Cómo mover una entidad emisora de certificados a otro servidor

Seleccione idioma Seleccione idioma
Id. de artículo: 298138 - Ver los productos a los que se aplica este artículo
Aviso
En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración de Windows 2000. Para obtener más información, consulte el Directiva de ciclo de vida de soporte técnico de Microsoft.
Aviso
En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración de Windows 2000. Para obtener más información, consulte el Directiva de ciclo de vida de soporte técnico de Microsoft.
Aviso
En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración de Windows 2000. Para obtener más información, consulte el Directiva de ciclo de vida de soporte técnico de Microsoft.
Aviso
En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración de Windows 2000. Para obtener más información, consulte el Directiva de ciclo de vida de soporte técnico de Microsoft.
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo describe cómo mover una entidad emisora de certificados (CA) a un servidor diferente.

Entidades de certificación (CA) son el componente central de la infraestructura de claves públicas (PKI) de una organización. Las entidades emisoras de certificados están configurados para existir durante muchos años o décadas, durante los cuales probablemente se actualiza el hardware que aloja la entidad emisora de certificados.

Notas
  • Para mover una entidad emisora de certificados desde un servidor que ejecuta Windows 2000 Server a un servidor que ejecuta Windows Server 2003, primero debe actualizar el servidor de entidad emisora de certificados que se está ejecutando Windows 2000 Server a Windows Server 2003. A continuación, puede seguir los pasos descritos en este artículo.
  • Asegúrese de que % Systemroot % del servidor de destino coincide con % Systemroot % del servidor desde el que se toma la copia de seguridad de estado del sistema.

    Debe cambiar la ruta de acceso de los archivos de la entidad emisora de certificados al instalar los componentes de servidor de entidad emisora de certificados para que coincidan con la ubicación de la copia de seguridad. Por ejemplo, si hace copia de seguridad de la carpeta D:\Winnt\System32\Certlog, debe restaurar la copia de seguridad en la carpeta D:\Winnt\System32\Certlog. No se puede restaurar la copia de seguridad en la carpeta C:\Winnt\System32\Certlog. Después de restaurar la copia de seguridad, puede mover los archivos de base de datos de entidad emisora de certificados en la ubicación predeterminada.

    Si intenta restaurar la copia de seguridad y % Systemroot % de la copia de seguridad y el servidor de destino no coinciden, puede recibir el mensaje de error siguiente:
    No se puede realizar la restauración de una imagen incremental antes de realizar la restauración de una imagen completa. El nombre del directorio no es válido. 0X8007010B (WIN32/HTTP:267)
    Mover servicios de Certificate Server de un sistema operativo de 32 bits a un sistema operativo de 64 bits o viceversa, puede dar error con uno de los mensajes de error siguiente:
    Los datos esperados no existe en este directorio.
    No se puede realizar la restauración de imagen incremental antes de realizar la restauración de una imagen completa 0x8007010b (WIN32/HTTP:267)

    Cambios de formato de base de datos de la versión de 32 bits para la versión de 64 bits causan incompatibilidades y la restauración está bloqueada. Esto es similar al movimiento desde Windows 2000 a Windows Server 2003. Sin embargo, no hay ninguna ruta de actualización de una versión de 32 bits de Windows Server 2003 a una versión de 64 bits. Por lo tanto, no se puede mover una base de datos de 32 bits existente a una base de datos de 64 bits en un equipo basado en Windows Server 2003. Sin embargo, puede actualizar de CA de Windows Server 2003 (se ejecuta en Windows Server 2003 x 86) para Windows Server 2008 R2 CA (que se ejecutan en Windows Server 2008 R2 x 64). Esta actualización es compatible.Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    912309Cómo actualizar Windows Server 2003 con Service Pack 1 para Windows Server 2003 R2
  • Una versión x 64 del CD2 de Windows Server 2003 R2 sólo actualiza las versiones de 64 bits de Windows Server 2003 que se basan en la arquitectura EM64T o en la arquitectura AMD64.

Hacer copia de seguridad y restaurar las claves de entidad emisora de certificados y la base de datos

Windows Server 2003

Importante Esta sección, el método o la tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si surge algún problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro de Windows
  1. Tenga en cuenta las plantillas de certificado que se configuran en la carpeta de plantillas de certificado en el complemento entidad emisora de certificados. Las plantillas de certificado de configuración se almacena en Active Directory. No se incluyen automáticamente en. Debe configurar manualmente la configuración de plantillas de certificado en el nuevo CA de mantener el mismo conjunto de plantillas.

