Migrar uma autoridade de certificação

A migração de uma Autoridade de Certificação (CA) garante a continuidade dos serviços de certificação da sua organização. Este guia fornece instruções passo a passo e práticas recomendadas para migrar com êxito uma autoridade de certificação. Ele abrange tarefas essenciais, como fazer backup do banco de dados e da chave privada da autoridade de certificação, remover o serviço de função da autoridade de certificação do servidor de origem e restaurar a autoridade de certificação no servidor de destino. Quer esteja a utilizar o snap-in da Autoridade de Certificação, o Windows PowerShell ou ferramentas de linha de comandos como o Certutil, este guia oferece passos detalhados adaptados a vários cenários de migração. Siga estas instruções para garantir um processo de migração suave e seguro.

Prerequisites

Antes de migrar sua Autoridade de Certificação (CA), verifique se os seguintes pré-requisitos foram atendidos.

Tem de ter:

• Acesso administrativo para os servidores de origem e de destino. Para autoridades de certificação corporativas, verifique se você é membro do grupo Administradores de Empresa ou Administradores de Domínio.
• Acesso a ferramentas como o snap-in da Autoridade de Certificação, PowerShell ou Certutil para executar backups e restaurações.
• Um local seguro e acessível para armazenar arquivos de backup. Certifique-se de que o local está protegido contra acesso não autorizado.
• Conectividade de rede entre os servidores de origem e de destino.
• Para agrupamento de failover:
  • Armazenamento compartilhado configurado e acessível.
  • Nós de cluster que estão configurados corretamente e as permissões são concedidas.

Ao preencher esses pré-requisitos, você pode garantir uma migração suave e segura de sua Autoridade de Certificação.

Executar backups

Antes de começar a migrar sua autoridade de certificação, você primeiro desejará fazer backup do:

• Base de dados da AC
• Chave(s) privada(s)
• Configurações do Registro da Autoridade Certificadora
• Arquivo CAPolicy.inf
• A lista de modelos de autoridades de certificação (necessária apenas para autoridades de certificação corporativas)

Antes de prosseguir com a remoção da função de autoridade de certificação, deve-se também publicar uma CRL com um prazo de validade estendido.

Fazer backup de um banco de dados de autoridade de certificação e de uma chave privada

Você pode fazer backup do banco de dados da autoridade de certificação e da chave privada usando o snap-in da Autoridade de Certificação, o PowerShell ou o Certutil. Conclua um dos procedimentos de backup descritos nesta seção enquanto estiver conectado à autoridade de certificação de origem.

Você deve usar uma conta que seja um administrador de autoridade de certificação. Em uma autoridade de certificação corporativa, a configuração padrão para administradores de autoridade de certificação inclui o grupo Administradores locais, o grupo Administradores de empresa e o grupo Administradores de domínio. Em uma autoridade de certificação autônoma, a configuração padrão para administradores de autoridade de certificação inclui o grupo Administradores local.

Depois de concluir as etapas de backup, o serviço Serviços de Certificados do Ative Directory (Certsvc) deve ser interrompido para impedir a emissão de mais certificados. Antes de adicionar o serviço de função de autoridade de certificação ao servidor de destino, o serviço de função de autoridade de certificação deve ser removido do servidor de origem.

Os arquivos de backup criados durante esses procedimentos devem ser armazenados no mesmo local para simplificar a migração. O local deve ser acessível a partir do servidor de destino.

Fazer backup das configurações do Registro da autoridade de certificação

Conclua um dos procedimentos a seguir para fazer backup das configurações do Registro da autoridade de certificação.

Os arquivos criados durante o procedimento de backup devem ser armazenados no mesmo local que o banco de dados e os arquivos de backup de chave privada para simplificar a migração. A localização deve ser acessível a partir do servidor de destino; por exemplo, mídia removível ou uma pasta compartilhada no servidor de destino ou outro membro do domínio.

Você deve estar conectado à autoridade de certificação de origem usando uma conta que seja membro do grupo Administradores local.

Fazer backup das configurações do Registro da autoridade de certificação usando o Regedit.exe

1. Selecione Iniciar, aponte para Executar e digite regedit para abrir o Editor do Registro.

2. No HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc, clique com o botão direito do mouse em Configuração e selecione Exportar.

3. Especifique um local e um nome de arquivo e selecione Salvar. Isso cria um ficheiro de registo contendo dados de configuração da autoridade de certificação de origem.

4. Copie o arquivo do Registro para um local acessível a partir do servidor de destino; por exemplo, uma pasta compartilhada ou mídia removível.

Fazer backup das configurações do Registro da autoridade de certificação usando o Reg.exe

1. Abra uma janela de comando.

2. Digite reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration<output file>.reg e pressione a tecla ENTER.

3. Copie o arquivo do Registro para um local acessível a partir do servidor de destino; por exemplo, uma pasta compartilhada ou mídia removível.

