Category Archives: CA

Azure CA Seguridad SSL

Securiza tus dominios de tus Web Apps de Azure con HTTPS.

Published by:

Buenos dias,

Una práctica habitual es la de securizar los dominios de nuestras aplicaciones web a través de un certificado SSL. Hoy vamos a ver cómo habilitar HTTPS para nuestra aplicación web con dominio personalizado.

¿Qué necesitamos?

  • Configurar el dominio personalizado en nuestra Web App de Azure.- Desde el portal de Azure, Web Apps, «Custom domains» o dominios personalizados …. aqui tenemos que tener nuestro dominio, por ejemplo: www.xyz.es …

generateCSRAzure000

  • Tener un Plan de Servicio acorde a las necesidades.- Me refiero que hay que tener o escalar a un plan de servicio que soporte certificados SSL. Podemos ver en este linnk los precios y características de ls Service Plans de Azure: https://azure.microsoft.com/en-us/pricing/details/app-service/plans/

generateCSRAzure000a

  • Obtener un certificado SSL.-Si no lo tenemos, necestiaremos un certificado SSL emitido por una Entidad  Certificadora oficial con los siguientes requerimientos:
    • Que esté firmado por una Entidad Certificadora Oficial.
    • Que contenga la clave privada (importante).
    • Que esté creado en formato de intercambio de claves y sea exportable, vamos .PFX.
    • Que utilice, como mínimo, un cifrado de 2048 bits.
    • Que el nombre del asunto coincida con el del dominio personalizado (no entrea a valorar certificados Wildcard *).
    • Que combine todos los certificados intermedios utilizados. Para que no haya ningún salto de confiabilidad.

Y eso es lo que os voy a explicar …

Step 1. Creación de Petición para la CA (Certificate request = csr).

Vamos a realizar este paso directamente desde nuestro equipo utilizando la herramienta Certreq.exe.

  • Creamos un fichero de texto con todos los datos importantes que va a contener la petición como el nombre del certificado, Unidad Organizativa, cifrado, exportable y, sobre todo el OID para «Server Authentication»

Le damos un mobre a nuestro fichero, por ejemplo, NewRequest.txt

  • Abriremos una consola (CD) y ejecutaremos el siguiente comando:

certreq -new \path\to\myrequest.txt  \path\to\create\myrequest.csr

siguiendo con nuestro ejemplo, ejecutaremos:

generateCSRAzure0002

Vemos que nos ha generado nuestro fichero csr que es el que tenemos que enviar a la Entidad Certificadora para que nos devuelva el certificado a desplegar en nuestro Web Site

generateCSRAzure0003

  • Enviar a la Entidad Certificadora (CA) nuestro fichero newrequest.csr  para que nos devuelva el certificado SSL a desplegar en nuestro Web Site. En unos casos habrá que cargar el archivo en un formulario web y en otros enviarlo por correo y esperar respuesta.

No hay que olvidarse de que si la CA utilizada Entidades Certificadoras Intermediarias, habrá que bajarse toda la cadena de certificados.

Step 2. Instalación de Certificado expedido por la CA.

Si abrimos una consola (mmc), con el Snap-in de Certificados, podemos observar que estamos a la espera de recibir el fichero, normalmente en formato .P7b, de la entidad Certificadora del certificado que hemos generado:

generateCSRAzure0010

Una vez la CA nos ha respondido guardamos dicho fichero en nuestro directorio de trabajo y ejecutaremos el siguiente comando

certreq -Accept C:\temp\Certs\cert.p7b

Este comando almacenará el certificado en el almacén de certificados de Windows. A través de nuestra consola (mmc) podemos observar que la solicitud de certificados ha desaparecido y se ha convertido en un Certificado SSL:

generateCSRAzure0011

Step 3: Exportación del Certificado.

Ahora, lo que necesitamos es exportar este cerfificado con formato .pfx, clave pública y clave privada. Desde la misma consola de Certificados, nos situamos encima del certificado, botón derecho, Todas las tareas, Exportar Certificado. Nos lanzara un asistente de exportación. Siguiente, y seleccionaremos que queremos exportar la clave privada:

Despues, seleccionaremos que se incluya toda la cadena de certificados en el mismo fichero y que se exporten todas las propiedades del mismo:

introduciremos una contraseña….

Y, para finalizar, escribimos el nombre del certificado.

Step 4: Importación en Azure.

