Spostamento di un'autorità di certificazione in un altro server

In questo articolo si applica a Windows 2000. Supporto per Windows 2000 termina il 13 luglio 2010. Il Centro fine del supporto di Windows 2000 è un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Per ulteriori informazioni, vedere Microsoft Support Lifecycle Policy.
In questo articolo si applica a Windows 2000. Supporto per Windows 2000 termina il 13 luglio 2010. Il Centro fine del supporto di Windows 2000 è un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Per ulteriori informazioni, vedere Microsoft Support Lifecycle Policy.
In questo articolo si applica a Windows 2000. Supporto per Windows 2000 termina il 13 luglio 2010. Il Centro fine del supporto di Windows 2000 è un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Per ulteriori informazioni, vedere Microsoft Support Lifecycle Policy.
In questo articolo si applica a Windows 2000. Supporto per Windows 2000 termina il 13 luglio 2010. Il Centro fine del supporto di Windows 2000 è un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Per ulteriori informazioni, vedere Microsoft Support Lifecycle Policy.

Riepilogo



In questo articolo viene descritto come spostare un'autorità di certificazione (CA) a un altro server.

Le autorità di certificazione (CA) sono il componente centrale dell'infrastruttura a chiave pubblica (PKI) di un'organizzazione. Le autorità di certificazione sono configurati per esiste per molti anni o decenni, durante il quale è probabilmente aggiornato dell'hardware che ospita la CA.


Note
  • Per spostare una CA da un server che esegue Windows 2000 Server a un server che esegue Windows Server 2003, è necessario prima aggiornare il server della CA che esegue Windows 2000 Server a Windows Server 2003. È quindi possibile seguire la procedura descritta in questo articolo.
  • Assicurarsi che corrisponda a % Systemroot % del server da cui verrà prelevato il backup dello stato di sistema % Systemroot % del server di destinazione.

    Quando si installano i componenti server della CA in modo che corrispondano il percorso del backup, è necessario modificare il percorso dei file di CA. Ad esempio, se esegue il backup dalla cartella D:\Winnt\System32\Certlog, è necessario ripristinare il backup nella cartella D:\Winnt\System32\Certlog. È possibile ripristinare il backup nella cartella C:\Winnt\System32\Certlog. Dopo aver ripristinato il backup, è possibile spostare i file di database della CA nel percorso predefinito.



    Se si tenta di ripristinare il backup e il % Systemroot % del backup e il server di destinazione non corrispondono, è che venga visualizzato il seguente messaggio di errore:
    Impossibile eseguire il ripristino di un'immagine incrementale prima di eseguire un ripristino da un'immagine completa. Il nome della directory non è valido. 0X8007010B (WIN32/HTTP:267)
    Spostamento di servizi certificati da un sistema operativo a 32 bit a un sistema operativo a 64 bit o viceversa potrebbe non riuscire con uno dei seguenti messaggi di errore:

    I dati previsti non esistono in questa directory.

    Impossibile eseguire il ripristino dell'immagine incrementale prima di ripristinare un'immagine completa (WIN32/HTTP:267) 0x8007010b

    Modifiche al formato database della versione a 32 bit alla versione 64-bit causano problemi di incompatibilità e il ripristino verrà bloccato. Questa è la situazione lo spostamento da Windows 2000 alla CA di Windows Server 2003. Tuttavia, non vi è alcun percorso di aggiornamento da una versione a 32 bit di Windows Server 2003 per una versione a 64 bit. Pertanto, non è possibile spostare un database esistente a 32 bit a un database a 64 bit in un computer basato su Windows Server 2003. Tuttavia, è possibile aggiornare da una CA Windows Server 2003 (in esecuzione su Windows Server 2003 x86) CA di Windows Server 2008 R2 (in esecuzione su Windows Server 2008 R2 x64). Questo aggiornamento è supportato. Per ulteriori informazioni, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

    912309 sull'aggiornamento di Windows Server 2003 con Service Pack 1 per Windows Server 2003 R2

  • Versioni basate su x64 di Windows Server 2003 R2 CD2 Aggiorna solo versioni a 64 bit di Windows Server 2003 che si basano sull'architettura EM64T o sull'architettura AMD64.

