Migración de una Entidad Certificadora de Servidor. Parte II – Importacion.

Hoy continuamos con la importación de los datos de la Entidad Certificadora (CA) de Windows Server 2003 en un Windows Server 2008 R2.

Procederemos de la siguiente manera:

  • Comprobaremos que los servicios de la CA Legacy están parados.- Sobre todo para que no emita ningún certificado.
  • Instalaremos los servicios de Entidad Certificadora (CA) en el Servidor que va a ser destino.
  • Añadimos el Rol desde el Server Manager:
  • Elegimos el tipo de servicio, Certification Authority.
  • Seleccionaremos si la CA es Enterprise o StandAlone. En nuestro caso es Enterprise:
  • Elegimos si es Root CA o Subordinada.- En nuesto entorno de una única CA por lo que será Raiz de todas maneras:
  • Importaremos el certificado de la CA.- En este punto seleccionaremos que ya tenemos un certificado con clave privada para importar, el que hicimos backup en el Post anterior:
Seleccionamos el fichero en cuestión:
 Nos aparecere el Certificado a Importar:
  • Directorios de instalación.- Pues nada, las rutas por defecto:
  • Review.- Y, para finalizar la página de confirmaicón de todo lo que hemos seleccionado:
  • Reinicio de los Servicios.- Si no nos pregunta que reinicimos los servicios, lo haremos nosotros.
  • Importaremos el Backup realizado.-Desde la consola de CA “Restore CA….” nos lanza el Wizard de restauración, indicándonos que tendrá que parar los servicios:
Asistente de rigor:
 
Indicamos qué es lo que queremos restaurar, la clave privada y/o la base de datos así como la ruta donde extraer la información:

Password asignada en la Parte I:.

 Y fin:
 

Nos informa si queremos iniciar servicios o incluir otro tipo de backups que tengamos:

  • Aplicaremos las claves de registros.- Aplicaremos las claves de registro, en el caso de ser necesarias, ya que es donde se guarda la configuración de la CA. Ejecutamos el fichero de registro que copiamos en el backup del Paso I. Nos informa de lo peligroso que estamos haciendo y le decimos que si:

Nos vuelve a informar que se ha añadido la información al registro:

** OJO => En nuestro caso no ha sido necesario aplicarlas, primero por ser diferentes versiones de sistema operativo y, segundo, porque la mayoría de los parámetros de configuración eran los mismos.

Nos faltaría realizar las comprobaciones pertinentes de que, por un lado, todos los certificados emitidos por la CA antigua siguen funcionando correctamente, por otro, que podemos emitir nuevos certificados que sirven a su función, Que vemos todas las plantillas que se publican en Directorio Activo, todos los certificados revocados, certificados emitidos, clave pública de la CA, listas de revocación, puntos de acceso, etc., :

Podríamos haber instalado el rol de Portal Web de Certificados, etc., pero lo he dejado, para otro dia.

Hasta la próxima.

Bibliografía del TechNet:
TechNet 1
TechNet 2
TechNet 3
TechNet 4

Migración de una Entidad Certificadora de Servidor. Parte I – Exportación.

Muy pocas veces nos encontramos en la tesitura de tener que migrar una Entidad Certificadora (CA) de un servidor, ya sea porque es antiguo, con pocos recursos, con demasiados roles o con un Sistema Operativo obsoleto, a un nuevo servidor, moderno.

Nuestro caso es el de migrar una CA de un servidor Windows Server 2003 a un Windows Server 2008 R2. Lo dividimos en dos partes, primero exportamos y luego importamos.

Exportar: Partimos del KB298138 de Microsoft como base.

Necesitamos:

  • Realizar un Backup de la CA.
  • Exportar la configuración del registro.

Desde la consola de gestión de la CA, lanzamos una copia de seguridad de la misma:

Una vez nos aparece el Wizard, seleccionamos siguiente, y nos aparece la siguiente pantalla, donde seleccionaremos la exportación de la Clave Privada, la base de datos y los logs:

Ponemos una password para securizar la copia de seguridad:

Para terminar realizamos una copia de seguridad de la configuración del registro de la CA. Desde una línea de comando tecleamos “Regedit” y buscamos la siguiente entrada:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvcConfiguration

Donde pulsaremos exportar, por ejemplo, a la misma carpeta que hemos creado antes.

Ya tenemos toda la información necesaria para exportar la CA. La copiamos al nuevo servidor y esperamos al siguiente Post.
Un saludo,

>Script para realizar Backup de una Entidad Certificadora.

>Buenos dias,
Últimamente estoy en un proyecto para montar una infraestructura PKI, Infraestructura de Clave Pública, en una plataforma con Microsoft Windows 2008 R2 y he creado este script para que se realice backup de la base de datos, certificados, templates y CSP. Creo que es bastante completo:

Echo Backup Certification Authority, Certificates, Templates and CSP
CD/
cd backup
Echo Y| del C:BackupBACKUPCADATABASE
Echo Y|rd /S C:BackupBACKUPCADATABASEDataBase
Echo Y| del C:BackupBACKUPCA
Echo Backing up the Certification Authority and Certificates
certutil -backup -p C:BackupBACKUPCADATABASE
Echo Backing up the registry keys
reg export HKLMSystemCurrentControlSetServicesCertSvcConfiguration C:BackupBACKUPCAregkey.reg
Certutil –getreg CACSP > C:BackupBACKUPCACSP.txt
Echo Documenting all certificate templates published at the CA
Certutil –catemplates > C:BackupBACKUPCACATemplates.txt
move \
nombre del servidorbackupNEWCABACKUPCA \nombre del servidorbackupNEWCA”%date:/=_%”
xcopy C:BackupBACKUPCA*.* \
nombre del servidorbackupNEWCABACKUPCA /S /y

Las últimas líneas del script son para copiarnos dicho backup en una carpeta que tenga por nombre la fecha del día en que se ejecuta este script y se mueva diariamente el último backup

Espero que os sirva.
Nos vemos.