Ahora, desde el portal de azure (https://portal.azure.com), accederemos a las Web Apps, al Web Site que queremos importar el certificado

generateCSRAzure0012

Accederemos a Certificados SSL y seleccionaremos «Cargar certificado«. Seleccionaremos nuestro certificado (archivo .pfx) y especificaremos la contraseña del paso 3. Una vez cargado el certificado tenemos que enlazarlo a nuestro Web App

generateCSRAzure0013

Agregaremos el enlace SSL y utilizaremos los menus desplegables para seleccionar el nombre de dominio que va a proteger con SSL, así como el certificado que pretende utilizar. Es posible que también queramos seleccionar el uso de Indicación de nombre de servido (SNI) o SSL basada en IP, dependiendo de nuestras necesidades.

Las principales diferencias entre uno y otro,  SSL basada en IP asocia un certificado a un nombre de dominio mediante la asignación de una dirección IP pública dedicada del servidor al nombre de dominio.En este caso es necesario que cada nombre de dominio (contoso.com, fabrikam.com, etc.) asociado a un servicio tenga una dirección IP dedicada. Este es el método tradicional de asociación de certificados SSL a un servidor web, y SSL basada en SNI es una extensión de SSL y TLS que permite que varios dominios compartan la misma dirección IP con certificados de seguridad independientes para cada dominio. Los exploradores más modernos (entre los que se incluyen Internet Explorer, Chrome, Firefox y Opera) son compatibles con la extensión SNI.

Solo nos quedaría comprobar que nuestra Web App ya tiene acceso por HTTPS.

Links interesantes:

Que tengais una buena semana.

CA Directorio Activo IIS Powershell Servicios Windows Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Depromocionar un Controlador de Dominio que también es una Entidad Certificadora. Un poco mas dificil .. o no!

Published by:

Hoy es dejo esta perlita informativa sobre cómo quitar un controlador de dominio  que, además es la Entidad Certificadora, todo ello sin que haya pérdida del servicio, y vuelva a la normalidad, vamos, sin que pase nada, sobre un Windows Server 2003.

Los siguientes gráficos nos muestran cómo es la situación inicial y cómo queremos que sea la final, el camino ….. se hace al andar.

Antes

Antes

Despues

Despues

Nuestro objetivo es empezar a eliminar servicios publicados en Windows Server 2003 y elevar la funcionalidad de nuestro dominio DMZ.com a Windows Server 2008 R2 o superior.

Lo normal en estos casos es buscar un poco de información en Internet, como apoyo, ver HowTo, documentos, experiencias de otros Administradores. Si haces una búsqueda en Google sobre «Migrar entidad certificadora» aparecen los siguientes items:

Migrate00001

Es un honor para mi compartir links de resultados con dos gurus de la tecnologia, maese Josep Ros (@josepros),  y el Gran Bujarra 3.0, (Hector Herrero (@nheobug). Apuntaros sus twitters y sus blogs ya que son dos referentes del panorama IT en castellano.

Los pasos a seguir serán los siguientes:

  • Copia de seguridad de nuestra CA.
  • Eliminar el Rol de CA.
  • Realizar un DCPromo.
  • Volver a instalar el rol de CA.
  • Verificar el entramado

0 Realizar Copia de Seguridad de la Entidad Certificadora.

Este es el punto inicial para la gran mayoria de actuaciones, tener o realizar una copia de seguridad. Este punto ya lo hemos visto en un post del mes pasado «Migración de una Entidad Certificadora de Servidor. Parte I – Exportación«.

Migrate00007

Poco o nada puedo aportar. Hago un breve resumen:

  • Realizar Backup de la CA.
  • Exportar la configduración del registro de nuestra CA.

1 Eliminar Rol de Entidad Certificadora (CA).

Como es un Windows Server 2003 desde Panel de Control, agregar o quitar programas, procedemos a eliminar el rol de Certificate services:

DesinstallCAwithDCPromo00001

También se reconfigurarán los servicios de IIS

DesinstallCAwithDCPromo00002

Y finalizará exitosamente:

DesinstallCAwithDCPromo00003

Como veis, muy sencillo este paso.

