Como mover uma autoridade de certificação para outro servidor

Este artigo descreve como mover uma autoridade de certificação (AC) para um servidor diferente.

Aplica-se a: Windows Server 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Número de KB original: 298138

Observação

Este artigo se aplica ao Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. O suporte ao Windows 2000 terminou em 13 de julho de 2010. O Centro de Soluções de Fim de Suporte do Windows 2000 é um ponto de partida para planejar sua estratégia de migração do Windows 2000. O suporte para Windows 2008 e 2008 R2 terminou em 14 de janeiro de 2020. Para obter mais informações, consulte a política de ciclo de vida Suporte da Microsoft.

Resumo

As autoridades de certificação (CAs) são o componente central da PKI (infraestrutura de chave pública) de uma organização. Os CAs estão configurados para existir por muitos anos ou décadas, durante o qual o hardware que hospeda a AC provavelmente é atualizado.

Observação

Para mover uma AC de um servidor que está executando o Windows 2000 Server para um servidor que está executando o Windows Server 2003, primeiro você deve atualizar o servidor de AC que está executando o Windows 2000 Server para Windows Server 2003. Em seguida, você pode seguir as etapas descritas neste artigo.

Verifique se o %Systemroot% do servidor de destino corresponde ao %Systemroot% do servidor do qual o backup de estado do sistema é feito.

Você deve alterar o caminho dos arquivos de AC ao instalar os componentes do servidor de AC para que eles correspondam ao local do backup. Por exemplo, se você fizer backup da pasta D:\Winnt\System32\Certlog , deverá restaurar o backup na pasta D:\Winnt\System32\Certlog . Você não pode restaurar o backup na pasta C:\Winnt\System32\Certlog . Depois de restaurar o backup, você pode mover os arquivos do banco de dados da AC para o local padrão.

Se você tentar restaurar o backup e o %Systemroot% do backup e o servidor de destino não corresponderem, você poderá receber a seguinte mensagem de erro:

A restauração de uma imagem incremental não pode ser executada antes de executar a restauração de uma imagem completa. O nome do diretório é inválido. 0x8007010b (WIN32/HTTP:267)

Mover os Serviços de Certificado de um sistema operacional de 32 bits para um sistema operacional de 64 bits ou vice-versa pode falhar com uma das seguintes mensagens de erro:

Os dados esperados não existem neste diretório.

A restauração da imagem incremental não pode ser executada antes de executar a restauração de um 0x8007010b de imagem completo (WIN32/HTTP:267)

O formato do banco de dados muda da versão de 32 bits para a versão de 64 bits causa incompatibilidades e a restauração é bloqueada. Isso se assemelha à mudança do Windows 2000 para o Windows Server 2003 CA. No entanto, não há nenhum caminho de atualização de uma versão de 32 bits do Windows Server 2003 para uma versão de 64 bits. Portanto, você não pode mover um banco de dados de 32 bits existente para um banco de dados de 64 bits em um computador baseado no Windows Server 2003. No entanto, você pode atualizar do Windows Server 2003 CA (em execução no Windows Server 2003 x86) para o Windows Server 2008 R2 CA (em execução no Windows Server 2008 R2 x64). Essa atualização tem suporte.

Uma versão baseada em x64 do Windows Server 2003 R2 CD2 atualiza apenas versões de 64 bits do Windows Server 2003 baseadas na arquitetura EM64T ou na arquitetura AMD64.

Fazer backup e restaurar as chaves e o banco de dados da autoridade de certificação

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

  1. Observe os modelos de certificado configurados na pasta Modelos de Certificado no snap-in da Autoridade de Certificação. As configurações modelos de certificado são armazenadas no Active Directory. Eles não são automaticamente apoiados. Você deve configurar manualmente as configurações modelos de certificado na nova AC para manter o mesmo conjunto de modelos.

    Observação

    A pasta Modelos de Certificado existe apenas em uma AC corporativa. Os CAs autônomos não usam modelos de certificado. Portanto, essa etapa não se aplica a uma AC autônoma.

