Windows Server
España (Español) Iniciar sesión
Inicio Windows Server 2012 Windows Server 2008 R2 Windows Server 2003 Library Foros
Personas que lo han encontrado útil: 2 de 2 - Valorar este tema

Migración de AD CS: Migrar la entidad de certificación

Actualizado: enero de 2011

Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Server 2008, Windows Server 2008 R2

Revise todos los procedimientos de este tema y complete sólo los que se requieren para su escenario de migración.

Hacer una copia de seguridad de una base de datos y clave privada de CA

Puede hacer una copia de seguridad de la base de datos y clave privada de CA utilizando el complemento Entidad de certificación o mediante Certutil.exe en una ventana de símbolo del sistema. Complete cualquiera de los dos procedimientos de copia de seguridad descritos en esta sección.

noteNota
Si la CA utiliza un módulo de seguridad de hardware (HSM), haga una copia de seguridad de las claves privadas siguiendo los procedimientos proporcionados por el proveedor HSM.

Después de finalizar los pasos de copia de seguridad, se deberían detener los Servicios de certificados de Active Directory (Certsvc) para evitar la emisión de certificados adicionales. Antes de agregar el servicio de rol Entidad de certificación (CA) al servidor de destino, debe quitarse el servicio de rol CA del servidor de origen.

Los archivos de copia de seguridad creados durante estos procedimientos deberían estar almacenados en la misma ubicación para simplificar la migración. La ubicación debería ser accesible desde el servidor de destino; por ejemplo, medios extraíbles o una carpeta compartida en el servidor de destino u otro miembro del dominio.

Hacer una copia de seguridad de una base de datos y clave privada de CA utilizando el complemento Entidad de certificación

En el siguiente procedimiento se describen los pasos para hacer una copia de seguridad de la base de datos y clave privada de CA utilizando el complemento Entidad de certificación mientras está iniciada la sesión en la CA de origen.

Debe usar una cuenta que sea de administrador de CA. En una CA empresarial, la configuración predeterminada para los administradores de CA incluye el grupo Administradores local, el grupo Administradores de organización y el grupo Admins. del dominio. En una CA independiente, la configuración predeterminada para los administradores de CA incluye el grupo Administradores local.

Para hacer una copia de seguridad de una base de datos y clave privada CA de utilizando el complemento Entidad de certificación

  1. Elija una ubicación de copia de seguridad y adjunte los medios si es necesario.

  2. Iniciar sesión en la CA de origen.

  3. Abra el complemento Entidad de certificación.

  4. Hacer clic con el botón secundario en el nodo con el nombre de la CA, selecciones Todas las tareas y, a continuación, haga clic en Realizar copia de seguridad de la entidad de certificación.

  5. En la Página principal del asistente para copia de seguridad de la entidad de certificación, haga clic en Siguiente.

  6. En la página Elementos para incluir en la copia de seguridad, active las casillas Base de datos de certificados emitidos y registro de base de datos de certificados y Clave privada y certificado de CA, especifique la ubicación de la copia de seguridad y, a continuación, haga clic en Siguiente.

  7. En la página Seleccione una contraseña, escriba una contraseña para proteger la clave privada de la CA y haga clic en Siguiente.

    securitySeguridad Nota
    Utilice una contraseña segura; por ejemplo, al menos ocho caracteres de largo con una combinación de caracteres en mayúsculas y minúsculas, números y caracteres de puntuación.

  8. En la página Finalización del Asistente para copia de seguridad, haga clic en Finalizar.

  9. Una vez completada la copia de seguridad, compruebe los siguientes archivos en la ubicación que especificó:

    • NombreDeCA.p12 que contiene el certificado y clave privada de CA

    • Carpeta de la base de datos que contiene los archivos certbkxp.dat, edb#####.log y NombreDeCA.edb

  10. Abra una ventana de símbolo del sistema y escriba net stop certsvc para detener los Servicios de certificados de Active Directory.

    ImportantImportante
    El servicio se debería detener para evitar la emisión de certificados adicionales. Si la CA de origen emite certificados una vez finalizada una copia de seguridad de la base de datos, repita el procedimiento de copia de seguridad de la base de datos de CA para asegurarse de que la copia de seguridad de la base de datos contiene todos los certificados emitidos.

  11. Copie todos los archivos de copia de seguridad en una ubicación que sea accesible desde el servidor de destino; por ejemplo, un recurso compartido de red o medios extraíbles.

    securitySeguridad Nota
    La clave privada se debe proteger contra la pérdida de confidencialidad. Para proteger una carpeta compartida, limite su lista de control de acceso a los administradores de CA autorizados. Proteja los medios extraíbles contra el acceso no autorizado y los daños.

Hacer una copia de seguridad de una base de datos y clave privada de CA mediante Certutil.exe

En el siguiente procedimiento se describen los pasos para hacer una copia de seguridad de la base de datos y clave privada de CA mediante Certutil.exe mientras está iniciada la sesión en la CA de origen.

Debe usar una cuenta que sea de administrador de CA. En una CA empresarial, la configuración predeterminada para los administradores de CA incluye el grupo Administradores local, el grupo Administradores de organización y el grupo Admins. del dominio. En una CA independiente, la configuración predeterminada para los administradores de CA incluye el grupo Administradores local.

Para hacer una copia de seguridad de una base de datos y clave privada de CA mediante Certutil.exe

  1. Inicie sesión en el equipo de la CA con las credenciales administrativas locales.

  2. Abra una ventana del símbolo del sistema.

  3. Escriba Certutil.exe –backupdb <DirectorioCopiaSeguridad> y presione ENTRAR.

  4. Escriba Certutil.exe –backupkey <DirectorioCopiaSeguridad> y presione ENTRAR.

    noteNota
    DirectorioCopiaSeguridad especifica el directorio en el que se crean los archivos de copia de seguridad. El valor especificado puede ser una ruta de acceso absoluta o relativa. Si el directorio especificado no existe, se crea. Los archivos de copia de seguridad se crean en un subdirectorio denominado Base de datos.