Eseguire il backup e ripristinare le chiavi delle autorità di certificazione e database

Windows Server 2003

Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema Windows
  1. Nota i modelli di certificato configurati nella cartella modelli di certificato nello snap-in Autorità di certificazione. Le impostazioni dei modelli di certificato vengono memorizzate in Active Directory. Essi non automaticamente il backup. È necessario configurare manualmente le impostazioni dei modelli di certificato della CA per mantenere lo stesso insieme di modelli di nuovo.

    Nota: I modelli di certificato esiste solo su una CA CA autonome non utilizzano modelli di certificato. Pertanto, questo passaggio non si applica a una CA autonoma.
  2. Utilizzare lo snap-in Autorità di certificazione per eseguire il backup del database CA e la chiave privata. A tale scopo, attenersi alla seguente procedura:
    1. Nello snap-in Autorità di certificazione, destro del mouse sul nome della CA, fare clic su Tutte le attivitàe quindi fare clic su backup CA per avviare il Backup guidato Autorità di certificazione.
    2. Fare clic su Avantie quindi fare clic sulla chiave privata e certificato CA.
    3. Fare clic su database certificati e registro database certificati.
    4. Utilizzare una cartella vuota come il percorso di backup. Assicurarsi che la cartella di backup può accedere al nuovo server.
    5. Fare clic su Avanti. Se la cartella di backup specificata non esiste, il Backup guidato Autorità di certificazione crea.
    6. Digitare e confermare una password per il file di backup chiave privata della CA.
    7. Fare clic su Avantie quindi verificare le impostazioni di backup. Visualizzare le impostazioni seguenti:
      • La chiave privata e certificato CA
      • Registro emesso e le richieste in sospeso
    8. Fare clic su Fine.
  3. Salvare le impostazioni del Registro di sistema per la CA. A tale scopo, attenersi alla seguente procedura:
    1. Fare clic su Start, scegliere Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.
    2. Individuare e fare quindi la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Fare clic su Esporta.
    4. Salvare il file del Registro di sistema nella cartella di backup CA definito nel passaggio 2d.
  4. Rimuovere Servizi certificati del server precedente.

    Nota: Questa operazione rimuove gli oggetti da Active Directory. Non eseguire questo passaggio in un ordine. Se la rimozione dell'origine di autorità di certificazione viene eseguita dopo l'installazione dell'autorità di certificazione di destinazione (passaggio 6 in questa sezione), la destinazione CA diventerà inutilizzabile.
  5. Rinominare il vecchio server oppure in modo permanente la disconnessione dalla rete.
  6. Installare Servizi certificati nel nuovo server. A tale scopo, attenersi alla seguente procedura.

    Nota: Il nuovo server deve avere lo stesso nome del server precedente.
    1. Nel Pannello di controllo fare doppio clic su Installazione applicazioni.
    2. Fare clic su Installazione componenti di Windows, fare clic su Servizi certificati in aggiunta guidata componenti di Windows e quindi fare clic su Avanti.
    3. Nella finestra di dialogo Tipo di CA , fare clic sul tipo appropriato di CA.
    4. Fare clic su utilizza impostazioni personalizzate per generare la coppia di chiavi e certificati CAe quindi fare clic su Avanti.
    5. Fare clic su Importa, digitare il percorso di. Il file p12 nella cartella di backup, digitare la password scelta nel passaggio 2f e quindi fare clic su OK.
    6. Nella finestra di dialogo Public e Private Key Pair , verificare che utilizzano chiavi esistenti sia selezionata.
    7. Fare clic su Avanti due volte.
    8. Accettare le impostazioni predefinite di impostazioni Database certificati, fare clic su Avantie quindi fare clic su Fine per completare l'installazione di servizi certificati.
  7. Arrestare il servizio Servizi certificati.
  8. Individuare il file del Registro di sistema che è stato salvato nel passaggio 3 e quindi fare doppio clic per importare le impostazioni del Registro di sistema. Se il percorso indicato dall'autorità di certificazione precedente nell'esportazione del Registro di sistema è diverso dal nuovo percorso, è necessario modificare di conseguenza l'esportazione del Registro di sistema. Per impostazione predefinita, il nuovo tracciato è C:\Windows in Windows Server 2003.
  9. Utilizzare lo snap-in Autorità di certificazione per ripristinare il database della CA. A tale scopo, attenersi alla seguente procedura:
    1. Nello snap-in Autorità di certificazione, fare il nome della CA, fare clic su Tutte le attivitàe quindi fare clic su Ripristina CA.

