Cómo mover una entidad emisora de certificados a otro servidor

En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración desde Windows 2000. Para obtener más información, consulte la Directiva de ciclo de vida de soporte técnico de Microsoft.
En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración desde Windows 2000. Para obtener más información, consulte la Directiva de ciclo de vida de soporte técnico de Microsoft.
En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración desde Windows 2000. Para obtener más información, consulte la Directiva de ciclo de vida de soporte técnico de Microsoft.
En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración desde Windows 2000. Para obtener más información, consulte la Directiva de ciclo de vida de soporte técnico de Microsoft.

Resumen



Este artículo describe cómo mover una entidad emisora de certificados (CA) a un servidor diferente.

Entidades de certificación (CA) son el componente central de la infraestructura de claves públicas (PKI) de una organización. Las entidades emisoras se configuran para existir durante muchos años o décadas, durante los cuales probablemente se actualiza el hardware que hospeda la CA.


Notas:
  • Para mover una entidad emisora de certificados desde un servidor que ejecuta Windows 2000 Server en un servidor que está ejecutando Windows Server 2003, debe actualizar primero el servidor de entidad emisora de certificados que ejecuta Windows 2000 Server a Windows Server 2003. A continuación, puede seguir los pasos que se describen en este artículo.
  • Asegúrese de que % Systemroot % del servidor de destino coincide con % Systemroot % del servidor desde el que se toma la copia de seguridad de estado del sistema.

    Debe cambiar la ruta de acceso de los archivos de la entidad emisora de certificados al instalar los componentes de servidor de entidad emisora de certificados para que coincidan con la ubicación de la copia de seguridad. Por ejemplo, si copia de seguridad de la carpeta D:\Winnt\System32\Certlog, debe restaurar la copia de seguridad en la carpeta D:\Winnt\System32\Certlog. No puede restaurar la copia de seguridad a la carpeta C:\Winnt\System32\Certlog. Después de restaurar la copia de seguridad, puede mover los archivos de base de datos de entidad emisora de certificados en la ubicación predeterminada.



    Si intenta restaurar la copia de seguridad y % Systemroot % de la copia de seguridad y el servidor de destino no coinciden, puede recibir el siguiente mensaje de error:
    No se puede realizar la restauración de una imagen incremental antes de realizar la restauración desde una imagen completa. El nombre del directorio no es válido. 0X8007010B (WIN32/HTTP:267)
    Mover los servicios de Certificate Server desde un sistema operativo de 32 bits a un sistema operativo de 64 bits o viceversa puede fallar con uno de los siguientes mensajes de error:

    Los datos esperados no existen en este directorio.

    No se puede realizar la restauración de imagen incremental antes de realizar la restauración desde una imagen completa 0x8007010b (WIN32/HTTP:267)

    Cambios de formato de base de datos de la versión de 32 bits a la versión de 64 bits ocasionar incompatibilidades y se bloquea la restauración. Esto es similar a la transición de Windows 2000 a la CA de Windows Server 2003. Sin embargo, no hay ninguna ruta de actualización desde una versión de 32 bits de Windows Server 2003 a una versión de 64 bits. Por lo tanto, no puede mover una base de datos de 32 bits existente a una base de datos de 64 bits en un equipo basado en Windows Server 2003. Sin embargo, puede actualizar desde la CA de Windows Server 2003 (que se ejecuta en Windows Server 2003 x86) para Windows Server 2008 R2 CA (ejecutándose en Windows Server 2008 R2 x64). Esta actualización es compatible. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    912309 cómo actualizar Windows Server 2003 con Service Pack 1 a Windows Server 2003 R2

  • Una versión basada en la x64 del CD2 de Windows Server 2003 R2 sólo actualiza las versiones de 64 bits de Windows Server 2003 que se basan en la arquitectura EM64T o en la arquitectura AMD64.