  5. Escriba una contraseña en la ventana de símbolo del sistema y presione ENTRAR. Debe conservar una copia de la contraseña para obtener acceso a la clave durante la instalación de la CA en el servidor de destino.

    securitySeguridad Nota
    Utilice una contraseña segura; por ejemplo, al menos ocho caracteres con una combinación de caracteres en mayúsculas y minúsculas, números y símbolos.

  6. Escriba net stop certsvc y presione ENTRAR para detener los Servicios de certificados de Active Directory. El servicio se debe detener para evitar la emisión de certificados adicionales.

  7. Una vez completada la copia de seguridad, compruebe los siguientes archivos en la ubicación que especificó:

    • NombreDeCA.p12 que contiene el certificado y clave privada de CA

    • Carpeta de la base de datos que contiene los archivos certbkxp.dat, edb#####.log y NombreDeCA.edb

  8. Copie todos los archivos de copia de seguridad en una ubicación que sea accesible desde el servidor de destino; por ejemplo, un recurso compartido de red o medios extraíbles.

    securitySeguridad Nota
    La clave privada se debe proteger contra la pérdida de confidencialidad. Proteja una carpeta compartida concediendo el permiso sólo a los administradores de CA autorizados. Proteja los medios extraíbles contra el acceso no autorizado y los daños.

Hacer una copia de seguridad de la configuración del Registro de la entidad de certificación

Complete uno de los siguientes procedimientos para hacer una copia de seguridad de la configuración del Registro de la entidad de certificación.

Para simplificar la migración, los archivos creados durante el procedimiento de copia de seguridad deberían estar almacenados en la misma ubicación que los archivos de copia de seguridad de clave privada y base de datos. La ubicación debería ser accesible desde el servidor de destino; por ejemplo, medios extraíbles o una carpeta compartida en el servidor de destino u otro miembro del dominio.

Debe iniciar sesión en la CA de origen con una cuenta que sea miembro del grupo Administradores local.

Para hacer una copia de seguridad de la configuración del Registro de la CA mediante Regedit.exe

  1. Haga clic en Inicio, seleccione Ejecutar y escriba regedit para abrir el Editor del Registro.

  2. En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc, haga clic con el botón secundario en Configuración y, a continuación, haga clic en Exportar.

  3. Especifique una ubicación y nombre de archivo y, a continuación, haga clic en Guardar. Esto crea un archivo de Registro que contiene los datos de configuración de la CA de origen.

  4. Copie el archivo de Registro en una ubicación que sea accesible desde el servidor de destino; por ejemplo, una carpeta compartida o medios extraíbles.

Para hacer una copia de seguridad de la configuración del Registro de la CA mediante Reg.exe

  1. Abra una ventana del símbolo del sistema.

  2. Escriba reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration <archivoDeSalida.reg> y presione ENTRAR.

  3. Copie el archivo de Registro en una ubicación que sea accesible desde el servidor de destino; por ejemplo, una carpeta compartida o medios extraíbles.

Hacer una copia de seguridad de CAPolicy.inf

Si la CA de origen usa un archivo CAPolicy.inf personalizado, debe copiar el archivo en la misma ubicación que los archivos de copia de seguridad de la CA de origen.

El archivo CAPolicy.inf se encuentra en el directorio %SystemRoot%, que suele ser C:\Windows.

Quitar el servicio de rol Entidad de certificación del servidor de origen

Es importante quitar el servicio de rol Entidad de certificación del servidor de origen después de finalizar los procedimientos de copia de seguridad y antes de instalar el servicio de rol de CA en el servidor de destino. Las CA empresariales y las CA independientes que son miembros del dominio almacenan en Servicios de dominio de Active Directory (AD DS) los datos de configuración asociados al nombre común de la CA. Al quitar el servicio de rol Entidad de certificación, también se quitan los datos de configuración de la CA de AD DS. Debido a que la CA de origen y la CA de destino comparten el mismo nombre de común, al quitar el servicio de rol Entidad de certificación del servidor de origen después de instalar el servicio de rol Entidad de certificación en el servidor de destino, se quitan los datos de configuración que necesita la CA de destino e interfieren con su funcionamiento.

La base de datos, clave privada y certificado de CA no se quitan del servidor de origen quitando el servicio de rol Entidad de certificación. Por consiguiente, al reinstalar el servicio de rol Entidad de certificación en el servidor de origen, se restaura la CA de origen si se produce un error en la migración y es necesario realizar una recuperación. Vea Restaurar AD CS en el servidor de origen en caso de error de migración.

WarningAdvertencia
Aunque no se recomienda, algunos administradores pueden decidir dejar el servicio de rol Entidad de certificación instalado en el servidor de origen para poder poner en línea la CA de origen rápidamente en caso de error de migración. Si decide no quitar el servicio de rol Entidad de certificación del servidor de origen antes de instalar el servicio de rol Entidad de certificación en el servidor de destino, es importante que deshabilite los Servicios de certificados de Active Directory (Certsvc) y que cierre el servidor de origen antes de instalar el servicio de rol Entidad de certificación en el servidor de destino. No quite el servicio de rol Entidad de certificación del servidor de origen después de finalizar la migración al servidor de destino. Quitar el servicio de rol Entidad de certificación del servidor de origen después de migrar al servidor de destino interfiere con el funcionamiento de la CA de destino.

  • Para quitar la CA en un equipo que ejecuta Windows Server 2003, utilice el Asistente para agregar o quitar componentes de Windows.

  • Para quitar la CA en un equipo que ejecuta Windows Server 2008, use el Asistente para quitar roles del Administrador del servidor.