Fazer backup de CAPolicy.inf

Se a autoridade de certificação de origem estiver usando um arquivo CAPolicy.inf personalizado, copie o arquivo para o mesmo local dos arquivos de backup da autoridade de certificação de origem.

O arquivo CAPolicy.inf está localizado no diretório %SystemRoot%, que geralmente é C:\Windows.

Fazer backup de uma lista de modelos de CA

Uma autoridade de certificação corporativa pode ter modelos de certificado atribuídos a ela. Você deve registar os modelos de certificados atribuídos antes de iniciar a migração da CA (autoridade de certificação). Não é feito backup das informações com o banco de dados da autoridade de certificação ou o backup das configurações do Registro. Isso ocorre porque os modelos de certificado e sua associação com CAs corporativas são armazenados no AD DS. Você precisará adicionar a mesma lista de modelos ao servidor de destino para concluir a migração da autoridade de certificação.

Você pode determinar os modelos de certificado atribuídos a uma autoridade de certificação usando o snap-in Autoridade de certificação ou o comando Certutil.exe –catemplates .

Registar uma lista de modelos de certificados de CA usando o snap-in Autoridade de Certificação

1. Faça logon com credenciais administrativas locais no computador da autoridade de certificação.

2. Abra o snap-in Autoridade de Certificação.

3. Na árvore de console, expanda Autoridade de Certificação e selecione Modelos de Certificado.

4. Registre a lista de modelos de certificado fazendo uma captura de tela ou digitando a lista em um arquivo de texto.

Gravar uma lista de modelos de autoridade de certificação usando Certutil.exe

1. Faça logon com credenciais administrativas locais no computador da autoridade de certificação.

2. Abra uma janela de comando.

3. Digite o seguinte comando e pressione ENTER.

   certutil.exe –catemplates > catemplates.txt
   

4. Verifique se o arquivo catemplates.txt contém a lista de modelos.

Publicar uma CRL com um período de validade alargado

Antes de iniciar a migração da autoridade de certificação, é uma boa prática publicar uma CRL com um período de validade que se estenda além do período de migração planejado. O período de validade da LCR deve ser, pelo menos, o período de tempo planeado para a migração. Isso é necessário para permitir que os processos de validação de certificado em computadores clientes continuem durante o período de migração.

Você deve publicar uma CRL com um período de validade estendido para cada autoridade de certificação que está sendo migrada. Este procedimento é particularmente importante para uma autoridade de certificação raiz devido ao número potencialmente grande de certificados que seriam afetados pela indisponibilidade de uma CRL.

Por padrão, o período de validade da CRL é igual ao período de publicação da CRL mais 10%. Depois de determinar um período de validade de CRL apropriado, defina o intervalo de publicação da CRL e publique manualmente a CRL concluindo os seguintes procedimentos: Agendar a publicação da lista de revogação de certificados e Publicar manualmente a lista de revogação de certificados.

Remover o serviço de função de autoridade de certificação do servidor de origem

É importante remover o serviço de função de autoridade de certificação do servidor de origem depois de concluir os procedimentos de backup e antes de instalar o serviço de função de autoridade de certificação no servidor de destino. As Autoridades de Certificação Empresariais e Independentes que são membros do domínio armazenam nos Serviços de Domínio do Active Directory (AD DS) dados de configuração associados ao nome comum da autoridade de certificação. A remoção do serviço de função de autoridade de certificação também remove do AD DS os dados de configuração das autoridades de certificação. Como a autoridade de certificação de origem e a autoridade de certificação de destino compartilham o mesmo nome comum, remover o serviço de função de autoridade de certificação do servidor de origem depois de instalar o serviço de função de autoridade de certificação no servidor de destino remove os dados de configuração exigidos pela autoridade de certificação de destino e interfere em sua operação.

O banco de dados da autoridade de certificação, a chave privada e o certificado não são removidos do servidor de origem removendo o serviço de função da autoridade de certificação. Portanto, a reinstalação do serviço de função CA no servidor de origem restaura a autoridade de certificação de origem se a migração falhar e for necessária uma reversão.

Para remover a função CA, use o Assistente para Remover Funções e Recursos no Gestor do Servidor.

1. No Gerenciador do Servidor, selecione Gerenciar e Remover Funções e Recursos.
2. Selecione Avançar no assistente até chegar a Funções de Servidor.
3. Em Funções de Servidor, em Serviços de Certificados do Active Directory, desmarque a caixa de seleção Autoridade de Certificação.
4. Confirme se você também deseja remover recursos que exigem Autoridade de Certificação.
5. Selecione Avançar até chegar à página Confirmação. Em seguida, selecione Remover.
6. Confirme se a função foi removida com êxito.