Copia de seguridad y restaurar las claves de la autoridad de certificación y de la base de datos

Windows Server 2003

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows
  1. Nota las plantillas de certificado que se configuran en la carpeta de plantillas de certificados en el complemento entidad emisora de certificados. La configuración de plantillas de certificado se almacena en Active Directory. Que no se realicen automáticamente backups. Debe configurar manualmente la configuración de plantillas de certificado en la entidad emisora nueva para mantener el mismo conjunto de plantillas.

    Nota: Las plantillas de certificado carpeta existe sólo en una CA independiente CAs de empresa no utilizan plantillas de certificado. Por lo tanto, este paso no se aplica a una CA independiente.
  2. Utilice el complemento entidad emisora de certificados para hacer copia de seguridad de la base de datos de entidad emisora de certificados y la clave privada. Para ello, siga estos pasos:
    1. En el complemento entidad emisora de certificados, haga clic en el nombre de la entidad emisora de certificados, haga clic en Todas las tareasy, a continuación, haga clic en hacer copia de seguridad de entidad emisora de certificados para iniciar al Asistente para copia de seguridad de entidad emisora.
    2. Haga clic en siguientey, a continuación, haga clic en clave privada y el certificado de entidad emisora de certificados.
    3. Haga clic en base de datos de certificados y registro de base de datos de certificados.
    4. Utilizar una carpeta vacía como la ubicación de copia de seguridad. Asegúrese de que el nuevo servidor puede tener acceso a la carpeta de copia de seguridad.
    5. Haga clic en Siguiente. Si la carpeta de copia de seguridad especificada no existe, lo crea el Asistente para copia de seguridad de entidad emisora.
    6. Escriba y confirme una contraseña para el archivo de copia de seguridad de clave privada de CA.
    7. Haga clic en siguientey, a continuación, compruebe la configuración de copia de seguridad. Debería mostrarse la siguiente configuración:
      • Clave privada y el certificado de entidad emisora de certificados
      • Registro de emitidos y peticiones pendientes
    8. Haga clic en Finalizar.
  3. Guardar la configuración del registro para esta entidad emisora. Para ello, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit en el cuadro Abrir y, a continuación, haga clic en Aceptar.
    2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Haga clic en Exportar.
    4. Guarde el archivo de registro en la carpeta de copia de seguridad de entidad emisora de certificados que definió en el paso 2d.
  4. Quite el antiguo servidor de servicios de Certificate Server.

    Nota: Este paso quita los objetos de Active Directory. No realice este paso en el orden correcto. Si se realiza la eliminación de la entidad emisora de certificados de origen después de la instalación de la entidad emisora de certificados de destino (paso 6 de esta sección), la entidad emisora de certificados de destino será inutilizable.
  5. Cambie el nombre del servidor antiguo o permanentemente se desconecte de la red.
  6. Instalar servicios de Certificate Server en el nuevo servidor. Para ello, siga estos pasos:

    Nota: El nuevo servidor debe tener el mismo nombre de equipo que el servidor antiguo.
    1. En el Panel de Control, haga doble clic en Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows, haga clic en Servicios de Certificate Server en el Asistente para componentes de Windows y, a continuación, haga clic en siguiente.
    3. En el cuadro de diálogo Tipo de entidad emisora de certificados , haga clic en el tipo adecuado de la entidad emisora de certificados.
    4. Haga clic en usar la configuración personalizada para generar el par de claves y certificados de entidad emisora de certificadosy, a continuación, haga clic en siguiente.
    5. Haga clic en Importar, escriba la ruta de la. Archivo P12 en la carpeta de copia de seguridad, escriba la contraseña que eligió en el paso 2f y, a continuación, haga clic en Aceptar.
    6. En el cuadro de diálogo Public y Private Key Pair , compruebe que está activada la opción Usar claves existentes .
    7. Haga clic en siguiente dos veces.
    8. Acepte la configuración predeterminada de configuración de la base de datos de certificados, haga clic en siguientey, a continuación, haga clic en Finalizar para completar la instalación de servicios de Certificate Server.
  7. Detenga el servicio servicios de Certificate Server.
  8. Busque el archivo de registro que guardó en el paso 3 y, a continuación, haga doble clic en él para importar la configuración del registro. Si la ruta de acceso que se muestra en la exportación del registro de la antigua CA difiere de la nueva ruta de acceso, debe ajustar su exportación del registro según corresponda. De forma predeterminada, la nueva ruta de acceso es C:\Windows en Windows Server 2003.
  9. Utilice el complemento entidad emisora de certificados para restaurar la base de datos de la entidad emisora de certificados. Para ello, siga estos pasos:
    1. En el complemento entidad emisora de certificados, haga clic en el nombre de la entidad emisora de certificados, haga clic en Todas las tareasy, a continuación, haga clic en Restaurar la entidad emisora de certificados.