Quitar el servidor de origen del dominio

Dado que los nombres de equipo deben ser únicos dentro de un dominio de Active Directory, es necesario quitar el servidor de origen de su dominio y eliminar la cuenta de equipo asociada de Active Directory antes de unir el servidor de destino al dominio.

Si tiene acceso a un equipo miembro de un dominio que ejecuta Windows Server 2008 o Windows Server 2008 R2, complete el siguiente procedimiento para quitar el servidor de origen del dominio mediante Netdom.exe.

Si no tiene acceso a un equipo que ejecute Windows Server 2008 o Windows Server 2008 R2, siga el procedimiento en Unirse a un grupo de trabajo (http://go.microsoft.com/fwlink/?LinkId=207683). Al unirse a un grupo de trabajo, también se quita un equipo miembro de su dominio.

Para quitar el servidor de origen del dominio mediante Netdom.exe

  1. En un equipo miembro del dominio que ejecuta Windows Server 2008 o Windows Server 2008 R2, abra una ventana de símbolo del sistema con derechos elevados.

  2. Escriba netdom remove <nombre de servidor de origen> /d:<nombre de dominio> /ud:<cuenta de usuario de dominio> /pd:* y presione ENTRAR. Para ver opciones adicionales de línea de comandos, vea el tema sobre la sintaxis Netdom remove (puede estar en inglés) (http://go.microsoft.com/fwlink/?LinkID=207681).

  3. Apague el servidor de origen.

Después de quitar el servidor de origen del dominio, elimine la cuenta de equipo del servidor de origen de AD DS siguiendo el procedimiento descrito en Eliminación de cuentas de equipo (http://go.microsoft.com/fwlink/?LinkID=138386).

Unir el servidor de destino al dominio

Antes de unir el servidor de destino al dominio, cambie el nombre del equipo al mismo nombre que tiene el servidor de origen. A continuación, complete el procedimiento para unir el servidor de destino al dominio.

Si el servidor de destino se está ejecutando en la opción de instalación Server Core, debe utilizar el procedimiento de línea de comandos.

Para cambiar el nombre del servidor de destino, debe ser un miembro del grupo Administradores local. Para unir el servidor al dominio, debe ser un miembro de los grupos Admins. del dominio o Administradores de organización, o tener delegados los permisos para unir el servidor de destino a una unidad organizativa del dominio.

noteNota
Si va a migrar una CA independiente que no es un miembro de un dominio, siga sólo los pasos para cambiar el nombre del servidor de destino y no una el servidor de destino al dominio.

Para unir el servidor de destino al dominio mediante Netdom.exe

  1. En el servidor de destino, abra una ventana de símbolo del sistema con privilegios elevados.

  2. Escriba netdom renamecomputer <nombre de equipo> /newname:<nuevo nombre de equipo>

  3. Reinicie el servidor de destino.

  4. Una vez reiniciado el servidor de destino, inicie sesión usando una cuenta que tenga permiso para unir los equipos al dominio.

  5. Abra una ventana de símbolo del sistema con derechos elevados, escriba netdom join <nombre de equipo> /d:<nombre de dominio> /ud:<cuenta de usuario de dominio> /pd:* [/ou:<nombre de unidad organizativa>] y presione ENTRAR. Para ver opciones adicionales de línea de comandos, vea el tema sobre la sintaxis Netdom join (puede estar en inglés) (http://go.microsoft.com/fwlink/?LinkID=207680).

  6. Reinicie el servidor de destino.

Agregar el servicio de rol Entidad de certificación al servidor de destino

En esta sección se describen dos procedimientos diferentes para agregar el servicio de rol Entidad de certificación al servidor de destino, que incluyen instrucciones especiales para usar el clúster de conmutación por error.

Revise las siguientes instrucciones para determinar qué procedimientos debe completar.

Instrucciones especiales para migrar a un clúster de conmutación por error

Si va a migrar a un clúster de conmutación por error, debe haber finalizado los procedimientos para importar el certificado de CA y agregar el servicio de rol Entidad de certificación en cada nodo de clúster. Una vez agregado a cada nodo el servicio de rol Entidad de certificación, debe detener los Servicios de certificados de Active Directory (Certsvc).

Además, es importante asegurarse de que el almacenamiento compartido utilizado por la CA esté en línea conexión y asignado al nodo al que se está agregando el servicio de rol Entidad de certificación.

Los archivos de registro y base de datos de CA se deben encontrar en el almacenamiento compartido. Especifique la ubicación del almacenamiento compartido durante el paso 12 del procedimiento de instalación de la CA.

Para comprobar que el almacenamiento compartido está en línea

  1. Inicie sesión en el servidor de destino.

  2. Inicie el Administrador del servidor.

  3. En el árbol de la consola, haga doble clic en Almacenamiento y, a continuación, haga clic en Administración de discos.

  4. Asegúrese de que el almacenamiento compartido está en línea y asignado al nodo en el que ha iniciado sesión.

Importar el certificado de CA

Si va a agregar el servicio de rol Entidad de certificación mediante el Administrador del servidor, debe completar el siguiente procedimiento para importar el certificado de CA.

Si va a agregar el servicio de rol Entidad de certificación mediante SetupCA.vbs, omita el siguiente procedimiento y continúe en la sección Agregar el servicio de rol Entidad de certificación mediante SetupCA.vbs.

Para importar el certificado de CA

  1. Inicie el complemento Certificados para la cuenta de equipo local.

  2. En el árbol de la consola, haga doble clic en Certificados (equipo local) y haga clic en Personal.

  3. En el menú Acción, haga clic en Todas las tareas y en Importar para abrir el cuadro de diálogo Asistente para la importación de certificados. Haga clic en Siguiente.

  4. Busque el archivo <nombreDeCA.p12> creado por la copia de seguridad de certificado y clave privada de CA en la CA de origen y haga clic en Abrir.