2 Depromocionar el rol de Controlador de Dominio.

Lanzamos a nuestro gran amigo «DCPromo», ya desaparecido en Windows Server 2012 y 2012 R2, apareciéndonos el asistente de «depromoción» de Controlador de Dominio de Directorio Activo (AD):

DesinstallCAwithDCPromo00004

En nuestro caso no es el último controlador del Dominio, asi que dejaremos en blanco esta selección:

DesinstallCAwithDCPromo00006

Pondremos password a la cuenta de Administrador local del servidor, ahora que va a dejar de ser Controlador de Dominio:

DesinstallCAwithDCPromo00007

Un pequeño detalle, puede aparecer que este Controlador de Dominio tambén sea Catálogo Global (GC), por lo que tendremos que quitar éste rol antes de proceder a realizar el Depromocionado. Continuamos y, nos informa que va a proceder a eliminar el rol de Controlador de Dominio del dominio DMZ.com:

DesinstallCAwithDCPromo00008

Procederá a parar servicios como NETLOGON:

DesinstallCAwithDCPromo00009

El servicio RPCLOCATOR:

DesinstallCAwithDCPromo00012

Y eliminando LDAP así como RPC:

DesinstallCAwithDCPromo00013

Nos informará, nuevamente, de que ha sido eliminado el rol de DC:

DesinstallCAwithDCPromo00014

No hay que olvidarse que este proceso, obligatoriamente, requiere un reinicio:

DesinstallCAwithDCPromo00015

O sea, este servidor ya no es ni Controlador de Dominio del dominio DMZ.com, ni Entidad Certificadora de dicho dominio, ya no es nadie, jejejeje.

3 Instalación del Rol Entidad Certificadora.

Llegamos al ecuador de nuestro post del dia. Ahora llega lo mas dificil. Ya hemos visto como montar un Entidad Certificadora en un post del mes pasado «Migración de una Entidad Certificadora de Servidor. Parte II – Importación«, concretamente en el primer punto de post veiamos como montar una CA sobre Windows Server 2008 R2, pero, en este caso es una CA en Windows Server 2003. Es muy parecido, por no decir que igual.

Desde Panel de Control, Agregar o quitar programas:

DesinstallCAwithDCPromo00017

Seleccionaremos el rol de Certificate Services. Posteriormente nos aparecerá el tipo de Entidad Certificadora queremos instalar, en nuestro caso Enterprise root CA:

DesinstallCAwithDCPromo00019b

Continú la instalación y nos pregunta sobre la Clave Pública y la Clave Privada. Como hemos hecho una copia de seguridad en el paso Cero, lo podemos restaurar ahora, o cuando se termine de instalar el rol. Si restauraremos ahora la clave pública:

DesinstallCAwithDCPromo00020

Nos informa de si queremos sobreescribir, ya que los ficheros existen del paso 1:

DesinstallCAwithDCPromo00021

También podremos seleccionaremos nuestro CSP y el algoritmo Hash:

DesinstallCAwithDCPromo00022

Nos informará sobre la identificación de nuestra Entidad Certificadora, Common name, Distinguished name y la validez de la misma:

DesinstallCAwithDCPromo00023

Seleccionaremos las rutas de la base de datos y los logs. En la captura vienen las rutas por defecto:

DesinstallCAwithDCPromo00024

Nos avisará que los servicios de IIS se pararán durante la instalación…

DesinstallCAwithDCPromo00025

Reinstalación de los servicios de IIS:

DesinstallCAwithDCPromo00026

Y ya está instalado el rol.

Como he comentado antes, podíamos realizar una instalación con todos los parámetros por defecto y posteriormente restaurar el backup y la clave del registro con toda la configuración que funcionará perfectamente, esta opción también la hemos comentado el mes pasado en el siguiente post «Migración de una Entidad Certificadora de Servidor. Parte II – Importación«. Aunque … Lo dejo a vuestra elección.

4 Chequeo de funcionamiento.

Nos faltaría realizar las comprobaciones pertinentes, os dejo los chequeos principales, que ya hemos visto en el Chequeo de la Entidad Certificadora:

  • Podemos acceder al certificado de la CA y comprobar todas sus características.
  • Que todos los certificados emitidos por la CA siguen funcionando correctamente.
  • Que podemos emitir nuevos certificados que sirven a su función.
  • Que vemos todas las plantillas que se publican en Directorio Activo.
  • Podemos ver todos los certificados revocados,
  • Podemos visualizar los certificados emitidos por la anterior CA.
  • Podemos acceder a la lista de revocación de certificados (CRL).
  • Comprobar todas las Extensiones tanto del Punto de distribución de la CRL como del Acceso a la Información de la Autoridad (AIA), etc.,

 

Y también nos faltaría realizar las comprobaciones pertinentes en los Controladores de Dominio:

  • Verificar el estado lanzando la herramienta DCDIAG.
  • Echar un vistazo a los visores de eventos tratando de encontrar algún error.
  • Verificar la replicación entre los Controladores de Dominio existentes, por ejemplo con repadmin o con «AD Replication Status Tool«
  • etc.

