Guía de migración de Servicios de certificados de Active Directory para Windows Server 2012 R2
Se aplica a: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
Acerca de esta guía
En este documento se ofrece una guía para migrar una entidad de certificación (CA) a un servidor que ejecuta Windows Server 2012 R2 desde un servidor que ejecuta Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2 o Windows Server 2003.
Destinatarios
Administradores o ingenieros de operaciones de TI responsables de planear y realizar la migración de la CA.
Administradores o ingenieros de operaciones de TI que son responsables de la administración cotidiana y la solución de problemas de redes, servidores, equipos cliente, sistemas operativos o aplicaciones.
Administradores de operaciones de TI que son responsables de la administración de redes y servidores.
Arquitectos de TI responsables de la seguridad y la administración de equipos en una organización.
Escenarios de migración compatibles
En esta guía se ofrecen las instrucciones para migrar un servidor existente que ejecuta los Servicios de certificados de Active Directory® (AD CS) a un servidor que ejecuta Windows Server 2008 R2 o Windows Server 2012 R2. En esta guía no se incluyen instrucciones de migración para los casos en los que el servidor de origen ejecuta varios roles. Si el servidor ejecuta varios roles, debería diseñar un procedimiento de migración personalizado específico para el entorno del servidor, de acuerdo con la información que se proporciona en otras guías de migración de roles. Para ver las guías de migración para otros roles de servidor, vea Migrar roles y características en Windows Server (https://go.microsoft.com/fwlink/?LinkID=128554).
Nota
Esta guía se puede usar para migrar una CA de un servidor de origen que también es un controlador de dominio a un servidor de destino con un nombre diferente. Sin embargo, en esta guía no se trata la migración de un controlador de dominio. Para obtener información sobre la migración de los Servicios de dominio de Active Directory (AD DS), vea el tema acerca de la guía de migración del servidor de Servicios de dominio de Active Directory y DNS (https://go.microsoft.com/fwlink/?LinkId=179357).
Sistemas operativos compatibles
En esta guía se admiten las migraciones de los servidores de origen que ejecutan las versiones del sistema operativo y Service Pack enumerados en la siguiente tabla. Todas las migraciones descritas en este documento suponen que el servidor de destino está ejecutando Windows Server 2012 R2 como se especifica en la tabla siguiente.
Procesador del servidor de origen |
Sistema operativo del servidor de origen |
Sistema operativo del servidor de destino |
Procesador del servidor de destino |
---|---|---|---|
Basado en x64 |
Windows Server 2012 R2 |
Windows Server 2012 R2, servidor con una GUI solo (ninguna Minimal Server Interface o Server Core) |
Basado en x64 |
Basado en x64 |
Windows Server 2012 |
Windows Server 2012 R2 o Windows Server 2012, servidor con una GUI solo (ninguna Minimal Server Interface o Server Core) |
Basado en x64 |
Basado en x64 |
Windows Server 2008 R2 |
Windows Server 2012 R2o Windows Server 2012, servidor solo con una GUI (ninguna Minimal Server Interface o Server Core) o Windows Server 2008 R2, tanto la opción de instalación completa como de Server Core |
Basado en x64 |
Basado en x86 o x64 |
Windows Server 2008 |
Windows Server 2012 R2o Windows Server 2012, servidor solo con una GUI (ninguna Minimal Server Interface o Server Core) o Windows Server 2008 R2, tanto la opción de instalación completa como de Server Core |
Basado en x64 |
Basado en x86 o x64 |
Windows Server 2003 R2 |
Windows Server 2012 R2o Windows Server 2012, servidor solo con una GUI (ninguna Minimal Server Interface o Server Core) o Windows Server 2008 R2, tanto la opción de instalación completa como de Server Core |
Basado en x64 |
Basado en x86 o x64 |
Windows Server 2003 con Service Pack 2 |
Windows Server 2012 R2o Windows Server 2012, servidor solo con una GUI (ninguna Minimal Server Interface o Server Core) o Windows Server 2008 R2, tanto la opción de instalación completa como de Server Core |
Basado en x64 |
Nota
No se admiten las actualizaciones locales directamente desde Windows Server 2003 con Service Pack 2 o Windows Server 2003 R2 en Windows Server 2012 R2. Si está ejecutando un equipo basado en x64, puede actualizar el servicio de rol de entidad de certificación desde Windows Server 2003 con Service Pack 2 o Windows Server 2003 R2 a Windows Server 2008 o Windows Server 2008 R2 primero, y luego actualizar a Windows Server 2012 R2 o Windows Server 2012.