  5. Escriba la contraseña y haga clic en Aceptar.

  6. Haga clic en Colocar todos los certificados en el siguiente almacén.

  7. Compruebe que Personal se muestra en Almacén de certificados. Si no se muestra, haga clic en Examinar, en Personal y en Aceptar.

    noteNota
    Si está utilizando un HSM de red, complete los pasos 8 a 10 completos para reparar la asociación entre el certificado de CA importado y la clave privada almacenada en el HSM.

  8. En el árbol de consola, haga doble clic en Certificados personales y haga clic en el certificado de CA importado.

  9. En el menú Acción, haga clic en Abrir. Haga clic en la pestaña Detalles, copie el número de serie en el Portapapeles y, a continuación, haga clic en Aceptar.

  10. Abra una ventana de símbolo del sistema, escriba certutil –repairstore My "{Serialnumber}" y, a continuación, presione ENTRAR.

Agregar el servicio de rol Entidad de certificación mediante el Administrador del servidor

Si el servidor de destino es un miembro del dominio, debe usar una cuenta que sea un miembro de los grupos Admins. del dominio o Administradores de organización para que el asistente para instalación tenga acceso a los objetos en AD DS.

Para agregar el servicio de rol Entidad de certificación mediante el Administrador del servidor

  1. Inicie sesión en el servidor de destino e inicie el Administrador del servidor.

  2. En el árbol de consola, haga clic en Roles.

  3. En el menú Acción, haga clic en Agregar roles.

  4. Si aparece la página Antes de comenzar, haga clic en Siguiente.

  5. En la página Seleccionar roles de servidor, active la casilla Servicios de certificados de Active Directory y, a continuación, haga clic en Siguiente.

  6. En la página Introducción a Servicios de certificados de Active Directory, haga clic en Siguiente.

  7. En la página Servicios de rol, haga clic en la casilla Entidad de certificación y haga clic en Siguiente.

    noteNota
    Si piensa instalar otros servicios de rol en el servidor de destino, debería completar primero la instalación de la CA y, a continuación, instalar los otros servicios de rol por separado. Los procedimientos de instalación para otros servicios de rol de AD CS no se describen en esta guía.

  8. En la página Especificar tipo de instalación, especifique Empresa o Independiente, de forma que coincida con la CA de origen y haga clic en Siguiente.

  9. En la página Especificar tipo de CA, especifique CA raíz o CA subordinada, de forma que coincida con la CA de origen y haga clic en Siguiente.

  10. En la página Configurar clave privada, seleccione Usar clave privada existente y Seleccionar un certificado y usar su clave privada asociada.

    noteNota
    Si la CA usa HSM, seleccione la clave privada siguiendo procedimientos proporcionados por el proveedor de HSM.

  11. En la lista Certificados, haga clic en el certificado de CA importado y, a continuación, haga clic en Siguiente.

    noteNota
    Si va a usar un CSP personalizado que requiere la protección de clave privada segura, haga clic en Permitir interacción del administrador cuando la CA obtiene acceso a la clave privada. Los CSP incluidos con Windows Server no requieren que esta configuración esté habilitada.

  12. En la página Configurar base de datos de certificados, especifique las ubicaciones para los archivos de registro y base de datos de la CA.

    noteNota
    Si va a migrar la CA a un clúster de conmutación por error, las ubicaciones especificadas para los archivos de registro y base de datos deben estar en el almacenamiento compartido adjunto a todos los nodos. Dado que la ubicación es común a los nodos de clúster, haga clic en para sobrescribir la base de datos de CA existente cuando agregue el servicio de rol Entidad de certificación a otros nodos.

    ImportantImportante
    Si especifica ubicaciones diferentes de las utilizadas en la CA de origen, también debe modificar el archivo de copia de seguridad de configuración del Registro para que se restaure la CA. Si las ubicaciones especificadas durante la instalación son diferentes de las especificadas en la configuración del Registro, la CA no se puede iniciar.

  13. En la página Confirmar selecciones de instalación, revise los mensajes y haga clic en Instalar.

  14. Si va a migrar a un clúster de conmutación por error, detenga los Servicios de certificados de Active Directory (Certsvc), y el servicio HSM si la CA usa HSM. A continuación, repita los procedimientos para importar el certificado de CA y agregar el servicio de rol Entidad de certificación en otros nodos de clúster.

Agregar el servicio de rol Entidad de certificación mediante SetupCA.vbs

Debe completar el siguiente procedimiento si el servidor de destino está ejecutando la opción de instalación Server Core de Windows Server 2008 R2. El procedimiento también se puede usar en las instalaciones completas de Windows Server 2008 R2 si no está utilizando el clúster de conmutación por error ni HSM.

Para agregar el servicio de rol Entidad de certificación en un equipo que ejecuta la opción de instalación Server Core de Windows Server 2008 R2

  1. Inicie sesión en el servidor de destino como miembro del grupo Administradores local o Administradores de organización.

  2. Copie el script Setupca.vbs del Migración de AD CS: Apéndice A en un directorio del servidor de destino.

  3. Copie el directorio que contiene los archivos de copia de seguridad de la base de datos de CA y los archivos de copia de seguridad del certificado de CA en un directorio del servidor de destino.

    ImportantImportante
    Los archivos de copia de seguridad de la base de datos de CA se crean en un directorio denominado Base de datos. Copie el directorio Base de datos completo, en lugar de copiar sólo los archivos de copia de seguridad dentro del directorio.

  4. Escriba certutil.exe -importpfx "<nombreDeCA>.p12" y presione ENTRAR.

  5. Escriba la contraseña para la clave privada y presione ENTRAR.

  6. Escriba certutil.exe -store my | find "Contenedor de claves" y presione ENTRAR.

  7. Copie el valor de Contenedor de claves que sigue al signo igual (=). No incluya los espacios iniciales o finales.

  8. Escriba Cscript Setupca.vbs /IS /RC /SN "<Valor del contenedor de claves>"

    ImportantImportante
    Para instalar una CA independiente, use /IS.