  2. Use o snap-in da Autoridade de Certificação para fazer backup do banco de dados da AC e da chave privada. Para fazer isso, siga estas etapas:

    1. No snap-in da Autoridade de Certificação, clique com o botão direito do mouse no nome da AC, clique em Todas as Tarefas e clique em Fazer backup da AC para iniciar o Assistente de Backup da Autoridade de Certificação.
    2. Clique em Avançar e clique em Chave privada e certificado de AC.
    3. Clique em Certificado banco de dados e log de banco de dados de certificado.
    4. Use uma pasta vazia como o local de backup. Verifique se a pasta de backup pode ser acessada pelo novo servidor.
    5. Clique em Próximo. Se a pasta de backup especificada não existir, o Assistente de Backup da Autoridade de Certificação a criará.
    6. Digite e confirme uma senha para o arquivo de backup de chave privada da AC.
    7. Clique em Avançar e verifique as configurações de backup. As seguintes configurações devem ser exibidas:
      • Chave Privada e Certificado de AC
      • Log e solicitações pendentes emitidos
    8. Clique em Concluir.
  3. Salve as configurações do registro para essa AC. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar e em Executar, digite regedit na caixa Abrir e clique em OK.
    2. Localize e clique com o botão direito do mouse na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Clique em Exportar.
    4. Salve o arquivo de registro na pasta de backup da AC que você definiu na etapa 2d.

    Observação

    Por padrão, o AD CS (Active Directory Certificate Services) é configurado com extensões de ponto de distribuição crl (lista de revogação de certificado) que incluem o nome do host do computador da AC no caminho. Isso significa que todos os certificados emitidos pela AC antes da migração podem conter caminhos de validação de certificado com o nome do host antigo. Esses caminhos podem não ser mais válidos após a migração. Para evitar erros de verificação de revogação, a nova AC deve ser configurada para publicar CRLs nos caminhos antigos (pré-migração) e nos novos caminhos. Se você precisar excluir a AC antiga permanentemente, poderá adicionar um segundo nome de computador à nova AC. Antes de fazer isso, o nome do computador antigo precisa estar disponível no Active Directory. Neste ponto, você pode adicionar os Pontos de Distribuição de CRL à nova AC.

  4. Verifique o Ponto de Distribuição de CRL na AC antiga. Essas configurações precisam ser configuradas na nova AC.

    1. Abra cmd.exe na ac antiga.
    2. Digite pkiview.
    3. Exporte a configuração.
  5. Remova os Serviços de Certificado do servidor antigo.

    Observação

    Esta etapa remove objetos do Active Directory. Não execute essa etapa fora de ordem. Se a remoção da AC de origem for executada após a instalação da AC de destino (etapa 7 nesta seção), a AC de destino se tornará inutilizável.

  6. Renomeie o servidor antigo ou desconecte-o permanentemente da rede.

  7. Instale os Serviços de Certificado no novo servidor. Para fazer isso, execute as etapas a seguir.

    Observação

    O novo servidor deve ter o mesmo nome do computador que o servidor antigo.

    1. No Painel de Controle, clique duas vezes em Adicionar ou Remover Programas.
    2. Clique em Adicionar/Remover Componentes do Windows, clique em Serviços de Certificado no Assistente de Componentes do Windows e clique em Avançar.
    3. Na caixa de diálogo Tipo de AC , clique no tipo de AC apropriado.
    4. Clique em Usar configurações personalizadas para gerar o par de chaves e o certificado de AC e clique em Avançar.
    5. Clique em Importar, digite o caminho do . Arquivo P12 na pasta de backup, digite a senha escolhida na etapa 2f e clique em OK.
    6. Na caixa de diálogo Par de Chaves Públicas e Privadas , verifique se o uso de chaves existentes está marcado.
    7. Clique em Avançar duas vezes.
    8. Aceite as configurações padrão Configurações do Banco de Dados de Certificado, clique em Avançar e clique em Concluir para concluir a instalação dos Serviços de Certificado.

    Importante

    Se o novo servidor tiver um nome de computador diferente, siga estas etapas:

    1. No Painel de Controle, clique duas vezes em Adicionar ou Remover Programas.
    2. Clique em Adicionar/Remover Componentes do Windows, clique em Serviços de Certificado no Assistente de Componentes do Windows e clique em Avançar.
    3. Na caixa de diálogo Tipo de AC , clique no tipo de AC apropriado.
    4. Clique em Usar configurações personalizadas para gerar o par de chaves e o certificado de AC e clique em Avançar.
    5. Clique em Importar, digite o caminho do . Arquivo P12 na pasta de backup, digite a senha escolhida na etapa 2f e clique em OK.
    6. Na caixa de diálogo Par de Chaves Públicas e Privadas , verifique se o uso de chaves existentes está marcado.
    7. Clique em Avançar duas vezes.
    8. Aceite as configurações padrão Configurações do Banco de Dados de Certificado, clique em Avançar e clique em Concluir para concluir a instalação dos Serviços de Certificado.
    9. Modifique a Chave do Registro exportada anteriormente na etapa 3 da seguinte maneira:
      1. Clique com o botão direito do mouse na chave exportada.
      2. Editar.
      3. Substitua o valor CAServerName pelo novo nome do servidor.
      4. Salvar e Fechar.
  8. Pare o serviço de Serviços de Certificado.

