Como mover uma autoridade de certificação para outro servidor

Traduções de Artigos Traduções de Artigos
Artigo: 298138 - Ver produtos para os quais este artigo se aplica.
Importante
Este artigo se aplica ao Windows 2000. Suporte para o Windows 2000 termina em 13 de julho de 2010. O Centro de soluções fim do suporte do Windows 2000 é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte o Política de ciclo de vida do suporte Microsoft.
Importante
Este artigo se aplica ao Windows 2000. Suporte para o Windows 2000 termina em 13 de julho de 2010. O Centro de soluções fim do suporte do Windows 2000 é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte o Política de ciclo de vida do suporte Microsoft.
Importante
Este artigo se aplica ao Windows 2000. Suporte para o Windows 2000 termina em 13 de julho de 2010. O Centro de soluções fim do suporte do Windows 2000 é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte o Política de ciclo de vida do suporte Microsoft.
Importante
Este artigo se aplica ao Windows 2000. Suporte para o Windows 2000 termina em 13 de julho de 2010. O Centro de soluções fim do suporte do Windows 2000 é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte o Política de ciclo de vida do suporte Microsoft.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como mover uma autoridade de certificação (CA) para um servidor diferente.

Autoridades de certificação (CAs) são o componente central da infra-estrutura de chave pública (PKI) de uma organização. O CAs são configurados para existir por muitos anos ou décadas, tempo em que o hardware que hospeda a autoridade de certificação provavelmente é atualizado.

Observações
  • Para mover uma autoridade de certificação a partir de um servidor que esteja executando o Windows 2000 Server para um servidor que esteja executando o Windows Server 2003, você deve atualizar primeiro o servidor de autoridade de certificação que esteja executando o Windows 2000 Server para Windows Server 2003. Em seguida, você pode seguir as etapas descritas neste artigo.
  • Verifique se a % Systemroot % do servidor de destino corresponde a % Systemroot % do servidor a partir do qual é feito o backup de estado do sistema.

    Quando você instala os componentes do servidor de autoridade de certificação para que elas coincidam com o local do backup, você deve alterar o caminho dos arquivos de autoridade de certificação. Por exemplo, se você fizer backup da pasta D:\Winnt\System32\Certlog, deve restaurar o backup para a pasta D:\Winnt\System32\Certlog. Você não pode restaurar o backup para a pasta C:\Winnt\System32\Certlog. Depois de restaurar o backup, você pode mover os arquivos de banco de dados de autoridade de certificação no local padrão.

    Se você tentar restaurar o backup e % Systemroot % do backup e do servidor de destino não coincidem, a seguinte mensagem de erro é exibida:
    Restauração de uma imagem incremental não pode ser executada antes de executar a restauração de uma imagem completa. O nome do diretório é inválido. 0X8007010B (WIN32/HTTP:267)
    Movendo os serviços de certificado de um sistema operacional de 32 bits para um sistema operacional de 64 bits ou vice-versa pode falhar com uma das seguintes mensagens de erro:
    Os dados esperados não existe neste diretório.
    Restauração de imagem incremental não pode ser executada antes da restauração de uma imagem completa 0x8007010b (WIN32/HTTP:267)

    Alterações de formato de banco de dados da versão de 32 bits para a versão de 64 bits causam incompatibilidades e a restauração é bloqueada. Isso é semelhante a migração do Windows 2000 para autoridade de certificação do Windows Server 2003. No entanto, não há nenhum caminho de atualização de uma versão de 32 bits do Windows Server 2003 para uma versão de 64 bits. Portanto, você não pode mover um banco de dados de 32 bits existente para um banco de dados de 64 bits em um computador baseado no Windows Server 2003. No entanto, você pode atualizar da CA do Windows Server 2003 (executando no Windows Server 2003 x86) para Windows Server 2008 R2 CA (executando no Windows Server 2008 R2 x64). Há suporte para esta atualização.Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    912309Como atualizar o Windows Server 2003 com Service Pack 1 para Windows Server 2003 R2
  • Uma versão baseada em x64 do Windows Server 2003 R2 CD2 só atualiza versões de 64 bits do Windows Server 2003 são baseadas na arquitetura EM64T ou na arquitetura AMD64.

Fazer backup e restaurar o banco de dados e chaves de autoridade de certificação

Windows Server 2003

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756 Como fazer backup e restaurar o registro no Windows
  1. Observe os modelos de certificado são configurados na pasta modelos de certificado no snap-in Autoridade de certificação. Os modelos de certificado configurações são armazenadas no Active Directory. Eles não são automaticamente submetidos. Você deve definir manualmente as configurações de modelos de certificado na CA de nova para manter o mesmo conjunto de modelos.