    Para instalar una CA empresarial, use /IE.

    El valor de <Nombre del contenedor de claves> es el valor que copió en el paso anterior.

  9. Escriba net stop certsvc y presione ENTRAR.

WarningAdvertencia
Si planea publicar las extensiones de acceso de información de autoridad y CRL en la CA de destino, instale IIS 7 con la característica de rol Compatibilidad con la metabase de IIS 6 en la CA de destino antes de ejecutar SetupCA.vbs. De lo contrario, SetupCA.vbs no creará ni configurará el directorio virtual Enroll. Como alternativa, puede crear y configurar el directorio virtual Enroll ejecutando el comando certutil –vroot después de instalar IIS 7 con la característica de rol Compatibilidad con la metabase de IIS 6.

Restaurar la base de datos y configuración de CA en el servidor de destino

Los procedimientos de esta sección solo deberían completarse una vez instalado en el servidor de destino el servicio de rol Entidad de certificación.

Si va a migrar a un clúster de conmutación por error, agregue el servicio de rol Entidad de certificación a todos los nodos de clúster antes de restaurar la base de datos de CA. La base de datos CA se debería restaurar en un solo nodo de clúster y debería estar ubicada en el almacenamiento compartido.

La restauración de la copia de seguridad de la CA de origen incluye las siguientes tareas:

Restaurar la base de datos de CA de origen en el servidor de destino

En esta sección se describen dos procedimientos diferentes para restaurar la copia de seguridad de base de datos de la CA de origen en el servidor de destino.

Si va a migrar a una instalación Server Core de Windows Server 2008 R2, debe usar el procedimiento "Para restaurar la copia de seguridad de la base de datos y clave privada de la CA de origen en la CA de destino mediante Certutil.exe". En general, es posible administrar de forma remota una CA que ejecuta una instalación Server Core utilizando el complemento Entidad de certificación y el Administrador del servidor; sin embargo, no es posible restaurar una base de datos de CA utilizando las herramientas de administración remotas.

Si va a migrar a un clúster de conmutación por error, asegúrese de que el almacenamiento compartido está en línea y restaure la base de datos de CA en un solo nodo de clúster.

Para restaurar la base de datos de CA mediante el complemento Entidad de certificación

  1. Inicie sesión en el servidor de destino utilizando una cuenta que sea un administrador de CA.

  2. Inicie el complemento Entidad de certificación.

  3. Haga clic con el botón secundario en el nodo con el nombre de la CA, seleccione Todas las tareas y, a continuación, haga clic en Restaurar la entidad de certificación. Si se pide confirmación, haga clic en Aceptar para detener el servicio de CA.

  4. En la página Bienvenida, haga clic en Siguiente.

  5. En la página Elementos para restaurar, seleccione Base de datos de certificados emitidos y registro de base de datos de certificados.

  6. Haga clic en Examinar y busque el directorio Base de datos que contiene los archivos de base de datos de CA creados durante la copia de seguridad de la base de datos de CA.

    noteNota
    No seleccione el directorio Base de datos. Seleccione su directorio primario.

  7. Escriba la contraseña que usó para hacer una copia de seguridad de la base de datos CA en la CA de origen.

  8. Haga clic en Finalizar y, a continuación, haga clic en para reiniciar el servicio de CA.

Para restaurar la base de datos de CA mediante Certutil.exe

  1. Inicie sesión en el servidor de destino utilizando una cuenta que sea un administrador de CA.

  2. Abra una ventana del símbolo del sistema.

  3. Escriba certutil.exe -f -restoredb <Directorio de copia de seguridad de la base de datos de CA> y presione ENTRAR.

    noteNota
    El valor de <Directorio de copia de seguridad de la base de datos de CA> es el directorio primario del directorio Base de datos. Por ejemplo, si los archivos de copia de seguridad de la base de datos de CA se encuentran en C:\Temp\Base de datos, el valor de <Directorio de copia de seguridad de la base de datos de CA> es C:\Temp.

Restaurar la configuración del Registro de la CA de origen en el servidor de destino

Al importar la copia de seguridad de la configuración del Registro del servidor de origen en el servidor de destino, la configuración de CA de origen se migra al servidor de destino.

Algunos valores del Registro se deben modificar después de restaurar la copia de seguridad del Registro del servidor de origen en el servidor de destino.

Complete el procedimiento para importar la configuración del Registro y, a continuación, revise el procedimiento para modificar la configuración y completar los pasos que son adecuados para su escenario.

Si el nombre del servidor de destino es diferente al del servidor de origen, complete también los pasos 6 a 8 del procedimiento "Para modificar la configuración del Registro de CA" para asegurarse de que la CA del servidor de destino puede publicar los CRL y certificados de CA en las ubicaciones especificadas en las extensiones de certificados de acceso a la información de entidad emisora y punto de distribución de CRL emitidos por la CA de origen. Esto es necesario para asegurarse de que la migración de la CA no interrumpe las operaciones de comprobación de revocación de certificados y validación de certificados.

Para importar la copia de seguridad del Registro de la CA de origen a la CA de destino

  1. Inicie sesión en el servidor de destino como miembro del grupo Administradores local.

  2. Abra una ventana del símbolo del sistema.

  3. Escriba net stop certsvc y presione ENTRAR.

  4. Escriba reg import <Copia de seguridad de configuración del Registro.reg> y presione ENTRAR.

Para modificar la configuración del Registro de la CA

  1. Haga clic en Inicio, escriba regedit.exe en el cuadro Buscar programas y archivos y presione ENTRAR para abrir el Editor del Registro.