  9. Localize o arquivo de registro que você salvou na etapa 3 e clique duas vezes nele para importar as configurações do registro. Se o caminho mostrado na exportação de registro da AC antiga for diferente do novo caminho, você deverá ajustar a exportação do registro de acordo. Por padrão, o novo caminho é C:\Windows no Windows Server 2003.

  10. Use o snap-in da Autoridade de Certificação para restaurar o banco de dados de AC. Para fazer isso, siga estas etapas:

    1. No snap-in da Autoridade de Certificação, clique com o botão direito do mouse no nome da AC, clique em Todas as Tarefas e clique em Restaurar AC.

      O Assistente de Restauração da Autoridade de Certificação é iniciado.

    2. Clique em Avançar e clique em Chave privada e certificado de AC.

    3. Clique em Certificado banco de dados e log de banco de dados de certificado.

    4. Digite o local da pasta de backup e clique em Avançar.

    5. Verifique as configurações de backup. As configurações log e solicitações pendentes emitidas devem ser exibidas.

    6. Clique em Concluir e clique em Sim para reiniciar os Serviços de Certificado quando o banco de dados de AC for restaurado.

    Você poderá receber o seguinte erro durante o processo de restauração da AC se a pasta de backup da AC não estiver no formato correto da estrutura de pastas:

    ---------------------------
    Serviços de Certificados da Microsoft
    ---------------------------

    Os dados esperados não existem neste diretório.
    Escolha um diretório diferente. O nome do diretório é inválido. 0x8007010b (WIN32/HTTP: 267)

    A estrutura correta da pasta é a seguinte:

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    Onde C:\Ca_Backup é a pasta escolhida durante a fase de AC de backup na etapa 2.

  11. No snap-in da Autoridade de Certificação, adicione ou remova manualmente modelos de certificado para duplicar as configurações de Modelos de Certificado que você observou na etapa 1.

Observação

Se você encontrar problemas para publicar novos Modelos ou seus Personalizados, siga as etapas abaixo.

  1. De um Controlador de Domínio dentro da floresta em que você migrou a função de AC iniciar a edição ADSI.
  2. Clique com o botão direito do mouse em Editar ADSI –> Conectar-se a -> Em Selecionar um contexto de nomenclatura bem conhecido escolha Configuração -> Ok.
  3. Navegue até CN=Configuration | CN=Services | CN=Public Key Services | CN=Serviços de Registro.
  4. Clique com o botão direito do mouse na AC no painel direito do qual você deseja registrar e clique em Propriedades. Localizar o atributo sinalizadores ; e verifique se ele está definido como 10.
  5. Se não for, defina-o como 10 e aguarde ou force manualmente a replicação do Active Directory.
  6. Feche ADSI Editar e do servidor de AC certifique-se de que agora você pode publicar seus novos Modelos.

Fazer backup e restaurar as chaves e o banco de dados da autoridade de certificação no Windows 2000 Server

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

  1. Observe os modelos de certificado configurados na pasta Modelos de Certificado no snap-in da Autoridade de Certificação. As configurações modelos de certificado são armazenadas no Active Directory. Eles não são automaticamente apoiados. Você deve configurar manualmente as configurações modelos de certificado na nova AC para manter o mesmo conjunto de modelos.

    Observação

    A pasta Modelos de Certificado existe apenas em uma AC corporativa. Os CAs autônomos não usam modelos de certificado. Portanto, essa etapa não se aplica a uma AC autônoma.