Remover o servidor de origem do domínio

Como os nomes de computador devem ser exclusivos dentro de um domínio do Ative Directory, é necessário remover o servidor de origem de seu domínio e excluir a conta de computador associada do Ative Directory antes de ingressar o servidor de destino no domínio.

Conclua o procedimento a seguir para remover o servidor de origem do domínio.

Remover o servidor de origem do domínio usando o PowerShell

Use o cmdlet do Windows PowerShell Remove-ADComputer para remover a conta de computador do AD DS.

Para remover um computador específico do Ative Directory, use o seguinte comando:

Remove-ADComputer -Identity "COMPUTER_IDENTITY"

O -Identity parâmetro é usado para especificar um objeto de computador do Ative Directory fornecendo um dos seguintes valores de propriedade: distinguished name, GA GUID (objectGUID), security identifier (objectSid) ou Security Accounts Manager account name (sAMAccountName).

Associar o servidor de destino ao domínio

Antes de associar o servidor de destino ao domínio, altere o nome do computador para o mesmo nome do servidor de origem. Em seguida, conclua o procedimento para associar o servidor de destino ao domínio.

Se o servidor de destino estiver sendo executado na opção de instalação Server Core, você deverá usar o procedimento de linha de comando.

Para renomear o servidor de destino, você deve ser membro do grupo Administradores local. Para unir o servidor ao domínio, deve ser membro dos grupos Domain Admins ou Enterprise Admins, ou ter permissões delegadas para unir o servidor de destino a uma unidade organizacional (UO) no domínio.

Associar o servidor de destino ao domínio usando o PowerShell

1. No servidor de destino, abra uma janela elevada do PowerShell.

2. Use o cmdlet Rename-Computer digitando:

   Rename-Computer -NewName "NEW_COMPUTER_NAME" -DomainCredential Domain01\Admin01 -Restart
   

3. Depois que o servidor de destino for reiniciado, faça logon usando uma conta que tenha permissão para associar computadores ao domínio.

4. Abra uma janela elevada do PowerShell e use o cmdlet Add-Computer para adicionar um computador a um domínio.

   Add-Computer -DomainName Domain01 -Restart
   

Adicionar o serviço de função CA ao servidor de destino

Esta secção descreve dois procedimentos diferentes para adicionar o serviço de função CA ao servidor de destino, incluindo instruções especiais para utilizar o cluster de failover.

Analise as instruções a seguir para determinar quais procedimentos devem ser concluídos.

• Se o servidor de destino estiver executando a opção de instalação Server Core, você poderá usar o Windows PowerShell para instalar a autoridade de certificação usando o cmdlet Install-AdcsCertificationAuthority.

• Se você estiver migrando para uma autoridade de certificação que usa um HSM, conclua os procedimentos Importar o certificado da autoridade de certificação e Adicionar o serviço de função da autoridade de certificação.

• Se estiver a migrar para uma autoridade de certificação que utiliza agrupamento de failover, os procedimentos para Importar o certificado da autoridade de certificação e Adicionar o serviço de funções da autoridade de certificação devem ser concluídos em cada nó do cluster. Depois que o serviço de função CA for adicionado a cada nó, pare o serviço Serviços de Certificados do Ative Directory (Certsvc). Confirme também que:

  • O armazenamento compartilhado usado pela autoridade de certificação está online e atribuído ao nó ao qual você está adicionando o serviço de função de autoridade de certificação.
  • O banco de dados e os arquivos de log da autoridade de certificação devem estar localizados no armazenamento compartilhado.

Importar o certificado da autoridade de certificação

Se você estiver adicionando o serviço de função de autoridade de certificação usando o Gerenciador do Servidor, conclua o procedimento a seguir para importar o certificado da autoridade de certificação.

Importar o certificado da autoridade de certificação

1. Inicie o snap-in Certificados para a conta do computador local.

2. Na árvore de console, clique duas vezes em Certificados (Computador Local) e selecione Pessoal.

3. No menu Ação , selecione Todas as Tarefas e, em seguida, selecione Importar... para abrir o Assistente para Importação de Certificados. Selecione Avançar.

4. Localize o <arquivo CAName.p12> criado pelo certificado da autoridade de certificação e o backup da chave privada na autoridade de certificação de origem e selecione Abrir.

5. Digite a senha e selecione OK.

6. Selecione Colocar todos os certificados no repositório seguinte.

7. Verifique se Pessoal é exibido no Armazenamento de certificados. Se não estiver, selecione Procurar, selecione Pessoal, selecione OK.