Pues ya estaría.

Si quería dejaros un pequeño listado de errores que me han aparecido en este proceso:

  • El Controlador de Dominio Windows Server 2003 también es Catálogo Global.- Tenemos que quitar el rol de Catálogo Global antes de realizar el DCPromo.

DesinstallCAwithDCPromo00005

  • En el proceso de Depromocionar nuestro Controlador de Dominio nos ha dado un error de  «time out» a la hora de reiniciar el servicio NETLOGON.- Esto es algo, relativamente normal. Así que vuelves a lanzar el proceso de DCPromo y solucionado.

DesinstallCAwithDCPromo00010

  • Error a la hora de importar Backup de la Entidad Certificadora.- Suele pasar al tratar de restaurar un backup de la base de datos de la CA sobre un directorio que ya contiene datos. Tiene que estar en blanco.

DesinstallCAwithDCPromo00033

  • Error de Caché en el Pool de Aplicación que utiliza la Entidad Certificadora.- Esto pasa porque el usuario con el que se ejecuta el Pool de Aplicación no tiene permiso en una serie de directorios de C:. Se dan los permisos y funcionando.

DesinstallCAwithDCPromo00035

Todos ellos fáciles de solucionar. Para que luego digan que todo sale a la primera, o a la segunda. Normalmente hay que ir solucionando algún que otro error.

Espero que os haya gustado y, sobre todo, que os sea util. Buena semana a todos.

Referencias:

Blog de Josep Ros.

Blog del Bujarra 3.0.

Backup CA Windows 2008 R2 Windows 2012 Windows 2012 R2

Restauración de una Entidad Certificadora desde un Backup con CertUtil.

Published by:

Buenos dias,

Despues de unas mini-vacaciones en Calp, siguiendo la recomendación de mi compañero Jota, una semana con los peques se hace corta y muy dura, jejeje, pero sirve para desconectar. Volvemos a la carga con fuerzas renovadas y muchas ganas de seguir compartiendo las incidencias diarias.

Durante este periodo de tiempo nos ocurrió una incidencia con una Entidad Certificadora (CA). Teníamos que volver a un estado anterior de la misma y de esta manera recuperar mas de 50 certificados revocados por error. No se si sabreis que cuando revocas certificados en una CA, puedes especificar un motivo y una fecha. Tienes las siguientes opciones:

RestoreCA00000

La única opción que te permite una marcha a trás de una revocación de certificado es «Certificate Hold»:

RestoreCA00000c

Y el proceso de recuperación de un certificado revocado por error, a través de la consola es el siguiente, nos vamos a la carpeta de Certificados Revocados, encontramos aquel certificado que por error revocamos, botón derecho del ratón, todas las tareas y la última opción es la nuestra:

RestoreCA00000b

Cada día me queda mas claro que tener un plan de contingencia y recuperación frente a fallos de todos y cada uno de los servicios que tenemos es esencial y primordial. Por tal motivo os dejo este post.

Copia de Seguridad de la CA.

Para empezar os recuerdo que tenemos que tener definido una backup de la CA para poder hacer una restauración, ya sea ejecutando un Script de PowerShell, batch o desde la Consola de administración. En mi caso tengo definido el siguiente backup el cual ya hablamos en un post de hace tiempo (Script para realizar Backup de una CA):

Echo Backup Certification Authority, Certificates, Templates and CSP
CD/
cd Backup
Echo Y| del C:\Backup\BackupCA\DataBase
Echo Y| rd /S C:\Backup\BackupCA\DataBase\DataBase
Echo Y| del C:\Backup\BackupCA

Echo Backing up the Certification Authority and Certificates
certutil -backup -p C:\Backup\BaciupCA\DataBase

Echo Backing up the registry keys
reg export HKLM\System\CurrentControlSet\Services\CertSvc\Configuration C:\Backup\BACKUPCA\regkey.reg
Certutil –getreg CA\CSP > C:\Backup\BackupCA\CSP.txt