    Nota Las plantillas de certificado carpeta existe sólo en una empresa la diferencia de las CA independientes no utilizan plantillas de certificado. Por lo tanto, este paso no se aplica a una entidad emisora de certificados independiente.
  2. Utilice el complemento entidad emisora de certificados para hacer backup de la base de datos de entidad emisora de certificados y clave privada. Para ello, siga estos pasos:
    1. En el complemento entidad emisora de certificados, haga clic en el nombre de entidad emisora de certificados, haga clic en Todas las tareasy, a continuación, haga clic en Crear copia de seguridad de entidad emisora de certificados Para iniciar al Asistente para copia de seguridad de entidad emisora de certificados.
    2. Haga clic en Siguientey, a continuación, haga clic en Clave privada y certificado de entidad emisora de certificados.
    3. Haga clic en Base de datos de certificados y registro de base de datos de certificados.
    4. Utilizar una carpeta vacía como ubicación de copia de seguridad. Asegúrese de que la carpeta de copia de seguridad puede tener acceso al nuevo servidor.
    5. Haga clic en Siguiente. Si la carpeta de copia de seguridad especificada no existe, el Asistente para copia de seguridad de entidad de certificación lo crea.
    6. Escriba y confirme una contraseña para el archivo de copia de seguridad de clave privada de entidad emisora de certificados.
    7. Haga clic en Siguientey, a continuación, compruebe la configuración de copia de seguridad. Se debe mostrar la siguiente configuración:
      • La clave privada y certificado de entidad emisora de certificados
      • Registro de emitidos y las solicitudes pendientes
    8. Haga clic en Finalizar.
  3. Guardar la configuración del registro para esta entidad emisora de certificados. Para ello, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, tipo Regedit en el Abierto cuadro y, a continuación, haga clic en ACEPTAR.
    2. Busque y, a continuación, haga clic en la siguiente subclave del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Haga clic en Exportar.
    4. Guardar el archivo de registro en la carpeta de copia de seguridad de entidad emisora de certificados que definió en el paso 2d.
  4. Quitar servicios de Certificate Server desde el servidor antiguo.

    Nota Este paso quita los objetos de Active Directory. No realice este paso en el orden. Si se realiza la eliminación del entidad emisora de certificados de origen después de la instalación de la entidad emisora de certificados de destino (paso 6 de esta sección), no podrá usarla el entidad emisora de certificados de destino.
  5. Cambiar el nombre del servidor antiguo o permanentemente se desconecta de la red.
  6. Instalar servicios de Certificate Server en el nuevo servidor. Para ello, siga estos pasos.

    Nota El nuevo servidor debe tener el mismo nombre que el servidor antiguo.
    1. En el Panel de Control, haga doble clic en Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows, haga clic en Servicios de Certificate Server en el Asistente para componentes de Windows y, a continuación, haga clic en Siguiente.
    3. En el Tipo de entidad emisora de certificados diálogo cuadro, haga clic en el tipo de entidad emisora de certificados apropiado.
    4. Haga clic en Usar la configuración personalizada para generar el par de claves y certificados de entidad emisora de certificadosy, a continuación, haga clic en Siguiente.
    5. Haga clic en Importación, escriba la ruta de acceso de la.Archivo P12 en la carpeta de copia de seguridad, escriba la contraseña que eligió en el paso 2f y, a continuación, haga clic en ACEPTAR.
    6. En el Public y Private Key Pair cuadro de diálogo, compruebe que Utilice las claves existentes se comprueba.
    7. Haga clic en Siguiente dos veces.
    8. Acepte la configuración predeterminada de configuración de la base de datos de certificados, haga clic en Siguientey, a continuación, haga clic en Finalizar para completar la instalación de servicios de Certificate Server.
  7. Detenga el servicio servicios de Certificate Server.
  8. Busque el archivo de registro que guardó en el paso 3 y, a continuación, haga doble clic en él para importar la configuración del registro. Si la ruta de acceso que se muestra en la exportación del registro de la entidad emisora de certificados anterior difiere de la nueva ruta de acceso, debe ajustar en consecuencia la exportación del registro. De forma predeterminada, la nueva ruta de acceso es C:\Windows en Windows Server 2003.
  9. Utilice el complemento entidad emisora de certificados para restaurar la base de datos de entidad emisora de certificados. Para ello, siga estos pasos:
    1. En el complemento entidad emisora de certificados, haga clic en el nombre de entidad emisora de certificados, haga clic en Todas las tareasy, a continuación, haga clic en Restaurar la entidad emisora de certificados.