   Note

   Se você estiver usando um HSM de rede, conclua as etapas 8 a 10 para reparar a associação entre o certificado de CA importado e a chave privada armazenada no HSM. Caso contrário, selecione Concluir para finalizar o assistente e selecione OK para confirmar que o certificado foi importado com sucesso.

8. Na árvore de console, clique duas vezes em Certificados Pessoais e selecione o certificado de autoridade de certificação importado.

9. No menu Ação , selecione Abrir. Selecione a guia Detalhes, copie o número de série para a Área de Transferência e selecione OK.

10. Abra uma janela do Prompt de Comando, digite certutil –repairstore My"{Serialnumber}" e pressione ENTER.

Adicionar o serviço de função de autoridade de certificação

Se o servidor de destino for um membro do domínio, você deverá usar uma conta que seja membro do grupo Administradores do Domínio ou Administradores Corporativos para que o assistente de instalação acesse objetos no AD DS. Adicione o serviço de função CA usando o Gerenciador do Servidor ou o PowerShell.

Para adicionar o serviço de função CA usando o Gerenciador do Servidor, siga estas etapas.

1. Faça logon no servidor de destino e inicie o Gerenciador do Servidor.

2. Na árvore de console, selecione Funções.

3. No menu Ação , selecione Adicionar Funções.

4. Se a página Antes de Começar for exibida, selecione Avançar.

5. Na página Selecionar Funções de Servidor , marque a caixa de seleção Serviços de Certificados do Ative Directory e selecione Avançar.

6. Na página Introdução ao AD CS , selecione Avançar.

7. Na página Serviços de Função , marque a caixa de seleção Autoridade de Certificação e selecione Avançar.

   Note

   Se você planeja instalar outros serviços de função no servidor de destino, deve concluir a instalação da autoridade de certificação primeiro e, em seguida, instalar outros serviços de função separadamente. Os procedimentos de instalação para outros serviços de função do AD CS não estão descritos neste guia.

8. Na página Especificar Tipo de Instalação , especifique Enterprise ou Standalone, para corresponder à CA de origem, e selecione Next.

9. Na página Especificar tipo de autoridade de certificação , especifique a autoridade de certificação raiz ou a autoridade de certificação subordinada para corresponder à autoridade de certificação de origem e selecione Avançar.

10. Na página Configurar Chave Privada , selecione Usar chave privada existente e Selecionar um certificado e usar sua chave privada associada.

    Note

    Se um HSM for usado pela autoridade de certificação, selecione a chave privada seguindo os procedimentos fornecidos pelo fornecedor do HSM.

11. Na lista Certificados , selecione o certificado de autoridade de certificação importado e selecione Avançar.

12. Na página Banco de dados da autoridade de certificação , especifique os locais do banco de dados e dos arquivos de log da autoridade de certificação.

13. Na página Confirmação , revise as mensagens e selecione Configurar.

14. Se você estiver migrando para um cluster de failover, interrompa o serviço Serviços de Certificados do Ative Directory (Certsvc) e o serviço HSM se sua autoridade de certificação usar um HSM. Em seguida, repita os procedimentos para importar o certificado da autoridade de certificação e adicionar o serviço de função da autoridade de certificação em outros nós do cluster.

Se você quiser instalar o serviço de função CA usando o PowerShell, use o cmdlet Install-AdcsCertificationAuthority .

Restaurar a CA

Agora é hora de começar a restaurar a autoridade de certificação. Restaure o banco de dados da autoridade de certificação, as configurações do registro da autoridade de certificação e a lista de modelos de certificado, se necessário.

Restaurar o banco de dados e a configuração da autoridade de certificação no servidor de destino

Os procedimentos nesta seção devem ser concluídos somente depois que o serviço de função de autoridade de certificação tiver sido instalado no servidor de destino.

Se você estiver migrando para um cluster de failover, adicione o serviço de função de autoridade de certificação a todos os nós de cluster antes de restaurar o banco de dados da autoridade de certificação. O banco de dados da autoridade de certificação deve ser restaurado em apenas um nó de cluster e deve estar localizado no armazenamento compartilhado.

A restauração do backup da autoridade de certificação de origem inclui as seguintes tarefas:

• Restaurar o banco de dados da autoridade de certificação de origem no servidor de destino
• Restaurar as configurações do Registro da autoridade de certificação de origem no servidor de destino
• Verifique as extensões de certificado na autoridade de certificação de destino
• Restaurar a lista de modelos de certificado (necessária apenas para autoridades de certificação corporativas)

Restaurar o banco de dados da autoridade de certificação de origem no servidor de destino

Esta seção descreve diferentes procedimentos para restaurar o backup do banco de dados da autoridade de certificação de origem no servidor de destino usando o snap-in da Autoridade de Certificação, o PowerShell ou o Certutil.