  2. En el árbol de consola, busque la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration y haga clic en Configuración.

  3. En el panel de detalles, haga doble clic en DBSessionCount.

  4. Haga clic en Hexadecimal. En el cuadro Información del valor, escriba 64 y, a continuación, haga clic en Aceptar.

  5. Compruebe que las ubicaciones especificadas en la siguiente configuración son correctas para el servidor de destino y modifíquelas como sea necesario para indicar la ubicación de los archivos de registro y de base de datos de CA.

    • DBDirectory

    • DBLogDirectory

    • DBSystemDirectory

    • DBTempDirectory

    ImportantImportante
    Complete los pasos 6 a 8 sólo si el nombre del servidor de destino es diferente al del servidor de origen.

  6. En el árbol de consola del editor del Registro, expanda Configuración y, a continuación, haga clic en el nombre de su CA.

  7. Modifique los valores de la siguiente configuración del Registro reemplazando el nombre del servidor de origen con el nombre del servidor de destino.

    noteNota
    En la lista siguiente, solo se crean valores CACertFileName y ConfigurationDirectory cuando se especifican ciertas opciones de instalación de CA. Si no se muestran estas dos configuraciones, puede continuar con el paso siguiente.

    • CAServerName

    • CACertFileName

    • ConfigurationDirectory

  8. Modifique los valores de la siguiente configuración del Registro reemplazando %1 con el nombre de dominio completo del servidor de destino y %2 con el nombre NETBIOS del servidor de destino.

    • CACertPublicationURLs

    • CRLPublicationURLs

    noteNota
    Los valores %1 y %2 son dos de varias variables de sustitución utilizados por una CA para representar los componentes de URI, como nombres de servidor y nombres de archivo. Una CA traduce estas variables durante la emisión de certificados para asegurarse de que las ubicaciones agregadas a las extensiones de certificado reflejan las ubicaciones correctas de la CRL y el certificado de CA. Específicamente, %1 representa el nombre DNS completo del servidor y %2 representa el nombre NetBIOS del servidor. Si el nombre del servidor de destino es diferente al del servidor de origen y las variables de sustitución no se reemplazan con el nombre del servidor de origen, los CRL se publicarán en una ubicación que haga referencia al nombre del servidor de destino. Esto interrumpirá la validación de certificados y la comprobación de revocación de certificados porque los certificados emitidos por la CA de origen incluyen las ubicaciones que hacen referencia al nombre del servidor de origen.

Comprobar las extensiones de certificado en la CA de destino

Los pasos descritos para importar la configuración del Registro de la CA de origen y editar el Registro en caso de un cambio de nombre de servidor están pensados para conservar las ubicaciones de red que usó la CA de origen para publicar los CRL y los certificados de CA. Si la CA de origen se publicó en ubicaciones de Active Directory predeterminadas, después de finalizar el procedimiento anterior, debería haber una extensión con opciones de publicación habilitada y una dirección URL LDAP que haga referencia al nombre NETBIOS del servidor; por ejemplo, ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Dado que muchos administradores configuran las extensiones personalizadas para su entorno de red, no es posible para proporcionar las instrucciones exactas para configurar el punto de distribución de CRL y las extensiones de acceso a la información de entidad emisora.

Revise cuidadosamente las ubicaciones y opciones de publicación configuradas, y asegúrese de que las extensiones son correctas según los requisitos de la organización.

Para comprobar las extensiones mediante el complemento Entidad de certificación

  1. Revise y modifique las extensiones de punto de distribución CRL y acceso de información de autoridad y las opciones de publicación siguiendo los procedimientos de ejemplo que se describen en Especificación de puntos de distribución CRL (http://go.microsoft.com/fwlink/?LinkID=145848).

  2. Si el nombre del servidor de destino es diferente del nombre del servidor de origen, agregue una dirección URL LDAP especificando una ubicación que haga referencia al nombre NETBIOS del servidor de destino con la variable de sustitución <ServerShortName>; por ejemplo, ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Restaurar la lista de plantillas de certificado

El siguiente procedimiento sólo se requiere para una CA empresarial. Una CA independiente no tiene plantillas de certificado.

Para asignar las plantillas de certificado a la CA de destino

  1. Inicie sesión en la CA de destino con credenciales administrativas.

  2. Abra una ventana del símbolo del sistema.

  3. Escriba certutil -setcatemplates +<ListaPlantillas> y presione ENTRAR.

    noteNota
    Reemplace <ListaPlantillas> con una lista separada por comas de los nombres de plantilla enumerados en el archivo catemplates.txt creado durante el procedimiento "Para grabar una lista de plantillas de CA mediante Certutil.exe". Por ejemplo, certutil -setcatemplates +Administrator,User,DomainController. Revise la lista de plantillas creada durante el procedimiento Hacer una copia de seguridad de una lista de plantillas de CA.

Conceder los permisos en los contenedores de AIA y CDP

Si el nombre del servidor de destino es diferente al del servidor de origen, el servidor de destino debe tener concedidos los permisos en contenedores de CDP y AIA del servidor de origen en AD DS para publicar los CRL y los certificados de CA. Complete el siguiente procedimiento en el caso de un cambio de nombre de servidor.

Para conceder permisos en los contenedores de AIA y CDP

  1. Inicie sesión como miembro del grupo Administradores de organización en un equipo en el que esté instalado el complemento Sitios y servicios de Active Directory.

  2. Haga clic en Inicio, seleccione Ejecutar, escriba dssite.msc y, a continuación, haga clic en Aceptar.

  3. En el árbol de consola, haga clic en el nodo superior.

  4. En el menú Ver, haga clic en Mostrar el nodo de servicios.

  5. En el árbol de consola, expanda Servicios, expanda Servicios de clave pública y, a continuación, haga clic en AIA.

  6. En el panel de detalles, haga clic con el botón secundario en el nombre de la CA de origen y, a continuación, haga clic en Propiedades.