      Inicia el Asistente para restauración de entidad emisora.
    2. Haga clic en siguientey, a continuación, haga clic en clave privada y el certificado de entidad emisora de certificados.
    3. Haga clic en base de datos de certificados y registro de base de datos de certificados.
    4. Escriba la ubicación de la carpeta de copia de seguridad y, a continuación, haga clic en siguiente.
    5. Compruebe la configuración de copia de seguridad. Se debería mostrar la configuración de Registro de emitidos y Peticiones pendientes .
    6. Haga clic en Finalizary, a continuación, haga clic en para reiniciar servicios de Certificate Server cuando se restaura la base de datos de la entidad emisora de certificados.

    Nota: Puede recibir el siguiente error durante el proceso de restauración CA si la carpeta de copia de seguridad de entidad emisora de certificados no está en el formato de la estructura de carpeta correcta:


    ---------------------------

    Servicios de Microsoft Certificate Server

    ---------------------------

    Los datos esperados no existen en este directorio.
    Elija un directorio diferente. El nombre del directorio no es válido. 0X8007010B (WIN32/HTTP: 267)
    La estructura de carpeta correcta es la siguiente:


    C:\Ca_Backup\CA_NAME.p12


    C:\Ca_Backup\Database\certbkxp.dat

    C:\Ca_Backup\Database\edb#####.log

    C:\Ca_Backup\Database\CA_NAME.edb



    donde C:\Ca_Backup es la carpeta que eligió durante la fase de copia de seguridad CA en el paso 2.





  10. En el complemento entidad emisora de certificados, manualmente agregar o quitar plantillas de certificado para duplicar la configuración de plantillas de certificado que anotó en el paso 1.

Windows 2000 Server

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows
  1. Nota las plantillas de certificado que se configuran en la carpeta de plantillas de certificados en el complemento entidad emisora de certificados. La configuración de plantillas de certificado se almacena en Active Directory. Que no se realicen automáticamente backups. Debe configurar manualmente la configuración de plantillas de certificado en la entidad emisora nueva para mantener el mismo conjunto de plantillas.



    Nota: Las plantillas de certificado carpeta existe sólo en una CA independiente CAs de empresa no utilizan plantillas de certificado. Por lo tanto, este paso no se aplica a una CA independiente.
  2. Utilice el complemento entidad emisora de certificados para hacer copia de seguridad de la base de datos de entidad emisora de certificados y la clave privada. Para ello, siga estos pasos:
    1. En el complemento entidad emisora de certificados, haga clic en el nombre de la entidad emisora de certificados, haga clic en Todas las tareasy, a continuación, haga clic en hacer copia de seguridad de entidad emisora de certificados para iniciar al Asistente para copia de seguridad de entidad emisora.
    2. Haga clic en siguientey, a continuación, haga clic en clave privada y el certificado de entidad emisora de certificados.
    3. Haga clic en registro de certificado emitido y pendientes de la cola de solicitudes de certificado.
    4. Utilizar una carpeta vacía como la ubicación de copia de seguridad. Asegúrese de que el nuevo servidor puede tener acceso a la carpeta de copia de seguridad.
    5. Haga clic en Siguiente. Si la carpeta de copia de seguridad especificada no existe, lo crea el Asistente para copia de seguridad de entidad emisora.
    6. Escriba y confirme una contraseña para el archivo de copia de seguridad de clave privada de CA.
    7. Haga clic en siguiente dos veces y, a continuación, compruebe la configuración de copia de seguridad. Debería mostrarse la siguiente configuración:
      • Clave privada y el certificado de entidad emisora de certificados
      • Registro de emitidos y peticiones pendientes
    8. Haga clic en Finalizar.

