffix\>,CN=\<ServerShortName\>,CN=CDP,CN=Public Key Services,CN=Services,\<ConfigurationContainer\>\<CDPObjectClass\>.

  3. Verifique se as opções de CDP estão definidas para que o antigo local da CDP não seja incluído na extensão CDP de certificados recém-emitidos ou na extensão CRL mais recente de CRLs.

Restaurar a lista de modelos de certificado

O procedimento a seguir é necessário apenas para uma AC corporativa. Uma Autoridade Certificadora (AC) autônoma não possui templates de certificados.

Atribuir modelos de certificado à Autoridade Certificadora de destino

  1. Faça logon com credenciais administrativas locais na autoridade de certificação de destino.

  2. Abra uma janela do prompt de comando.

  3. Digite: certutil -setcatemplates + <templatelist> e pressione ENTER.

    Note

    Substitua a lista de modelos por uma lista separada por vírgulas dos nomes de modelo listados no arquivo catemplates.txt criado durante o procedimento "Para registrar uma lista de modelos de AUTORIDADE usando Certutil.exe". Por exemplo, certutil -setcatemplates +Administrator, User, DomainController.

Conceder permissões em contêineres AIA e CDP

Se o nome do servidor de destino for diferente do servidor de origem, o servidor de destino deverá receber permissões nos contêineres CDP e AIA do servidor de origem no AD DS para publicar CRLs e certificados de AC. Conclua o procedimento a seguir se houver uma alteração no nome do servidor.

Conceder permissões nos contêineres AIA e CDP

  1. Faça logon como membro do grupo Administradores Corporativos em um computador no qual o snap-in Serviços e Sites do Active Directory esteja instalado. Abra sites e serviços do Active Directory (dssite.msc).

  2. Na árvore de console, selecione o nó superior.

  3. No menu Exibir , selecione Mostrar nó de serviços.

  4. Na árvore de console, expanda Serviços, expanda Serviços de Chave Pública e selecione AIA.

  5. No painel de detalhes, clique com o botão direito do mouse no nome da AC e selecione Propriedades.

  6. Selecione a guia Segurança e, em seguida, selecione Adicionar.

  7. Selecione Tipos de Objeto, selecione Computadores e, em seguida, selecione OK.

  8. Digite o nome da AC e selecione OK.

  9. Na coluna Permitir , selecione Controle Total e selecione Aplicar.

  10. O objeto de computador da AC anterior é exibido (como Conta Desconhecida com um identificador de segurança seguindo-o) em nomes de grupo ou de usuário. Você pode remover essa conta. Para fazer isso, selecione-o e selecione Remover. Selecione OK.

  11. Na árvore de console, expanda o CDP e selecione a pasta com o mesmo nome da AC.

  12. No painel de detalhes, clique com o botão direito do mouse no item CRLDistributionPoint na parte superior da lista e selecione Propriedades.

  13. Selecione a guia Segurança e, em seguida, selecione Adicionar.

  14. Selecione Tipos de Objeto, selecione Computadores e, em seguida, selecione OK.

  15. Digite o nome do servidor de destino e selecione OK.

  16. Na coluna Permitir , selecione Controle Total e selecione Aplicar.

  17. O objeto de computador da AC anterior é exibido (como Conta Desconhecida com um identificador de segurança seguindo-o) em nomes de grupo ou de usuário. Você pode remover essa conta. Para fazer isso, selecione-o e selecione Remover. selecione OK.

  18. Repita as etapas de 13 a 18 para cada item CRLDistributionPoint .

Note

Se você estiver usando a sintaxe file//\computer\share nas Extensões CDP para publicar a CRL em um local de pasta compartilhada, talvez seja necessário ajustar as permissões para essa pasta compartilhada para permitir que a AC de destino possa gravar nesse local. Se você estiver hospedando o CDP no servidor de destino e usando um caminho AIA ou CDP que inclua um nome de alias (por exemplo, pki.contoso.com) para o destino, talvez seja necessário ajustar o registro DNS para que ele aponte para o endereço IP de destino correto.

Procedimentos extras para clustering de failover

Se você estiver migrando para um cluster de failover, conclua os procedimentos a seguir depois que o banco de dados da Autoridade Certificadora e as configurações do registro forem migrados para o servidor de destino.

  • Configurar o clustering de failover para a autoridade de certificação de destino
  • Conceder permissões em contêineres de chave pública
  • Editar o nome DNS para uma Autoridade Certificadora agrupada no AD DS
  • Configurar pontos de distribuição de CRL para clusters de failover

Configurar o clustering de failover para a autoridade de certificação de destino

Caso esteja migrando para um cluster de failover, conclua os procedimentos a seguir para configurar o clustering de failover para o AD CS.