Se você estiver migrando para uma instalação Server Core, deverá usar o Certutil PowerShell. É possível gerenciar remotamente uma CA a funcionar numa instalação Server Core utilizando o snap-in Autoridade de Certificação e o Gestor de Servidores. No entanto, só é possível restaurar um banco de dados de autoridade de certificação remotamente usando o Windows PowerShell.

Se estiver migrando para um cluster de failover, certifique-se de que o armazenamento compartilhado esteja online e restaure a base de dados da autoridade de certificação em apenas um nó do cluster.

Restaurar as configurações do Registro da autoridade de certificação de origem no servidor de destino

As informações de configuração da AC são armazenadas no registo em: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Antes de importar as configurações do Registro da CA de origem para a CA de destino, certifique-se de criar um backup da configuração padrão do Registro da CA de destino. Certifique-se de executar essas etapas na autoridade de certificação de destino e nomeie o arquivo do Registro com um nome como "DefaultRegCfgBackup.reg" para evitar confusão.

Uma maneira sugerida de executar a importação de configuração do Registro é primeiro abrir o arquivo do Registro exportado da autoridade de certificação de origem em um editor de texto e analisá-lo para configurações que talvez precisem ser alteradas ou removidas.

Analise o arquivo do Registro

1. Clique com o botão direito do mouse no arquivo de texto .reg criado exportando as configurações da autoridade de certificação de origem.

2. Selecione Editar para abrir o arquivo em um editor de texto.

3. Se o nome do computador da autoridade de certificação de destino for diferente do nome do computador da autoridade de certificação de origem, procure no arquivo o nome do host do computador da autoridade de certificação de origem. Para cada instância do nome de host encontrado, verifique se é o valor apropriado para o ambiente de destino. Altere o nome do host, se necessário. Atualize o valor CAServerName .

4. Verifique todos os valores de registo que indiquem caminhos de ficheiros locais, para garantir que os nomes e caminhos das letras das unidades estejam corretos para a CA de destino. Se houver uma incompatibilidade entre a autoridade de certificação de origem e a de destino, atualize os valores no arquivo ou remova-os do arquivo para que as configurações padrão sejam preservadas na autoridade de certificação de destino.

Remova todos os valores do Registro que você não deseja importar para a autoridade de certificação de destino. Depois que o arquivo de texto .reg for editado, ele poderá ser importado para a autoridade de certificação de destino. Ao importar as configurações do registro do servidor de origem para o servidor de destino, a configuração da autoridade de certificação de origem é migrada para o servidor de destino.

Importar o backup do registro da autoridade de certificação de origem na autoridade de certificação de destino

1. Faça logon no servidor de destino como membro do grupo Administradores local.

2. Abra uma janela de comando.

3. Digite net stop certsvc e pressione ENTER.

4. Digite reg import "Configurações do Registro Backup.reg" e pressione ENTER.

Editar as configurações do Registro da autoridade de certificação

1. Selecione Iniciar, digite regedit.exe na caixa Pesquisar programas e arquivos e pressione ENTER para abrir o Editor do Registro.

2. Na árvore de console, localize a chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuratione selecione Configuração.

3. No painel de detalhes, clique duas vezes em DBSessionCount.

4. Selecione Hexadecimal. Em Dados do valor, digite 64 e selecione OK.

5. Verifique se os locais especificados nas configurações a seguir estão corretos para o servidor de destino e altere-os conforme necessário para indicar o local do banco de dados e dos arquivos de log da autoridade de certificação.

   • DBDirectory

   • DBLogDirectory

   • DBSystemDirectory

   • DBTempDirectory

   Important

   Conclua as etapas 6 a 8 somente se o nome do servidor de destino for diferente do nome do servidor de origem.

6. Na árvore de console do editor do Registro, expanda Configuração e selecione o nome da autoridade de certificação.

7. Modifique os valores das seguintes configurações do Registro substituindo o nome do servidor de origem pelo nome do servidor de destino.

   Note

   Na lista a seguir, os valores CACertFileName e ConfigurationDirectory são criados somente quando determinadas opções de instalação da autoridade de certificação são especificadas. Se essas duas configurações não forem exibidas, você poderá prosseguir para a próxima etapa.

   • CAServerName

   • CACertFileName

   • ConfigurationDirectory – Este valor deve aparecer no Registro do Windows no seguinte local: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

Verificar extensões de certificado na autoridade de certificação de destino

As etapas descritas para importar as configurações do Registro da autoridade de certificação de origem e editar o registro se houver uma alteração no nome do servidor destinam-se a manter os locais de rede que foram usados pela autoridade de certificação de origem para publicar CRLs e certificados de autoridade de certificação. Se a autoridade de certificação de origem tiver sido publicada em locais padrão do Active Directory, depois de concluir o procedimento anterior, há uma extensão com opções de publicação ativadas e uma URL LDAP que faz referência ao nome NetBIOS do servidor de origem; por exemplo, ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Como muitos administradores configuram extensões personalizadas para seu ambiente de rede, não é possível fornecer instruções exatas para configurar o ponto de distribuição de CRL e as extensões de acesso a informações de autoridade.