  2. Use o snap-in da Autoridade de Certificação para fazer backup do banco de dados da AC e da chave privada. Para fazer isso, siga estas etapas:

    1. No snap-in da Autoridade de Certificação, clique com o botão direito do mouse no nome da AC, clique em Todas as Tarefas e clique em Fazer backup da AC para iniciar o Assistente de Backup da Autoridade de Certificação.
    2. Clique em Avançar e clique em Chave privada e certificado de AC.
    3. Clique em Log de certificado emitido e na fila de solicitação de certificado pendente.
    4. Use uma pasta vazia como o local de backup. Verifique se a pasta de backup pode ser acessada pelo novo servidor.
    5. Clique em Próximo. Se a pasta de backup especificada não existir, o Assistente de Backup da Autoridade de Certificação a criará.
    6. Digite e confirme uma senha para o arquivo de backup de chave privada da AC.
    7. Clique em Avançar duas vezes e verifique as configurações de backup. As seguintes configurações devem ser exibidas:
      • Chave Privada e Certificado de AC
      • Log e solicitações pendentes emitidos
    8. Clique em Concluir.
  3. Salve as configurações do registro para essa AC. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar e em Executar, digite regedit na caixa Abrir e clique em OK.
    2. Localize e clique com o botão direito do mouse na seguinte subchave do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Clique em Configuração e clique em Exportar Arquivo do Registro no menu Registro .
    4. Salve o arquivo de registro na pasta de backup da AC que você definiu na etapa 2d.
  4. Verifique o Ponto de Distribuição de CRL na AC antiga. Essas configurações precisam ser configuradas na nova AC.

    1. Abra cmd.exe na ac antiga.
    2. Digite pkiview.
    3. Exporte a configuração.
  5. Remova os Serviços de Certificado do servidor antigo.

    Observação

    Esta etapa remove objetos do Active Directory. Não execute essa etapa fora de ordem. Se a remoção da AC de origem for executada após a instalação da AC de destino (etapa 7 nesta seção), a AC de destino se tornará inutilizável.

  6. Renomeie o servidor antigo ou desconecte-o permanentemente da rede.

  7. Instale os Serviços de Certificado no novo servidor. Para fazer isso, execute as etapas a seguir.

    Observação

    O novo servidor deve ter o mesmo nome do computador que o servidor antigo.

    1. No Painel de Controle, clique duas vezes em Adicionar/Remover Programas.
    2. Clique em Adicionar/Remover Componentes do Windows, clique em Serviços de Certificado no Assistente de Componentes do Windows e clique em Avançar.
    3. Na caixa de diálogo Tipo de Autoridade de Certificação , clique no tipo de AC apropriado.
    4. Clique em Opções Avançadas e clique em Avançar.
    5. Na caixa de diálogo Par de Chaves Públicas e Privadas , clique em Usar chaves existentes e clique em Importar.
    6. Digite o caminho do . Arquivo P12 na pasta de backup, digite a senha escolhida na etapa 2f e clique em OK.
    7. Clique em Avançar, digite uma descrição da AC, se apropriado, e clique em Avançar.
    8. Aceite as configurações padrão Local de Armazenamento de Dados, clique em Avançar e clique em Concluir para concluir a instalação dos Serviços de Certificado.
  8. Pare o serviço de Serviços de Certificado.

  9. Localize o arquivo de registro que você salvou na etapa 3 e clique duas vezes nele para importar as configurações do registro.

  10. Use o snap-in da Autoridade de Certificação para restaurar o banco de dados de AC. Para fazer isso, siga estas etapas:

    1. No snap-in da Autoridade de Certificação, clique com o botão direito do mouse no nome da AC, clique em Todas as Tarefas e clique em Restaurar AC.

      O Assistente de Restauração da Autoridade de Certificação é iniciado.

    2. Clique em Avançar e clique em Log de certificado emitido e na fila de solicitação de certificado pendente.

    3. Digite o local da pasta de backup e clique em Avançar.

    4. Verifique as configurações de backup. As seguintes configurações devem ser exibidas:

      • Log emitido
      • Solicitações pendentes
    5. Clique em Concluir e clique em Sim para reiniciar os Serviços de Certificado quando o banco de dados de AC for restaurado.

  11. No snap-in da Autoridade de Certificação, adicione ou remova manualmente modelos de certificado para duplicar as configurações de Modelos de Certificado que você observou na etapa 1.

Mais informações

Para obter mais informações sobre cenários de atualização e migração para Windows Server 2003 e Windows Server 2008, consulte o white paper "Guia de Atualização e Migração dos Serviços de Certificados do Active Directory". Para ver o white paper, consulte Guia de Atualização e Migração dos Serviços de Certificados do Active Directory.