Configurar o AD CS como um recurso de cluster

  1. Selecione Iniciar, apontar para Executar, digite Cluadmin.msc e selecione OK.

  2. Na árvore de console do snap-in Gerenciamento de Cluster de Failover, selecione Serviços e Aplicativos.

  3. No menu Ação , selecione Configurar um serviço ou aplicativo. Se a página Antes de começar for exibida, selecione Avançar.

  4. Na lista de serviços e aplicativos, selecione Serviço Genérico e selecione Avançar.

  5. Na lista de serviços, selecione Serviços de Certificados do Active Directory e selecione Avançar.

  6. Especifique um nome de serviço e selecione Avançar.

  7. Selecione o armazenamento em disco que ainda está montado no nó e selecione Avançar.

  8. Para configurar um hive de registro compartilhado, selecione Adicionar, digite SYSTEM\CurrentControlSet\Services\CertSvc e selecione OK. Selecione Avançar duas vezes.

  9. Selecione Concluir para concluir a configuração de failover do AD CS.

  10. Na árvore de console, clique duas vezes em Serviços e Aplicativos e selecione o serviço clusterizado recém-criado.

  11. No painel de detalhes, selecione Serviço Genérico. No menu Ação , selecione Propriedades.

  12. Altere o Nome do Recurso para Autoridade de Certificação e selecione OK.

Se você usar um módulo de segurança de hardware (HSM) para sua Autoridade Certificadora (AC), conclua o procedimento a seguir.

Para criar uma dependência entre uma autoridade de certificação e o serviço HSM de rede

  1. Abra o snap-in Gerenciador de Cluster de Failover. Na árvore de console, selecione Serviços e Aplicativos.

  2. No painel de detalhes, selecione o nome criado anteriormente do serviço clusterizado.

  3. No menu Ação , selecione Adicionar um recurso e selecione Serviço Genérico.

  4. Na lista de serviços disponíveis exibidos pelo assistente Novo Recurso , selecione o nome do serviço que foi instalado para se conectar ao HSM de rede. Selecione Avançar duas vezes e, em seguida, selecione Concluir.

  5. Em Serviços e Aplicativos na árvore de console, selecione o nome dos serviços clusterizados.

  6. No painel de detalhes, selecione o Serviço Genérico recém-criado. No menu Ação , selecione Propriedades.

  7. Na guia Geral , altere o nome do serviço, se desejado, e selecione OK. Verifique se o serviço está online.

  8. No painel de detalhes, selecione o serviço anteriormente denominado Autoridade de Certificação. No menu Ação , selecione Propriedades.

  9. Na guia Dependências , selecione Inserir, selecione o serviço HSM de rede na lista e selecione OK.

Conceder permissões em contêineres de chave pública

Se você estiver migrando para um cluster de failover, conclua os seguintes procedimentos para conceder permissões a todos os nós de cluster nos seguintes contêineres do AD DS:

  • O contêiner do AIA
  • O contêiner de matrícula
  • O contêiner KRA

Conceder permissões em contêineres de chave pública no AD DS

  1. Faça logon em um computador membro do domínio como membro do grupo Administradores de Domínio ou grupo administradores corporativos.