Analise cuidadosamente os locais configurados e as opções de publicação e verifique se as extensões estão corretas de acordo com os requisitos da sua organização.

Verificar extensões usando o snap-in da Autoridade de Certificação

1. Analise e modifique o ponto de distribuição da CRL e as extensões de acesso às informações da autoridade e as opções de publicação seguindo os procedimentos de exemplo descritos em Especificar pontos de distribuição da CRL (https://go.microsoft.com/fwlink/?LinkID=145848).

2. Se o nome do servidor de destino for diferente do nome do servidor de origem, adicione uma URL LDAP especificando um local que faça referência ao nome NetBIOS do servidor de destino com a variável <de substituição ServerShortName>, por exemplo ldap:///CN=\<CATruncatedName\>\<CRLNameSuffix\>,CN=\<ServerShortName\>,CN=CDP,CN=Public Key Services,CN=Services,\<ConfigurationContainer\>\<CDPObjectClass\>.

3. Certifique-se de que as opções de CDP estejam definidas para que a localização anterior da CDP não seja incluída na extensão CDP de certificados recém-emitidos ou na extensão Freshest CRL dos CRLs.

Restaurar a lista de modelos de certificado

O procedimento a seguir é necessário apenas para uma autoridade de certificação corporativa. Uma autoridade de certificação autônoma não tem modelos de certificado.

Atribuir modelos de certificado à autoridade de certificação de destino

1. Faça logon com credenciais administrativas na autoridade de certificação de destino.

2. Abra uma janela da linha de comandos.

3. Digite: certutil -setcatemplates + <templatelist> e pressione ENTER.

   Note

   Substitua templatelist por uma lista separada por vírgulas dos nomes de modelo listados no arquivo de catemplates.txt criado durante o procedimento "Para gravar uma lista de modelos de CA usando Certutil.exe". Por exemplo, certutil -setcatemplates +Administrator,User,DomainController.

Conceder permissões em contêineres AIA e CDP

Se o nome do servidor de destino for diferente do servidor de origem, o servidor de destino deverá receber permissões nos contêineres CDP e AIA do servidor de origem no AD DS para publicar CRLs e certificados de CA. Conclua o procedimento a seguir se houver uma alteração no nome do servidor.

Atribuir permissões nos contenedores AIA e CDP

1. Inicie sessão como membro do grupo Admins de Empresa num computador onde o snap-in Sites e Serviços do Active Directory esteja instalado. Abra Sites e Serviços do Ative Directory (dssite.msc).

2. Na árvore de consola, selecione o nó superior.

3. No menu Exibir , selecione Mostrar nó de serviços.

4. Na árvore de console, expanda Serviços, expanda Serviços de Chave Pública e selecione AIA.

5. No painel de detalhes, clique com o botão direito do rato no nome da AC e, em seguida, selecione Propriedades.

6. Selecione o separador Segurança e, em seguida, selecione Adicionar.

7. Selecione Tipos de objeto, selecione Computadores e, em seguida, selecione OK.

8. Digite o nome da autoridade de certificação e selecione OK.

9. Na coluna Permitir , selecione Controle Total e selecione Aplicar.

10. O objeto de computador da autoridade de certificação anterior é exibido (como Conta desconhecida com um identificador de segurança após ele) em Nomes de grupo ou de usuário. Você pode remover essa conta. Para fazer isso, selecione-o e, em seguida, selecione Remover. Selecione OK.

11. Na árvore de console, expanda CDP e selecione a pasta com o mesmo nome da autoridade de certificação.

12. No painel de detalhes, clique com o botão direito do mouse no item CRLDistributionPoint na parte superior da lista e selecione Propriedades.

13. Selecione o separador Segurança e, em seguida, selecione Adicionar.

14. Selecione Tipos de objeto, selecione Computadores e, em seguida, selecione OK.

15. Digite o nome do servidor de destino e selecione OK.

16. Na coluna Permitir , selecione Controle Total e selecione Aplicar.

17. O objeto de computador da autoridade de certificação anterior é exibido (como Conta desconhecida com um identificador de segurança após ele) em Nomes de grupo ou de usuário. Você pode remover essa conta. Para fazer isso, selecione-o e, em seguida, selecione Remover. selecione OK.