Echo Documenting all certificate templates published at the CA
Certutil –catemplates > C:\Backup\BackupCA\CATemplates.txt

move \\\backup\BackupCA \\<Servidor>\backup\»\%date:/=_%»
xcopy C:\Backup\BackupCA\*.* \\<Servidor>\backup\BackupCA\ /S /y

Este script realiza una copia de seguridad de toda la CA, de los Certificados, de la configuración de la misma, de las plantillas, de los Provedor de Servicio de Cifrado (CSP), etc. En las dos últimas lineas lo que hacemos es copiarnos dicho backup en una carpeta que tenga por nombre la fecha del día en que se ejecuta este script y se mueva a una ubicación externa diariamente el último backup.

Os dejo un par de capturas, la primera con el contenido de dicho Backup:

RestoreCA00002

Y la segunda con la ubicación en red con todos los backups de todos los dias por si tenemos que realizar una restauración selectiva:

RestoreCA00001

Restauración de la CA.

La restauración también podemos hacerla desde la Consola de Administración, como vimos en un Post anterior sobre la importación de una CA (aqui),  o con la herramienta CertUtil.exe, que es nuestro caso.

No se si sabreis pero con CertUtil podemos hacer backup/restore de los siguientes partes de nuestra CA, de toda la CA, de la base de datos, de la Clave Privada:

RestoreCA00010

Pues nada, nos ponemos al tajo. Ejecutamos el siguiente comando:

CertUtil.exe -restore -f -p Backup>

Si os fijais, en la primera ejecución del comando me da un error de que no puede restaurar el backup porque otro proceso está siendo utilizado por otro proceso, vamos que tengo que para la Entidad Certificadora para realizar una restauración, obviamente.

En la segunda ejecución aparece el error de que el directorio no está vacio!!!. O sea, que tenemos que poner el parámetro -f para que sobreescriba los ficheros actuales. Y, por fin, a la tercera da la vencida:

RestoreCA00011

Pues ya tendríamos restaurada nuestra Entidad Certificadora. Sencillo, ¿verdad? Pues aun nos queda un pequeño detalle.

CRL’s y Deltas.

Como sabreis cuando configuramos una CA, definimos uno o varios métodos de publicación de los certificados que han sido revocados (CRLs, OCSP, etc). Lo habitual es utilizar las bondades que nos ofrece nuestra CA por defecto y utilizar la publicación de una «Lista de Revocación de Certificados» o CRL.

RestoreCA00015

Nuevamente, por defecto viene configurada con la publicación de una CRL cada semana y de las Delta CRL cada día. La CRL contiene todos los certificados revocados y los Delta CRL solo aquellos certificados revocados desde la última creación de la CRL completa, vamos para solucionar el problema del excesivo tamaño del fichero CRL y el ancho de banda necesario para su descarga.

RestoreCA00016

En el proceso de chequeo del estatus de revocación de un certificado, el sistema tratará de recuperar la CRL y la Delta CRL de cada ruta definida en los Puntos de Distribución de la CRL (CDP). Normalmente definiremos, al menos, una ruta LDAP y otra HTTP, por lo tanto tratará de recuperar la CRL y Delta CRL de ambas rutas y, en nuestro caso, despues de una restauración, éstas son distintas, con el consiguiente error de «Certificado Revocado»

Como podeis ver en la captura de la configuración de mis puntos de distribución de la CRL tengo cinco distintos puntos para que se pueda acceder, al menos, a uno de ellos.

¿Solución? Pues tenemos dos opciones:

  1. Copiamos manualmente desde una ubicación a la otra la CRL.
  2. Creamos un archivo por lotes para copiar automáticamente la CRL

Xcopy c:\windows\system32\certsrv\CertEnroll\*.crl  c:\Inetpub\…

Espero que os sea muy util.

Buena semana a todos.

CA Servicios Windows Windows 2008 R2

Migración de una Entidad Certificadora de Servidor. Parte I – Exportación (actualización del post).

Published by:

Este par de Post son una revisión de los que ya puse hace un par de años pero revisados y actualizados. También me he animado a esta actualización la petición a través de Twitter de @komzVT el pasado 26 de mayo.