Qué no incluye esta guía
Procedimientos para actualizar a Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2
Procedimientos para migrar roles de servidor adicionales
Procedimientos para migrar servicios de rol de AD CS adicionales
En general, la migración no se requiere para los siguientes servicios de rol de AD CS. En su lugar, puede instalar y configurar estos servicios de rol en los equipos que ejecutan Windows Server 2008 R2 o Windows Server 2012 finalizando los procedimientos de instalación del servicio de rol. Para obtener información sobre el impacto de la migración de la CA en otros servicios de rol de AD CS, vea Impacto de la migración en otros equipos de la empresa.
Instalación de la compatibilidad con inscripción en web de entidades de certificación (https://go.microsoft.com/fwlink/?LinkId=179360)
Configuración de los Respondedores en línea en una red (https://go.microsoft.com/fwlink/?LinkId=143098)
Configuración del Servicio de inscripción de dispositivos de red (https://go.microsoft.com/fwlink/?LinkId=179362)
Configuración de los servicios web de inscripción de certificados (https://go.microsoft.com/fwlink/?LinkId=179363)
Información general sobre la migración de CA
La migración de entidades de certificación (CA) implica varios procedimientos, que se tratan en las secciones siguientes.
Advertencia
Durante el proceso de migración, deberá desactivar la entidad de certificación existente (ya sea el equipo o al menos el servicio de entidad de certificación). Se le pide nombrar la CA de destino con el mismo nombre que usó para la CA original. El nombre del equipo, (nombre de host o nombre NetBIOS), no tiene que coincidir con el de la entidad de certificación original. Sin embargo, el nombre de la entidad de certificación de destino debe coincidir con el de la CA de origen. Además, el nombre de la entidad de certificación de destino no debe ser idéntico al nombre del equipo de destino.
Nota
Es posible instalar a una nueva jerarquía de PKI aprovechando a la vez una jerarquía de PKI existente. Sin embargo, esto requiere el diseño de una nueva PKI, que no se trata en esta guía. Para una información general sobre cómo podría funcionar una PKI dual en una organización, consulte la siguiente entrada de blog de Ask DS: Mover su organización de una entidad de certificación de Microsoft única a una PKI recomendada por Microsoft.
Preparación de la migración
Migrar la entidad de certificación
Hacer una copia de seguridad de una base de datos y clave privada de CA
Hacer una copia de seguridad de la configuración del Registro de la entidad de certificación
Quitar el servicio de rol Entidad de certificación del servidor de origen
Agregar el servicio de rol Entidad de certificación al servidor de destino
Restaurar la base de datos y configuración de CA en el servidor de destino
Procedimientos adicionales para el clúster de conmutación por error (opcional)
Comprobar la migración
Tareas posteriores a la migración
Actualizar las plantillas de certificado en los Servicios de dominio de Active Directory (AD DS)
Recuperar los certificados después de un cambio del nombre de host
Impacto de la migración
Impacto de la migración en el servidor de origen
Los procedimientos de migración de la CA descritos en esta guía incluyen cómo retirar el servidor de origen una vez finalizada la migración y comprobada la funcionalidad de la CA en el servidor de destino. Si no se retira el servidor de origen, el servidor de origen y el servidor de destino deben tener nombres diferentes. Si el nombre del servidor de destino es diferente al del servidor de origen, será necesario realizar pasos adicionales para actualizar la configuración de la CA en el servidor de destino.
Impacto de la migración en otros equipos de la empresa
Durante la migración, la CA no puede emitir certificados ni publicar las CRL.
Para asegurarse de que los miembros del dominio pueden comprobar el estado de revocación durante la migración de la CA, es importante publicar una CRL que sea válida después de la duración planeada de la migración.
Dado que el acceso de identificación de autoridad y las extensiones de punto de distribución de CRL de los certificados emitidos previamente pueden hacer referencia al nombre de la CA de origen, es importante continuar publicando los certificados de CA y las CRL en la misma ubicación o proporcionar una solución de redirección. Para obtener un ejemplo de configuración de la redirección de IIS, vea el tema sobre cómo redirigir sitios web en IIS 6.0.
Permisos necesarios para completar la migración
Para instalar una CA de empresarial o una CA independiente en un equipo miembro del dominio, debe ser miembro del grupo Admins. del dominio o Administradores de organización en el dominio. Para instalar una CA independiente en un servidor que no es miembro del dominio, debe ser miembro del grupo Administradores local. Quitar el servicio de rol Entidad de certificación del servidor de origen tiene los mismos requisitos de pertenencia a grupos que la instalación.
Duración estimada
La migración de la CA más simple puede finalizarse normalmente en una o dos horas. La duración real de la migración de la CA depende del número de CA y los tamaños de las bases de datos de CA.