  2. Selecione Iniciar, apontar para Executar, digite dssite.msc e selecione OK.

  3. Na árvore de console, selecione o nó superior.

  4. No menu Exibir , selecione Mostrar nó de serviços.

  5. Na árvore de console, expanda Serviços e, em seguida, Serviços de Chave Pública e selecione AIA.

  6. No painel de detalhes, clique com o botão direito do mouse no nome da AC de origem e selecione Propriedades.

  7. Selecione a guia Segurança e, em seguida, selecione Adicionar.

  8. Selecione Tipos de Objeto, selecione Computadores e, em seguida, selecione OK.

  9. Digite os nomes da conta de computador de todos os nós de cluster e selecione OK.

  10. Na coluna Permitir , marque a caixa de seleção Controle Total ao lado de cada nó do cluster e selecione OK.

  11. Na árvore de console, selecione Serviços de Registro.

  12. No painel de detalhes, clique com o botão direito do mouse no nome da AC de origem e selecione Propriedades.

  13. Selecione a guia Segurança e, em seguida, selecione Adicionar.

  14. Selecione Tipos de Objeto, selecione Computadores e, em seguida, selecione OK.

  15. Digite os nomes da conta de computador de todos os nós de cluster e selecione OK.

  16. Na coluna Permitir , marque a caixa de seleção Controle Total ao lado de cada nó do cluster e selecione OK.

  17. Na árvore de console, selecione KRA.

  18. No painel de detalhes, clique com o botão direito do mouse no nome da AC de origem e selecione Propriedades.

  19. Selecione a guia Segurança e, em seguida, selecione Adicionar.

  20. Selecione Tipos de Objeto, selecione Computadores e, em seguida, selecione OK.

  21. Digite os nomes de todos os nós de cluster e selecione OK.

  22. Na coluna Permitir , marque a caixa de seleção Controle Total ao lado de cada nó do cluster e selecione OK.

Editar o nome DNS para uma Autoridade Certificadora agrupada no AD DS

Quando o serviço de AC foi instalado no primeiro nó de cluster, o objeto Serviços de Registro foi criado e o nome DNS desse nó de cluster foi adicionado ao atributo dNSHostName do objeto Enrollment Services. Como a AC deve operar em todos os nós de cluster, o valor do atributo dNSHostName do objeto Enrollment Services deve ser o nome do serviço especificado na etapa 6 do procedimento "Para configurar o AD CS como um recurso de cluster".

Se você estiver migrando para uma autoridade de certificação clusterizada, conclua o procedimento a seguir no nó de cluster ativo. É necessário executar o procedimento em apenas um nó do cluster.

Editar o nome DNS para uma Autoridade Certificadora agrupada no AD DS

  1. Faça logon no nó do cluster ativo como um membro do grupo Administradores Corporativos.

  2. Selecione Iniciar, apontar para Executar, digite adsiedit.msc e selecione OK.

  3. Na árvore de console, selecione Editar ADSI.

  4. No menu Ação , selecione Conectar-se.

  5. Na lista de contextos de nomenclatura conhecidos, selecione Configuração e selecione OK.

  6. Na árvore de console, expanda Configuração, Serviços e Serviços de Chave Pública e selecione Serviços de Registro.

  7. No painel de detalhes, clique com o botão direito do mouse no nome da AC do cluster e selecione Propriedades.

  8. Selecione dNSHostName e selecione Editar.

  9. Digite o nome do serviço de autoridade de certificação conforme exibido no Gerenciamento de Cluster de Failover no snap-in do Gerenciador de Cluster de Failover e selecione OK.

  10. Selecione OK para salvar as alterações.

Configurar pontos de distribuição de CRL para clusters de failover

Na configuração padrão de uma autoridade de certificação, o nome curto do servidor é utilizado como parte dos locais de ponto de distribuição de CRL e de acesso a informações de autoridade.

Quando uma autoridade de certificação está em execução em um cluster de failover, o nome curto do servidor deve ser substituído pelo nome curto do cluster nos locais de ponto de distribuição de CRL e de acesso a informações de autoridade. Para publicar a CRL no AD DS, o contêiner do ponto de distribuição CRL deve ser adicionado manualmente.

Important

Os procedimentos a seguir devem ser executados no nó do cluster ativo.

Alterar os pontos de distribuição de CRL configurados

  1. Faça logon no nó do cluster ativo como um membro do grupo Administradores local.

  2. Selecione Iniciar, selecione Executar, digite regedit e, em seguida, selecione OK.

  3. Localize a chave do Registro \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

  4. Selecione o nome da autoridade de certificação.

  5. No painel direito, clique duas vezes em CRLPublicationURLs.

  6. Na segunda linha, substitua %2 pelo nome do serviço especificado na etapa 6 do procedimento "Para configurar o AD CS como um recurso de cluster".

    Tip

    O nome de serviço também aparece no snap-in Gerenciamento de Cluster de Failover em Serviços e Aplicativos.

  7. Reinicie o serviço CA.

  8. Abra um prompt de comando, digite certutil -CRL e pressione ENTER.

    Note

    Se uma mensagem de erro "Objeto de diretório não encontrado" for exibida, conclua o procedimento a seguir para criar o contêiner do ponto de distribuição crl no AD DS.

Criar o Contêiner do Ponto de Distribuição CRL no AD DS

  1. Em um prompt de comando, digite o cd %windir%\System32\CertSrv\CertEnroll e pressione ENTER. O arquivo CRL criado pelo comando certutil –CRL deve estar localizado neste diretório.

  2. Para publicar a CRL no AD DS, digite certutil -f -dspublish"CRLFile.crl" e pressione ENTER.

Próxima etapa

Depois de concluir os procedimentos para migrar a AC, você deve concluir os procedimentos descritos na Verificação da Migração da Autoridade de Certificação.

  • Last updated on