Buenos dias,
Hoy terminamos con la migración de la Entidad Certificadora (CA) desde un Windows Server 2003 a un Windows Server 2008 R2. Ya probaremos sobre un Windows Server 2012/2012 R2 en otra ocasión, mas adelante. Hoy nos toca instalar el Rol de CA e Importar la base de datos, la Clave y empezar a funcionar.
Antes de nada comprobaremos que los servicios de la antigua CA están parados, para que no emita ningún certificado una vez hayamos hecho el backup, y, sobre todo, que está totalmente inaccesible por los Controladores de Domonio (apagada, sacado de dominio, etc.), y que el nuevo servidor se llama exactamente igual que el servidor antiguo ya que el rol de Entidad Certificadora está asociado al nombre del Servidor. Ojo, con este detalle. Claro que se puede importar en otro servidor con otro nombre pero tendremos que añadirle varios nombres a este servidor, uno de ellos, obviamente, sería el de la CA.
Instalación del Rol de Entidad Certificadora de Directorio Activo (CA)
Añadimos el Rol desde el Server Manager:
Elegimos el tipo de servicio,- Certification Authority.
Seleccionaremos si la CA es Enterprise o StandAlone.- En nuestro caso es Enterprise:
Elegimos si es Root CA o Subordinada.- En nuesto entorno de una única CA por lo que será Raiz de todas maneras, aunque en la imagen haya seleccionado Subordinada:
Generación del certificado de la CA.- En este punto seleccionaremos que ya tenemos un certificado con clave privada para importar, el que hicimos backup en el Post anterior:
Seleccionamos el fichero en cuestión y escribiremos la Password que pusimos a la hora de hacer el Backup:
Directorios de instalación.- No os preocupeis de este punto ya que al ejecutar luego el fichero de configuración que hicimos del registro de la CA antigua, si estaba ubicado en otros directorios se modificará automáticamente:
Review y Confirmación.- Y, para finalizar la página de confirmaicón de todo lo que hemos seleccionado:
Llegados a este punto nos puede solicitar el reinicio del servidor pero nosotros, de todas maneras, reiniciaremos los servicios manualmente:
net stop CertSvc && net start CertSvc
Importación.
Desde la consola de CA «Restore CA….» nos lanza el Wizard de restauración, indicándonos que tendrá que parar los servicios:
Nos avisa que durante esta operación se reiniciaran los servicios de la CA:
Aparece el mensaje de bienvenida del asistente para la importación:
Elementos a restaurar.- En este punto seleccionaremos tanto la Clave privada del certificado de la CA como la base de datos y los logs. También seleccionaremos la carpeta donde está ubicado el backup a restaurar:
Introduciremos la password:
y … completo
Nos informará de que la restauración ha terminado. Nos pregunta si reniciamos los servicios de la CA pero, en este caso le diremos que no, antes procederemos a aplicar el fichero de registro importado con la configuración de la CA antigua
Procedemos a añadir la configuración en el fichero .reg:
Nos informa que ya ha sido añadida:
Ahora si reiniciamos los servicios:
net stop CertSvc && net start CertSvc
Comprobaciones.
Nos faltaría realizar las comprobaciones pertinentes, por ejemplo:
- Podemos acceder al certificado de la CA, exportado de un servidor a otro.
- Que todos los certificados emitidos por la CA antigua siguen funcionando correctamente.
- Que podemos emitir nuevos certificados que sirven a su función.
- Que vemos todas las plantillas que se publican en Directorio Activo.
- Podemos ver todos los certificados revocados,
- Podemos visualizar los certificados emitidos por la anterior CA.
- Podemos acceder a la lista de revocación de certificados (CRL).
- Comprobar todas las Extensiones tanto del Punto de distribución de la CRL como del Acceso a la Información de la Autoridad (AIA), etc.,
Y ya estaría terminada esta revisión de la migración de una CA. Que tengais buena semana.
Lecturas Recomendadas:
- Technet.
- Blog de Joel Cuadra (muy bueno el post).