    Observação Os modelos de certificado a pasta existe somente em uma autoridade de certificação autônoma CAs da empresa não use os modelos de certificado. Portanto, essa etapa não se aplica a uma autoridade de certificação autônoma.
  2. Use o snap-in Autoridade de certificação para fazer backup do banco de dados de autoridade de certificação e chave particular. Para fazer isso, siga estas etapas:
    1. No snap-in Autoridade de certificação, clique com o botão direito no nome da autoridade de certificação, clique em Todas as tarefase clique em Fazer backup da autoridade de certificação para iniciar o Assistente de Backup da autoridade de certificação.
    2. Clique em Avançare clique em Chave particular e certificado da CA.
    3. Clique em Banco de dados de certificados e log do banco de dados de certificados.
    4. Use uma pasta vazia como o local de backup. Certifique-se de que a pasta de backup pode ser acessada pelo novo servidor.
    5. Clique em Avançar. Se a pasta de backup especificada não existir, o Assistente de Backup de autoridade de certificação cria-lo.
    6. Digite e confirme uma senha para a arquivo de backup chave particular da CA.
    7. Clique em Avançare verifique se as configurações de backup. As configurações a seguir devem ser exibidas:
      • Chave particular e certificado da CA
      • Emitido Log e solicitações pendentes
    8. Clique em Concluir.
  3. Salve as configurações do registro para essa CA. Para fazer isso, siga estas etapas:
    1. Clique em Início, clique em Executar, tipo Regedit no Aberto caixa e clique OK.
    2. Localize e clique na seguinte subchave do registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Clique em Exportação.
    4. Salve o arquivo de registro na pasta de backup da autoridade de certificação que você definiu na etapa 2d.
  4. Remova os serviços de certificado do servidor antigo.

    Observação Essa etapa remove os objetos do Active Directory. Não execute esta etapa fora de ordem. Se a remoção da fonte de CA é executada após a instalação do destino da autoridade de certificação (etapa 6 nesta seção), destino CA será inutilizado.
  5. Renomear o servidor antigo ou permanentemente o desconectar da rede.
  6. Instale serviços de certificado no novo servidor. Para fazer isso, siga estas etapas.

    Observação O novo servidor deve ter o mesmo nome de computador do servidor antigo.
    1. No painel de controle, clique duas vezes Adicionar ou remover programas.
    2. Clique em Adicionar ou remover componentes do Windows, clique em Serviços de certificados no Assistente de componentes do Windows e clique em Avançar.
    3. No Tipo de autoridade de certificação caixa de diálogo, clique no tipo apropriado de autoridade de certificação.
    4. Clique em Usar as configurações personalizadas para gerar o par de chaves e certificados de autoridade de certificaçãoe clique em Avançar.
    5. Clique em Importação, digite o caminho para o.Arquivo P12 na pasta de backup, digite a senha que você escolheu na etapa 2f e clique em OK.
    6. No Pública e par de chaves particular caixa de diálogo, verifique se que Usar chaves existentes é verificado.
    7. Clique em Avançar duas vezes.
    8. Aceite as configurações padrão de configurações de banco de dados de certificados, clique em Avançare clique em Concluir para concluir a instalação dos serviços de certificado.
  7. Pare o serviço serviços de certificado.
  8. Localize o arquivo de registro que você salvou na etapa 3 e clique duas vezes nele para importar as configurações do registro. Se o caminho mostrado na exportação do registro da autoridade de certificação antiga difere do novo caminho, é necessário ajustar adequadamente exportar seu registro. Por padrão, o novo caminho é C:\Windows no Windows Server 2003.
  9. Use o snap-in Autoridade de certificação para restaurar o banco de dados de autoridade de certificação. Para fazer isso, siga estas etapas:
    1. No snap-in Autoridade de certificação, clique com o botão direito no nome da autoridade de certificação, clique em Todas as tarefase clique em Restaurar autoridade de certificação.

      Inicia o Assistente para restauração de autoridade de certificação.
    2. Clique em Avançare clique em Chave particular e certificado da CA.
    3. Clique em Banco de dados de certificados e log do banco de dados de certificados.
    4. Digite o local da pasta de backup e clique em Avançar.
    5. Verifique as configurações de backup. O Emitido Log e Solicitações pendentes as configurações devem ser exibidas.
    6. Clique em Concluire clique em Sim para reiniciar os serviços de certificados quando o banco de dados é restaurado.

    Observação Você pode receber o seguinte erro durante o processo de restauração da autoridade de certificação, se a pasta de backup da autoridade de certificação não está no formato de estrutura de pasta correta:
    ---------------------------
    Serviços de certificados Microsoft
    ---------------------------
    Os dados esperados não existe neste diretório.
    Escolha um diretório diferente. O nome do diretório é inválido. 0X8007010B (WIN32/HTTP: 267)
    A estrutura de pasta correta é como segue:
    C:\Ca_Backup\CA_NAME.p12
    C:\Ca_Backup\Database\certbkxp.dat
    C:\Ca_Backup\Database\edb#####.log
    C:\Ca_Backup\Database\CA_NAME.edb

    onde C:\Ca_Backup é a pasta escolhida durante a fase de Backup CA na etapa 2.
  10. No snap-in Autoridade de certificação, adicionar ou remover manualmente os modelos de certificado para duplicar as configurações de modelos de certificado que você anotou na etapa 1.

Windows 2000 Server

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756 Como fazer backup e restaurar o registro no Windows
  1. Observe os modelos de certificado são configurados na pasta modelos de certificado no snap-in Autoridade de certificação. Os modelos de certificado configurações são armazenadas no Active Directory. Eles não são automaticamente submetidos. Você deve definir manualmente as configurações de modelos de certificado na CA de nova para manter o mesmo conjunto de modelos.