Muy pocas veces nos encontramos en la tesitura de tener que migrar una Entidad Certificadora (CA) de un servidor, ya sea porque es antiguo, con pocos recursos, con demasiados roles o con un Sistema Operativo obsoleto, a un nuevo servidor, mas moderno, con un sistema operativo actualizado.

El caso que vamos a ver hoy es la migración de una Entidad Certificadora (CA) de un servidor con sistema operativo Windows Server 2003 a otro, mas moderno, con un sistema operativo Windows Server 2008 R2.

Esta migración la vamos a dividir en dos partes, Exportación en origen (Parte I), e Importación en destino (Parte II).

Exportación de la CA.

Volvemos a utlizar como base de nuestra migración el artículo de la base de datos de conocimiento de Microsoft KB298138 . Seguiremos sus pautas al pie de la letra.

¿Qué necesitamos?:

  • Realizar un Backup de la CA.
  • Exportar la configuración del registro de nuestra CA.

Tenemos dos opciones o por consola gráfica o por línea de comando utilizando Certutil.exe

Consola Gráfica

Desde la consola de gestión de la CA, lanzamos una copia de seguridad de la misma:

Migrate00002

Una vez nos aparece el Wizard, seleccionamos siguiente, y nos aparece una serie de opciones, donde seleccionaremos la exportación de la Clave Privada, la base de datos y los logs, así como pondremos la ruta donde vamos a realizar nuestra copia de seguridad:

Migrate00004

Ponemos una password para securizar la copia de seguridad:

Migrate00005

Hereramienta Certutil

Ejecutamos el siguiente comando para realizar el backup de la base de datos:

Certutil.exe -backupdb <ruta>

y el siguiente comando para realizar el backup de la clave privada de la CA, con su correspondiente password:

Certutil.exe -backupkey <ruta>

Migrate00010

Para terminar realizamos una copia de seguridad de la configuración del registro de la CA que se encuentra ubicada en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration. Al igual que en el proceso anterior, podemos realizarlo desde una línea de comando o a través de la herramienta Regedit/Regedt32.

Regedit:

Donde, despues de seleccionar la ruta que queremos exportar, pulsaremos, Fichero, Exportar, y, por ejemplo, seleccionaremos la misma carpeta que hemos creado antes para hacer el backup, guardando el fichero .reg

Migrate00012

Desde línea de Comando:

Ejecutaremos el siguiente comando para exportar la entrada de registro a nuestra ruta:

Migrate00011

Por cierto, se me ha olvidado comentar que todo esto también se puede hacer a través de Powershell, pero eso lo dejo para otro dia.

Y ya está esta primera fase.

Buen fin de semana y el lunes continuaremos con mas.

CA Windows 2008

Migración de una Entidad Certificadora de Servidor. Parte II – Importacion.

Published by:

Hoy continuamos con la importación de los datos de la Entidad Certificadora (CA) de Windows Server 2003 en un Windows Server 2008 R2.

Procederemos de la siguiente manera:

  • Comprobaremos que los servicios de la CA Legacy están parados.- Sobre todo para que no emita ningún certificado.
  • Instalaremos los servicios de Entidad Certificadora (CA) en el Servidor que va a ser destino.
  • Añadimos el Rol desde el Server Manager:
  • Elegimos el tipo de servicio, Certification Authority.
  • Seleccionaremos si la CA es Enterprise o StandAlone. En nuestro caso es Enterprise:
  • Elegimos si es Root CA o Subordinada.- En nuesto entorno de una única CA por lo que será Raiz de todas maneras:
  • Importaremos el certificado de la CA.- En este punto seleccionaremos que ya tenemos un certificado con clave privada para importar, el que hicimos backup en el Post anterior:
Seleccionamos el fichero en cuestión:
 Nos aparecere el Certificado a Importar:
  • Directorios de instalación.- Pues nada, las rutas por defecto:
  • Review.- Y, para finalizar la página de confirmaicón de todo lo que hemos seleccionado:
  • Reinicio de los Servicios.- Si no nos pregunta que reinicimos los servicios, lo haremos nosotros.
  • Importaremos el Backup realizado.-Desde la consola de CA «Restore CA….» nos lanza el Wizard de restauración, indicándonos que tendrá que parar los servicios:
Asistente de rigor:
 
Indicamos qué es lo que queremos restaurar, la clave privada y/o la base de datos así como la ruta donde extraer la información:

Password asignada en la Parte I:.