      Avvia il ripristino guidato Autorità di certificazione.
    2. Fare clic su Avantie quindi fare clic sulla chiave privata e certificato CA.
    3. Fare clic su database certificati e registro database certificati.
    4. Digitare il percorso della cartella di backup e quindi fare clic su Avanti.
    5. Verificare le impostazioni di backup. Le impostazioni di Registro emesso e Richieste in sospeso devono essere visualizzate.
    6. Fare clic su Finee quindi fare clic su per riavviare Servizi certificati quando viene ripristinato il database della CA.

    Nota: Venga visualizzato il seguente errore durante il processo di ripristino CA se la cartella di backup CA non è in formato struttura cartella corretta:


    ---------------------------

    Servizi certificati Microsoft

    ---------------------------

    I dati previsti non esistono in questa directory.
    Scegliere una directory diversa. Il nome della directory non è valido. 0X8007010B (WIN32/HTTP: 267)
    La struttura della cartella corretta è la seguente:


    C:\Ca_Backup\CA_NAME.p12


    C:\Ca_Backup\Database\certbkxp.dat

    C:\Ca_Backup\Database\edb#####.log

    C:\Ca_Backup\Database\CA_NAME.edb



    dove C:\Ca_Backup è la cartella scelta durante la fase di Backup CA nel passaggio 2.





  10. Nello snap-in Autorità di certificazione, aggiungere o rimuovere manualmente i modelli di certificato per duplicare le impostazioni dei modelli di certificato che si è preso nota nel passaggio 1.

Windows 2000 Server

Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema Windows
  1. Nota i modelli di certificato configurati nella cartella modelli di certificato nello snap-in Autorità di certificazione. Le impostazioni dei modelli di certificato vengono memorizzate in Active Directory. Essi non automaticamente il backup. È necessario configurare manualmente le impostazioni dei modelli di certificato della CA per mantenere lo stesso insieme di modelli di nuovo.



    Nota: I modelli di certificato esiste solo su una CA CA autonome non utilizzano modelli di certificato. Pertanto, questo passaggio non si applica a una CA autonoma.
  2. Utilizzare lo snap-in Autorità di certificazione per eseguire il backup del database CA e la chiave privata. A tale scopo, attenersi alla seguente procedura:
    1. Nello snap-in Autorità di certificazione, destro del mouse sul nome della CA, fare clic su Tutte le attivitàe quindi fare clic su backup CA per avviare il Backup guidato Autorità di certificazione.
    2. Fare clic su Avantie quindi fare clic sulla chiave privata e certificato CA.
    3. Scegliere log dei certificati emessi e in attesa della coda di richiesta di certificato.
    4. Utilizzare una cartella vuota come il percorso di backup. Assicurarsi che la cartella di backup può accedere al nuovo server.
    5. Fare clic su Avanti. Se la cartella di backup specificata non esiste, il Backup guidato Autorità di certificazione crea.
    6. Digitare e confermare una password per il file di backup chiave privata della CA.
    7. Fare clic su Avanti due volte e quindi verificare le impostazioni di backup. Visualizzare le impostazioni seguenti:
      • La chiave privata e certificato CA
      • Registro emesso e le richieste in sospeso
    8. Fare clic su Fine.