      Se inicia el Asistente para restauración de entidad de certificación.
    2. Haga clic en Siguientey, a continuación, haga clic en Clave privada y certificado de entidad emisora de certificados.
    3. Haga clic en Base de datos de certificados y registro de base de datos de certificados.
    4. Escriba la ubicación de la carpeta de copia de seguridad y, a continuación, haga clic en Siguiente.
    5. Compruebe la configuración de copia de seguridad. El Registro de emitidos y Solicitudes pendientes se debe mostrar la configuración.
    6. Haga clic en Finalizary, a continuación, haga clic en Para reiniciar servicios de Certificate Server cuando se restaura la base de datos de entidad emisora de certificados.

    Nota Puede recibir el siguiente error durante el proceso de la entidad emisora de certificados de restauración si la carpeta de copia de seguridad de entidad emisora de certificados no está en el formato de la estructura de la carpeta correcta:
    ---------------------------
    Servicios de Microsoft Certificate Server
    ---------------------------
    Los datos esperados no existe en este directorio.
    Elija un directorio diferente. El nombre del directorio no es válido. 0X8007010B (WIN32/HTTP: 267)
    La estructura de la carpeta correcta es la siguiente:
    C:\Ca_Backup\CA_NAME.p12
    C:\Ca_Backup\Database\certbkxp.dat
    C:\Ca_Backup\Database\edb#####.log
    C:\Ca_Backup\Database\CA_NAME.edb

    donde C:\Ca_Backup es la carpeta elegida durante la fase de entidad emisora de certificados de copia de seguridad en el paso 2.
  10. En el complemento entidad emisora de certificados manualmente con agregar o quitar plantillas de certificado para duplicar la configuración de plantillas de certificado que anotó en el paso 1.

Windows 2000 Server

Importante Esta sección, el método o la tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si surge algún problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro de Windows
  1. Tenga en cuenta las plantillas de certificado que se configuran en la carpeta de plantillas de certificado en el complemento entidad emisora de certificados. Las plantillas de certificado de configuración se almacena en Active Directory. No se incluyen automáticamente en. Debe configurar manualmente la configuración de plantillas de certificado en el nuevo CA de mantener el mismo conjunto de plantillas.

    Nota Las plantillas de certificado carpeta existe sólo en una empresa la diferencia de las CA independientes no utilizan plantillas de certificado. Por lo tanto, este paso no se aplica a una entidad emisora de certificados independiente.
  2. Utilice el complemento entidad emisora de certificados para hacer backup de la base de datos de entidad emisora de certificados y clave privada. Para ello, siga estos pasos:
    1. En el complemento entidad emisora de certificados, haga clic en el nombre de entidad emisora de certificados, haga clic en Todas las tareasy, a continuación, haga clic en Crear copia de seguridad de entidad emisora de certificados Para iniciar al Asistente para copia de seguridad de entidad emisora de certificados.
    2. Haga clic en Siguientey, a continuación, haga clic en Clave privada y certificado de entidad emisora de certificados.
    3. Haga clic en Registro de certificado emitido y en espera de cola de solicitudes de certificado.
    4. Utilizar una carpeta vacía como ubicación de copia de seguridad. Asegúrese de que la carpeta de copia de seguridad puede tener acceso al nuevo servidor.
    5. Haga clic en Siguiente. Si la carpeta de copia de seguridad especificada no existe, el Asistente para copia de seguridad de entidad de certificación lo crea.
    6. Escriba y confirme una contraseña para el archivo de copia de seguridad de clave privada de entidad emisora de certificados.
    7. Haga clic en Siguiente dos veces y, a continuación, compruebe la configuración de copia de seguridad. Se debe mostrar la siguiente configuración:
      • La clave privada y certificado de entidad emisora de certificados
      • Registro de emitidos y las solicitudes pendientes
    8. Haga clic en Finalizar.
  3. Guardar la configuración del registro para esta entidad emisora de certificados. Para ello, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, tipo Regedit en el Abierto cuadro y, a continuación, haga clic en ACEPTAR.
    2. Busque y, a continuación, haga clic en la siguiente subclave del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Haga clic en Configuración y, a continuación, haga clic en Exportar archivo del registro En la página Registro menú.
    4. Guardar el archivo de registro en la carpeta de copia de seguridad de entidad emisora de certificados que definió en el paso 2d.
  4. Quitar servicios de Certificate Server desde el servidor antiguo.