18. Repita as etapas 13 a 18 para cada item CRLDistributionPoint .

Procedimentos extra para cluster de falha

Se estiveres a migrar para um cluster de failover, conclui os procedimentos a seguir depois de as configurações do banco de dados e do registro da autoridade de certificação terem sido migradas para o servidor de destino.

• Configurar agrupamento de tolerância a falhas para a autoridade de certificação de destino
• Conceder permissões em contêineres de chave pública
• Editar o nome DNS de uma autoridade de certificação clusterizada no AD DS
• Configurar pontos de distribuição de CRL para clusters de failover

Configurar agrupamento de tolerância a falhas para a autoridade de certificação de destino

Se estiver a efectuar a migração para um conjunto de failover, conclua os seguintes procedimentos para configurar o conjunto de failover para o AD CS.

Configurar o AD CS como um recurso de cluster

1. Selecione Iniciar, aponte para Executar, digite Cluadmin.msc e selecione OK.

2. Na árvore de console do snap-in Gerenciamento de Cluster de Failover, selecione Serviços e Aplicativos.

3. No menu Ação , selecione Configurar um serviço ou Aplicativo. Se a página Antes de começar for exibida, selecione Avançar.

4. Na lista de serviços e aplicativos, selecione Serviço Genérico e selecione Avançar.

5. Na lista de serviços, selecione Serviços de Certificados do Ative Directory e selecione Avançar.

6. Especifique um nome de serviço e selecione Avançar.

7. Selecione o armazenamento em disco que ainda está montado no nó e selecione Avançar.

8. Para configurar uma seção de registro compartilhada, selecione Adicionar, digite SYSTEM\CurrentControlSet\Services\CertSvc e selecione OK. Selecione Avançar duas vezes.

9. Selecione Concluir para concluir a configuração de failover do AD CS.

10. Na árvore de console, clique duas vezes em Serviços e Aplicativos e selecione o serviço clusterizado recém-criado.

11. No painel de detalhes, selecione Serviço Genérico. No menu Ação , selecione Propriedades.

12. Altere o Nome do Recurso para Autoridade de Certificação e selecione OK.

Se você usar um módulo de segurança de hardware (HSM) para sua autoridade de certificação, conclua o procedimento a seguir.

Para criar uma dependência entre uma autoridade de certificação e o serviço HSM de rede

1. Abra o Cliente de Gerenciamento de Failover de Cluster. Na árvore de console, selecione Serviços e Aplicativos.

2. No painel de detalhes, selecione o nome criado anteriormente do serviço clusterizado.

3. No menu Ação , selecione Adicionar um recurso e, em seguida, selecione Serviço Genérico.

4. Na lista de serviços disponíveis exibida pelo assistente para Novo recurso , selecione o nome do serviço que foi instalado para se conectar ao HSM da rede. Selecione Avançar duas vezes e, em seguida, selecione Concluir.

5. Em Serviços e Aplicativos na árvore de console, selecione o nome dos serviços clusterizados.

6. No painel de detalhes, selecione o Serviço Genérico recém-criado. No menu Ação , selecione Propriedades.

7. Na guia Geral, altere o nome do serviço, se desejado, e selecione OK. Verifique se o serviço está online.

8. No painel de detalhes, selecione o serviço anteriormente chamado Autoridade de Certificação. No menu Ação , selecione Propriedades.

9. Na guia Dependências, selecione Inserir, selecione o serviço HSM de rede na lista e selecione OK.

Conceder permissões em contêineres de chave pública

Se você estiver migrando para um cluster de failover, conclua os procedimentos a seguir para conceder permissões a todos os nós de cluster nos seguintes contêineres do AD DS:

• O contentor AIA
• O contêiner de inscrição
• O contentor KRA

Conceder permissões em contêineres de chave pública no AD DS

1. Faça logon em um computador membro do domínio como membro do grupo Administradores do Domínio ou do grupo Administradores Corporativos.

2. Selecione Iniciar, aponte para Executar, digite dssite.msc e selecione OK.

3. Na árvore de consola, selecione o nó superior.

4. No menu Exibir , selecione Mostrar nó de serviços.

5. Na árvore de console, expanda Serviços, Serviços de Chave Pública e selecione AIA.

6. No painel de detalhes, clique com o botão direito do mouse no nome da autoridade de certificação de origem e selecione Propriedades.

7. Selecione o separador Segurança e, em seguida, selecione Adicionar.

8. Selecione Tipos de objeto, selecione Computadores e, em seguida, selecione OK.

9. Digite os nomes das contas de computador de todos os nós do cluster e selecione OK.

10. Na coluna Permitir, marque a caixa de seleção Controle Total ao lado de cada nó de cluster e selecione OK.

11. Na árvore de console, selecione Serviços de Registro.

12. No painel de detalhes, clique com o botão direito do mouse no nome da autoridade de certificação de origem e selecione Propriedades.