  3. Guardar la configuración del registro para esta entidad emisora. Para ello, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit en el cuadro Abrir y, a continuación, haga clic en Aceptar.
    2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Haga clic en configuración y, a continuación, haga clic en Exportar archivo del registro en el menú registro .
    4. Guarde el archivo de registro en la carpeta de copia de seguridad de entidad emisora de certificados que definió en el paso 2d.

  4. Quite el antiguo servidor de servicios de Certificate Server.



    Nota: Este paso quita los objetos de Active Directory. No realice este paso en el orden correcto. Si se realiza la eliminación de la entidad emisora de certificados de origen después de la instalación de la entidad emisora de certificados de destino (paso 6 de esta sección), la entidad emisora de certificados de destino será inutilizable.
  5. Cambie el nombre del servidor antiguo o permanentemente se desconecte de la red.

  6. Instalar servicios de Certificate Server en el nuevo servidor. Para ello, siga estos pasos:

    Nota: El nuevo servidor debe tener el mismo nombre de equipo que el servidor antiguo.
    1. En el Panel de Control, haga doble clic en Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows, haga clic en Servicios de Certificate Server en el Asistente para componentes de Windows y, a continuación, haga clic en siguiente.
    3. En el cuadro de diálogo Tipo de autoridad de certificación , haga clic en el tipo adecuado de la entidad emisora de certificados.
    4. Haga clic en Opciones avanzadasy, a continuación, haga clic en siguiente.
    5. En el cuadro de diálogo Public y Private Key Pair , haga clic en Usar claves existentesy, a continuación, haga clic en Importar.
    6. Escriba la ruta de la. Archivo P12 en la carpeta de copia de seguridad, escriba la contraseña que eligió en el paso 2f y, a continuación, haga clic en Aceptar.
    7. Haga clic en siguiente, escriba una descripción de la entidad emisora de certificados si es necesario y, a continuación, haga clic en Siguiente.
    8. Acepte la configuración predeterminada de ubicación de almacenamiento de datos, haga clic en siguientey, a continuación, haga clic en Finalizar para completar la instalación de servicios de Certificate Server.
  7. Detenga el servicio servicios de Certificate Server.

  8. Busque el archivo de registro que guardó en el paso 3 y, a continuación, haga doble clic en él para importar la configuración del registro.

  9. Utilice el complemento entidad emisora de certificados para restaurar la base de datos de la entidad emisora de certificados. Para ello, siga estos pasos:
    1. En el complemento entidad emisora de certificados, haga clic en el nombre de la entidad emisora de certificados, haga clic en Todas las tareasy, a continuación, haga clic en Restaurar la entidad emisora de certificados.

      Inicia el Asistente para restauración de entidad emisora.
    2. Haga clic en siguientey, a continuación, haga clic en registro de certificado emitido y pendientes de la cola de solicitudes de certificado.
    3. Escriba la ubicación de la carpeta de copia de seguridad y, a continuación, haga clic en siguiente.
    4. Compruebe la configuración de copia de seguridad. Debería mostrarse la siguiente configuración:
      • Registro de emitidos
      • Solicitudes pendientes
    5. Haga clic en Finalizary, a continuación, haga clic en para reiniciar servicios de Certificate Server cuando se restaura la base de datos de la entidad emisora de certificados.

  10. En el complemento entidad emisora de certificados, manualmente agregar o quitar plantillas de certificado para duplicar la configuración de plantillas de certificado que anotó en el paso 1.


Más información

Para obtener más información acerca de los escenarios de actualización y migración de Windows Server 2003 y Windows Server 2008, vea las notas del producto "Guía Active Directory Certificate Services Upgrade y migración". Para ver las notas del producto, visite el siguiente sitio Web de Microsoft:
Propiedades

Id. de artículo: 298138 - Última revisión: 22 ene. 2017 - Revisión: 1

Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

Comentarios