    Nota Este paso quita los objetos de Active Directory. No realice este paso en el orden. Si se realiza la eliminación del entidad emisora de certificados de origen después de la instalación de la entidad emisora de certificados de destino (paso 6 de esta sección), no podrá usarla el entidad emisora de certificados de destino.
  5. Cambiar el nombre del servidor antiguo o permanentemente se desconecta de la red.
  6. Instalar servicios de Certificate Server en el nuevo servidor. Para ello, siga estos pasos.

    Nota El nuevo servidor debe tener el mismo nombre que el servidor antiguo.
    1. En el Panel de Control, haga doble clic en Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows, haga clic en Servicios de Certificate Server en el Asistente para componentes de Windows y, a continuación, haga clic en Siguiente.
    3. En el Tipo de entidad emisora de certificados diálogo cuadro, haga clic en el tipo de entidad emisora de certificados apropiado.
    4. Haga clic en Opciones avanzadasy, a continuación, haga clic en Siguiente.
    5. En el Public y Private Key Pair cuadro de diálogo, haga clic en Utilice las claves existentesy, a continuación, haga clic en Importación.
    6. Escriba la ruta de acceso de la.Archivo P12 en la carpeta de copia de seguridad, escriba la contraseña que eligió en el paso 2f y, a continuación, haga clic en ACEPTAR.
    7. Haga clic en Siguiente, escriba una descripción de la entidad emisora de certificados si es necesario y, a continuación, haga clic en Siguiente.
    8. Acepte la configuración predeterminada de ubicación de almacenamiento de datos, haga clic en Siguientey, a continuación, haga clic en Finalizar para completar la instalación de servicios de Certificate Server.
  7. Detenga el servicio servicios de Certificate Server.
  8. Busque el archivo de registro que guardó en el paso 3 y, a continuación, haga doble clic en él para importar la configuración del registro.
  9. Utilice el complemento entidad emisora de certificados para restaurar la base de datos de entidad emisora de certificados. Para ello, siga estos pasos:
    1. En el complemento entidad emisora de certificados, haga clic en el nombre de entidad emisora de certificados, haga clic en Todas las tareasy, a continuación, haga clic en Restaurar la entidad emisora de certificados.

      Se inicia el Asistente para restauración de entidad de certificación.
    2. Haga clic en Siguientey, a continuación, haga clic en Registro de certificado emitido y en espera de cola de solicitudes de certificado.
    3. Escriba la ubicación de la carpeta de copia de seguridad y, a continuación, haga clic en Siguiente.
    4. Compruebe la configuración de copia de seguridad. Se debe mostrar la siguiente configuración:
      • Registro de emitidos
      • Solicitudes pendientes
    5. Haga clic en Finalizary, a continuación, haga clic en Para reiniciar servicios de Certificate Server cuando se restaura la base de datos de entidad emisora de certificados.
  10. En el complemento entidad emisora de certificados manualmente con agregar o quitar plantillas de certificado para duplicar la configuración de plantillas de certificado que anotó en el paso 1.

Más información

Para obtener más información acerca de los escenarios de actualización y migración de Windows Server 2003 y Windows Server 2008, consulte el documento "Guía de Active Directory Certificate Services Upgrade y migración". Para ver el documento técnico, visite el siguiente sitio Web de Microsoft:
http://technet.Microsoft.com/en-us/library/cc742515 (v=ws.10) .aspx

Propiedades

Id. de artículo: 298138 - Última revisión: lunes, 4 de junio de 2012 - Versión: 2.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palabras clave: 
kbcertservices kbenv kbhowtomaster w2000certsrv kbmt KB298138 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 298138

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com