13. Selecione o separador Segurança e, em seguida, selecione Adicionar.

14. Selecione Tipos de objeto, selecione Computadores e, em seguida, selecione OK.

15. Digite os nomes das contas de computador de todos os nós do cluster e selecione OK.

16. Na coluna Permitir, marque a caixa de seleção Controle Total ao lado de cada nó de cluster e selecione OK.

17. Na árvore de console, selecione KRA.

18. No painel de detalhes, clique com o botão direito do mouse no nome da autoridade de certificação de origem e selecione Propriedades.

19. Selecione o separador Segurança e, em seguida, selecione Adicionar.

20. Selecione Tipos de objeto, selecione Computadores e, em seguida, selecione OK.

21. Digite os nomes de todos os nós do cluster e selecione OK.

22. Na coluna Permitir, marque a caixa de seleção Controle Total ao lado de cada nó de cluster e selecione OK.

Editar o nome DNS de uma autoridade de certificação clusterizada no AD DS

Quando o serviço de autoridade de certificação foi instalado no primeiro nó de cluster, o objeto Serviços de Registro foi criado e o nome DNS desse nó de cluster foi adicionado ao atributo dNSHostName do objeto Serviços de Registro. Como a autoridade de certificação deve operar em todos os nós de cluster, o valor do atributo dNSHostName do objeto Serviços de Registro deve ser o nome do serviço especificado na etapa 6 do procedimento "Para configurar o AD CS como um recurso de cluster".

Ao migrar para uma autoridade de certificação em cluster, conclua o procedimento a seguir no nó ativo do cluster. É necessário concluir o procedimento em apenas um nó de cluster.

Editar o nome DNS de uma autoridade de certificação clusterizada no AD DS

1. Faça logon no nó de cluster ativo como membro do grupo Administradores de Empresa.

2. Selecione Iniciar, aponte para Executar, digite adsiedit.msc e selecione OK.

3. Na árvore de console, selecione ADSI Edit.

4. No menu Ação , selecione Conectar-se a.

5. Na lista de contextos de nomenclatura conhecidos, selecione Configuração e selecione OK.

6. Na árvore de console, expanda Configuração, Serviços e Serviços de Chave Pública e selecione Serviços de Registro.

7. No painel de detalhes, clique com o botão direito do mouse no nome da autoridade de certificação do cluster e selecione Propriedades.

8. Selecione dNSHostName e selecione Editar.

9. Digite o nome do serviço da CA conforme exibido em Gerenciador de Cluster de Failover no snap-in de Gerenciamento de Cluster de Failover e selecione OK.

10. Selecione OK para salvar as alterações.

Configurar pontos de distribuição de CRL para clusters de failover

Na configuração padrão de uma autoridade de certificação, o nome abreviado do servidor é usado como parte do ponto de distribuição da CRL e dos locais de acesso às informações da autoridade.

Quando uma autoridade de certificação está sendo executada em um cluster de failover, o nome abreviado do servidor deve ser substituído pelo nome abreviado do cluster no ponto de distribuição da CRL e nos locais de acesso às informações da autoridade. Para publicar a CRL no AD DS, o contêiner do ponto de distribuição da CRL deve ser adicionado manualmente.

Alterar os pontos de distribuição de CRL configurados

1. Aceda ao nó de cluster ativo como membro do grupo de Administradores local.

2. Selecione Iniciar, selecione Executar, digite regedit e selecione OK.

3. Localize a chave do Registro \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

4. Selecione o nome da autoridade de certificação.

5. No painel direito, clique duas vezes em CRLPublicationURLs.

6. Na segunda linha, substitua%2 pelo nome do serviço especificado na etapa 6 do procedimento "Para configurar o AD CS como um recurso de cluster".

   Tip

   O nome do serviço também aparece no snap-in Gerenciamento de Cluster de Failover em Serviços e Aplicativos.

7. Reinicie o serviço da autoridade de certificação.

8. Abra um prompt de comando, digite certutil -CRL e pressione ENTER.

   Note

   Se uma mensagem de erro "Objeto de diretório não encontrado" for exibida, conclua o procedimento a seguir para criar o contêiner de ponto de distribuição de CRL no AD DS.

Criar o contêiner do ponto de distribuição da CRL no AD DS

1. Em um prompt de comando, digite cd %windir%\System32\CertSrv\CertEnroll e pressione ENTER. O arquivo CRL criado pelo comando certutil –CRL deve estar localizado neste diretório.

2. Para publicar a CRL no AD DS, digite certutil -f -dspublish"CRLFile.crl" e pressione ENTER.

Próximo passo

Depois de concluir os procedimentos para migrar a autoridade de certificação, você deve concluir os procedimentos descritos em Verificando a migração da autoridade de certificação.