  7. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Agregar.

  8. Haga clic en Tipos de objeto, haga clic en Equipos y, a continuación, haga clic en Aceptar.

  9. Escriba el nombre del servidor de destino y haga clic en Aceptar.

  10. En la columna Permitir, haga clic en Control total y haga clic en Aplicar.

  11. Si el objeto del servidor de origen se muestra en Nombres de grupos o usuarios, haga clic en el nombre del servidor de origen, después en Quitar y, a continuación, en Aceptar.

  12. En el árbol de consola, expanda CDP y, a continuación, haga clic en el nombre del servidor de origen.

  13. En el panel de detalles, haga clic con el botón secundario en el elemento Punto de distribución cRL en la parte superior de la lista y, a continuación, haga clic en Propiedades.

  14. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Agregar.

  15. Haga clic en Tipos de objeto, haga clic en Equipos y, a continuación, haga clic en Aceptar.

  16. Escriba el nombre del servidor de destino y haga clic en Aceptar.

  17. En la columna Permitir, haga clic en Control total y haga clic en Aplicar.

  18. Si el objeto del servidor de origen se muestra en Nombres de grupos o usuarios, haga clic en el nombre del servidor de origen, después en Quitar y, a continuación, en Aceptar.

  19. Repita los pasos del 13 al 18 para cada elemento cRLDistributionPoint.

Procedimientos adicionales para el clúster de conmutación por error

Si va a migrar a un clúster de conmutación por error, complete los siguientes procedimientos una vez migrados la base de datos de CA y la configuración del Registro al servidor de destino.

noteNota
La migración de una CA a un clúster de conmutación por error que se ejecuta en la opción de instalación Server Core de Windows Server 2008 R2 no se describe en esta guía.

Si va a migrar a un clúster de conmutación por error, complete los siguientes procedimientos para configurar el clúster de conmutación por error para AD CS.

Para configurar AD CS como un recurso de clúster

  1. Haga clic en Inicio, seleccione Ejecutar, escriba Cluadmin.msc y, a continuación, haga clic en Aceptar.

  2. En el árbol de consola del complemento Administración del clúster de conmutación por error, haga clic en Servicios y Aplicaciones.

  3. En el menú Acción, haga clic en Configurar un servicio o aplicación. Si aparece la página Antes de comenzar, haga clic en Siguiente.

  4. En la lista de servicios y aplicaciones, seleccione Servicio genérico y haga clic en Siguiente.

  5. En la lista de servicios, seleccione Servicios de certificados de Active Directory y haga clic en Siguiente.

  6. Especifique un nombre de servicio y haga clic en Siguiente.

  7. Seleccione el almacenamiento en disco que todavía está montado en el nodo y haga clic en Siguiente.

  8. Para configurar un subárbol del Registro compartido, haga clic en Agregar, escriba SYSTEM\CurrentControlSet\Services\CertSvc y, a continuación, haga clic en Aceptar. Haga clic dos veces en Siguiente.

  9. Haga clic en Finalizar para completar la configuración de la conmutación por error para AD CS.

  10. En el árbol de consola, haga doble clic en Servicios y Aplicaciones y seleccione el servicio en clúster creado recientemente.

  11. En el panel de detalles, haga clic en Servicio genérico. En el menú Acción, haga clic en Propiedades.

  12. Cambie Nombre de recurso a Entidad de certificación y haga clic en Aceptar.

Si usa un módulo de seguridad de hardware (HSM) para su CA, complete el siguiente procedimiento.

Para crear una dependencia entre una CA y el servicio HSM de red

  1. Abra el complemento Administración del clúster de conmutación por error. En el árbol de consola, haga clic en Servicios y Aplicaciones.

  2. En el panel de detalles, seleccione el nombre del servicio en clúster creado previamente.

  3. En el menú Acción, haga clic en Agregar un recurso y, a continuación, haga clic en Servicio genérico.

  4. En la lista de servicios disponibles mostrada por el Asistente para nuevo recurso, haga clic en el nombre del servicio instalado para conectar al HSM de red. Haga clic en Siguiente y, después, en Finalizar.

  5. Bajo Servicios y Aplicaciones en el árbol de consola, haga clic en el nombre de los servicios en clúster.

  6. En el panel de detalles, seleccione el Servicio genérico creado recientemente. En el menú Acción, haga clic en Propiedades.

  7. En la pestaña General, cambie el nombre del servicio si lo desea y haga clic en Aceptar. Compruebe que el servicio está en línea.

  8. En el panel de detalles, seleccione el servicio denominado previamente Entidad de certificación. En el menú Acción, haga clic en Propiedades.

  9. En la pestaña Dependencias, haga clic en Insertar, seleccione servicio HSM de red en la lista y haga clic en Aceptar.

Conceder permisos en los contenedores de clave pública

Si va a migrar a un clúster de conmutación por error, complete los siguientes procedimientos para conceder todos los permisos de nodos de clúster en los siguientes contenedores de AD DS:

  • El contenedor AIA

  • El contenedor Inscripción

  • El contenedor KRA

Para conceder los permisos en los contenedores de clave pública en AD DS

  1. Inicie sesión en un equipo miembro del dominio como miembro del grupo Admins. del dominio o Administradores de organización.

  2. Haga clic en Inicio, seleccione Ejecutar, escriba dssite.msc y, a continuación, haga clic en Aceptar.

  3. En el árbol de consola, haga clic en el nodo superior.

  4. En el menú Ver, haga clic en Mostrar el nodo de servicios.

  5. En el árbol de consola, expanda Servicios, después Servicios de clave pública y, a continuación, haga clic en AIA.

  6. En el panel de detalles, haga clic con el botón secundario en el nombre de la CA de origen y, a continuación, haga clic en Propiedades.