 Y fin:
 

Nos informa si queremos iniciar servicios o incluir otro tipo de backups que tengamos:

  • Aplicaremos las claves de registros.- Aplicaremos las claves de registro, en el caso de ser necesarias, ya que es donde se guarda la configuración de la CA. Ejecutamos el fichero de registro que copiamos en el backup del Paso I. Nos informa de lo peligroso que estamos haciendo y le decimos que si:

Nos vuelve a informar que se ha añadido la información al registro:

** OJO => En nuestro caso no ha sido necesario aplicarlas, primero por ser diferentes versiones de sistema operativo y, segundo, porque la mayoría de los parámetros de configuración eran los mismos.

Nos faltaría realizar las comprobaciones pertinentes de que, por un lado, todos los certificados emitidos por la CA antigua siguen funcionando correctamente, por otro, que podemos emitir nuevos certificados que sirven a su función, Que vemos todas las plantillas que se publican en Directorio Activo, todos los certificados revocados, certificados emitidos, clave pública de la CA, listas de revocación, puntos de acceso, etc., :

Podríamos haber instalado el rol de Portal Web de Certificados, etc., pero lo he dejado, para otro dia.

Hasta la próxima.

Bibliografía del TechNet:
TechNet 1
TechNet 2
TechNet 3
TechNet 4

CA Windows 2008

Migración de una Entidad Certificadora de Servidor. Parte I – Exportación.

Published by:

Muy pocas veces nos encontramos en la tesitura de tener que migrar una Entidad Certificadora (CA) de un servidor, ya sea porque es antiguo, con pocos recursos, con demasiados roles o con un Sistema Operativo obsoleto, a un nuevo servidor, moderno.

Nuestro caso es el de migrar una CA de un servidor Windows Server 2003 a un Windows Server 2008 R2. Lo dividimos en dos partes, primero exportamos y luego importamos.

Exportar: Partimos del KB298138 de Microsoft como base.

Necesitamos:

  • Realizar un Backup de la CA.
  • Exportar la configuración del registro.

Desde la consola de gestión de la CA, lanzamos una copia de seguridad de la misma:

Una vez nos aparece el Wizard, seleccionamos siguiente, y nos aparece la siguiente pantalla, donde seleccionaremos la exportación de la Clave Privada, la base de datos y los logs:

Ponemos una password para securizar la copia de seguridad:

Para terminar realizamos una copia de seguridad de la configuración del registro de la CA. Desde una línea de comando tecleamos «Regedit» y buscamos la siguiente entrada:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvcConfiguration

Donde pulsaremos exportar, por ejemplo, a la misma carpeta que hemos creado antes.

Ya tenemos toda la información necesaria para exportar la CA. La copiamos al nuevo servidor y esperamos al siguiente Post.
Un saludo,
Administración Backup CA Windows 2008

Script para realizar Backup de una Entidad Certificadora.

Published by:

Buenos dias,
Últimamente estoy en un proyecto para montar una infraestructura PKI, Infraestructura de Clave Pública, en una plataforma con Microsoft Windows 2008 R2 y he creado este script para que se realice backup de la base de datos, certificados, templates y CSP. Creo que es bastante completo:

Echo Backup Certification Authority, Certificates, Templates and CSP
CD/
cd backup
Echo Y| del C:BackupBACKUPCADATABASE
Echo Y|rd /S C:BackupBACKUPCADATABASEDataBase
Echo Y| del C:BackupBACKUPCA
Echo Backing up the Certification Authority and Certificates
certutil -backup -p C:BackupBACKUPCADATABASE
Echo Backing up the registry keys
reg export HKLMSystemCurrentControlSetServicesCertSvcConfiguration C:BackupBACKUPCAregkey.reg
Certutil –getreg CACSP > C:BackupBACKUPCACSP.txt
Echo Documenting all certificate templates published at the CA
Certutil –catemplates > C:BackupBACKUPCACATemplates.txt
move \
nombre del servidorbackupNEWCABACKUPCA \nombre del servidorbackupNEWCA»%date:/=_%»
xcopy C:BackupBACKUPCA*.* \
nombre del servidorbackupNEWCABACKUPCA /S /y

Las últimas líneas del script son para copiarnos dicho backup en una carpeta que tenga por nombre la fecha del día en que se ejecuta este script y se mueva diariamente el último backup

Espero que os sirva.
Nos vemos.