    Observação Os modelos de certificado a pasta existe somente em uma autoridade de certificação autônoma CAs da empresa não use os modelos de certificado. Portanto, essa etapa não se aplica a uma autoridade de certificação autônoma.
  2. Use o snap-in Autoridade de certificação para fazer backup do banco de dados de autoridade de certificação e chave particular. Para fazer isso, siga estas etapas:
    1. No snap-in Autoridade de certificação, clique com o botão direito no nome da autoridade de certificação, clique em Todas as tarefase clique em Fazer backup da autoridade de certificação para iniciar o Assistente de Backup da autoridade de certificação.
    2. Clique em Avançare clique em Chave particular e certificado da CA.
    3. Clique em Log de certificados emitidos e pendentes da fila de solicitação de certificado.
    4. Use uma pasta vazia como o local de backup. Certifique-se de que a pasta de backup pode ser acessada pelo novo servidor.
    5. Clique em Avançar. Se a pasta de backup especificada não existir, o Assistente de Backup de autoridade de certificação cria-lo.
    6. Digite e confirme uma senha para a arquivo de backup chave particular da CA.
    7. Clique em Avançar duas vezes e verifique se as configurações de backup. As configurações a seguir devem ser exibidas:
      • Chave particular e certificado da CA
      • Emitido Log e solicitações pendentes
    8. Clique em Concluir.
  3. Salve as configurações do registro para essa CA. Para fazer isso, siga estas etapas:
    1. Clique em Início, clique em Executar, tipo Regedit no Aberto caixa e clique OK.
    2. Localize e clique na seguinte subchave do registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Clique em Configuração e clique em Exportar arquivo do registro sobre o Registro menu.
    4. Salve o arquivo de registro na pasta de backup da autoridade de certificação que você definiu na etapa 2d.
  4. Remova os serviços de certificado do servidor antigo.

    Observação Essa etapa remove os objetos do Active Directory. Não execute esta etapa fora de ordem. Se a remoção da fonte de CA é executada após a instalação do destino da autoridade de certificação (etapa 6 nesta seção), destino CA será inutilizado.
  5. Renomear o servidor antigo ou permanentemente o desconectar da rede.
  6. Instale serviços de certificado no novo servidor. Para fazer isso, siga estas etapas.

    Observação O novo servidor deve ter o mesmo nome de computador do servidor antigo.
    1. No painel de controle, clique duas vezes em Adicionar ou remover programas.
    2. Clique em Adicionar ou remover componentes do Windows, clique em Serviços de certificados no Assistente de componentes do Windows e clique em Avançar.
    3. No Tipo de autoridade de certificação caixa de diálogo, clique no tipo apropriado de autoridade de certificação.
    4. Clique em Opções avançadase clique em Avançar.
    5. No Pública e par de chaves particular caixa de diálogo, clique em Usar chaves existentese clique em Importação.
    6. Digite o caminho para o.Arquivo P12 na pasta de backup, digite a senha que você escolheu na etapa 2f e clique em OK.
    7. Clique em Avançar, digite uma descrição da autoridade de certificação, se apropriado e clique em Próxima.
    8. Aceite as configurações padrão do local de armazenamento de dados, clique em Avançare clique em Concluir para concluir a instalação dos serviços de certificado.
  7. Pare o serviço serviços de certificado.
  8. Localize o arquivo de registro que você salvou na etapa 3 e clique duas vezes nele para importar as configurações do registro.
  9. Use o snap-in Autoridade de certificação para restaurar o banco de dados de autoridade de certificação. Para fazer isso, siga estas etapas:
    1. No snap-in Autoridade de certificação, clique com o botão direito no nome da autoridade de certificação, clique em Todas as tarefase clique em Restaurar autoridade de certificação.

      Inicia o Assistente para restauração de autoridade de certificação.
    2. Clique em Avançare clique em Log de certificados emitidos e pendentes da fila de solicitação de certificado.
    3. Digite o local da pasta de backup e clique em Avançar.
    4. Verifique as configurações de backup. As configurações a seguir devem ser exibidas:
      • Emitido Log
      • Solicitações pendentes
    5. Clique em Concluire clique em Sim para reiniciar os serviços de certificados quando o banco de dados é restaurado.
  10. No snap-in Autoridade de certificação, adicionar ou remover manualmente os modelos de certificado para duplicar as configurações de modelos de certificado que você anotou na etapa 1.

Mais Informação

Para obter mais informações sobre cenários de upgrade e migração do Windows Server 2003 e Windows Server 2008, consulte o informe oficial "Active Directory certificado serviços Upgrade e migração Guide". Para ver o white paper, visite o seguinte site da Microsoft:
. aspx http://technet.microsoft.com/en-us/library/cc742515 (v=ws.10)

Propriedades

Artigo: 298138 - Última revisão: 4 de junho de 2012 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palavras-chave: 
kbcertservices kbenv kbhowtomaster w2000certsrv kbmt KB298138 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 298138

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com