  7. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Agregar.

  8. Haga clic en Tipos de objeto, haga clic en Equipos y, a continuación, haga clic en Aceptar.

  9. Escriba los nombres de la cuenta de equipo de todos los nodos de clúster y haga clic en Aceptar.

  10. En la columna Permitir, seleccione la casilla Control total junto a cada nodo de clúster y haga clic en Aceptar.

  11. En el árbol de consola, haga clic en Servicios de inscripción.

  12. En el panel de detalles, haga clic con el botón secundario en el nombre de la CA de origen y, a continuación, haga clic en Propiedades.

  13. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Agregar.

  14. Haga clic en Tipos de objeto, haga clic en Equipos y, a continuación, haga clic en Aceptar.

  15. Escriba los nombres de la cuenta de equipo de todos los nodos de clúster y haga clic en Aceptar.

  16. En la columna Permitir, seleccione la casilla Control total junto a cada nodo de clúster y haga clic en Aceptar.

  17. En el árbol de consola, haga clic en KRA.

  18. En el panel de detalles, haga clic con el botón secundario en el nombre de la CA de origen y, a continuación, haga clic en Propiedades.

  19. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Agregar.

  20. Haga clic en Tipos de objeto, haga clic en Equipos y, a continuación, haga clic en Aceptar.

  21. Escriba los nombres de todos los nodos de clúster y haga clic en Aceptar.

  22. En la columna Permitir, seleccione la casilla Control total junto a cada nodo de clúster y haga clic en Aceptar.

Editar el nombre DNS de una CA en clúster en AD DS

Cuando el servicio de la CA se instaló en el primer nodo de clúster, se creó el objeto de servicios de inscripción y el nombre DNS de ese nodo de clúster se agregó al atributo dNSHostName del objeto de servicios de inscripción. Dado que la CA debe funcionar en todos los nodos de clúster, el valor del atributo dNSHostName del objeto de servicios de inscripción debe ser el nombre del servicio especificado en el paso 6 del procedimiento "Para configurar AD CS como un recurso de clúster".

Si va a migrar a una CA en clúster, complete el siguiente procedimiento en el nodo de clúster activo. Es necesario para completar el procedimiento en solo un nodo de clúster.

Para editar el nombre DNS de una CA en clúster en AD DS

  1. Inicie sesión en el nodo de clúster activo como miembro del grupo Administradores de organización.

  2. Haga clic en Inicio, seleccione Ejecutar, escriba adsiedit.msc y, a continuación, haga clic en Aceptar.

  3. En el árbol de consola, haga clic en Editor ADSI.

  4. En el menú Acción, haga clic en Conectar con.

  5. En la lista de contextos de nomenclatura conocidos, haga clic en Configuración y en Aceptar.

  6. En el árbol de consola, expanda Configuración, Servicios y Servicios de clave pública y haga clic en Servicios de inscripción.

  7. En el panel de detalles, haga clic con el botón secundario en el nombre de la CA de clúster y, a continuación, haga clic en Propiedades.

  8. Haga clic en dNSHostName y en Editar.

  9. Escriba el nombre del servicio de la CA tal y como se muestra en Administración de clúster de conmutación por error en el complemento Administrador de clústeres de conmutación por error y haga clic en Aceptar.

  10. Haga clic en Aceptar para guardar los cambios.

Configurar los puntos de distribución de CRL para los clústeres de conmutación por error

En la configuración predeterminada de una CA, el nombre corto del servidor se usa como parte de las ubicaciones de acceso a la información de entidad emisora y punto de distribución de CRL.

Cuando una CA se está ejecutando en un clúster de conmutación por error, el nombre corto del servidor se debe reemplazar con el nombre corto del clúster en las ubicaciones de acceso a la información de entidad emisora y punto de distribución de CRL. Para publicar CRL en AD DS, el contenedor de punto de distribución de CRL se debe agregar manualmente.

ImportantImportante
Los siguientes procedimientos se deben realizar en el nodo de clúster activo.

Para cambiar los puntos de distribución de CRL configurados

  1. Inicie sesión en el nodo de clúster activo como miembro del grupo Administradores local.

  2. Haga clic en Inicio, seleccione Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.

  3. Buscar la clave del Registro \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

  4. Haga clic en el nombre de CA.

  5. En el panel derecho, haga doble clic en CRLPublicationURLs.

  6. En la segunda línea, reemplace %2 con el nombre del servicio especificado en el paso 6 del procedimiento "Para configurar AD CS como un recurso de clúster".

    TipSugerencia
    El nombre del servicio también aparece en el complemento Administración del clúster de conmutación por error en Servicios y Aplicaciones.

  7. Reinicie el servicio de CA.

  8. Abra una ventana de símbolo del sistema, escriba certutil -CRL y presione ENTRAR.

    noteNota
    Si se muestra el mensaje de error "No se encuentra el objeto de directorio", complete el siguiente procedimiento para crear el contenedor de punto de distribución de CRL en AD DS.

Para crear el contenedor de punto de distribución de CRL en AD DS

  1. En una ventana de símbolo del sistema, escriba cd %windir%\System32\CertSrv\CertEnroll y presione ENTRAR. El archivo CRL creado por el comando certutil -CRL se debería encontrar en este directorio.

  2. Para publicar CRL en AD DS, escriba certutil -f -dspublish "CRLFile.crl" y presione ENTRAR.

Pasos siguientes

Después de finalizar los procedimientos para migrar la CA, debería completar los procedimientos descritos en Migración de AD CS: comprobación de la migración.

Vea también

¿Te ha resultado útil?
(Caracteres restantes: 1500)

Adiciones de comunidad

AGREGAR
© 2013 Microsoft
|
Comentario del sitio
© 2013 Microsoft. Reservados todos los derechos.