  3. Salvare le impostazioni del Registro di sistema per la CA. A tale scopo, attenersi alla seguente procedura:
    1. Fare clic su Start, scegliere Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.
    2. Individuare e fare quindi la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Fare clic su configurazione e quindi fare clic su Esporta File del Registro di sistema dal menu Registro di sistema .
    4. Salvare il file del Registro di sistema nella cartella di backup CA definito nel passaggio 2d.

  4. Rimuovere Servizi certificati del server precedente.



    Nota: Questa operazione rimuove gli oggetti da Active Directory. Non eseguire questo passaggio in un ordine. Se la rimozione dell'origine di autorità di certificazione viene eseguita dopo l'installazione dell'autorità di certificazione di destinazione (passaggio 6 in questa sezione), la destinazione CA diventerà inutilizzabile.
  5. Rinominare il vecchio server oppure in modo permanente la disconnessione dalla rete.

  6. Installare Servizi certificati nel nuovo server. A tale scopo, attenersi alla seguente procedura.

    Nota: Il nuovo server deve avere lo stesso nome del server precedente.
    1. Nel Pannello di controllo fare doppio clic su Aggiungi/Rimuovi programmi.
    2. Fare clic su Installazione componenti di Windows, fare clic su Servizi certificati in aggiunta guidata componenti di Windows e quindi fare clic su Avanti.
    3. Nella finestra di dialogo Tipo di autorità di certificazione , fare clic sul tipo appropriato di CA.
    4. Fare clic su Opzioni avanzatee quindi fare clic su Avanti.
    5. Nella finestra di dialogo Public e Private Key Pair , fare clic su utilizza chiavi esistentie quindi fare clic su Importa.
    6. Digitare il percorso di. Il file p12 nella cartella di backup, digitare la password scelta nel passaggio 2f e quindi fare clic su OK.
    7. Fare clic su Avanti, digitare una descrizione di CA, se del caso e quindi fare clic su Avanti.
    8. Accettare le impostazioni predefinite di archiviazione di dati, fare clic su Avantie quindi fare clic su Fine per completare l'installazione di servizi certificati.
  7. Arrestare il servizio Servizi certificati.

  8. Individuare il file del Registro di sistema che è stato salvato nel passaggio 3 e quindi fare doppio clic per importare le impostazioni del Registro di sistema.

  9. Utilizzare lo snap-in Autorità di certificazione per ripristinare il database della CA. A tale scopo, attenersi alla seguente procedura:
    1. Nello snap-in Autorità di certificazione, fare il nome della CA, fare clic su Tutte le attivitàe quindi fare clic su Ripristina CA.

      Avvia il ripristino guidato Autorità di certificazione.
    2. Fare clic su Avantie quindi fare clic su log dei certificati emessi e coda di richiesta di certificato di attesa.
    3. Digitare il percorso della cartella di backup e quindi fare clic su Avanti.
    4. Verificare le impostazioni di backup. Visualizzare le impostazioni seguenti:
      • Registro emesso
      • Richieste in sospeso
    5. Fare clic su Finee quindi fare clic su per riavviare Servizi certificati quando viene ripristinato il database della CA.

  10. Nello snap-in Autorità di certificazione, aggiungere o rimuovere manualmente i modelli di certificato per duplicare le impostazioni dei modelli di certificato che si è preso nota nel passaggio 1.


Ulteriori informazioni

Per ulteriori informazioni sugli scenari di aggiornamento e migrazione per Windows Server 2003 e Windows Server 2008, vedere il white paper "Active Directory certificato servizi aggiornamento e migrazione Guide". Per vedere il white paper, visitare il seguente sito Web Microsoft:
Proprietà

ID articolo: 298138 - Ultima revisione: 30 gen 2017 - Revisione: 1

Feedback