Come spostare un'autorità di certificazione in un altro server

Articolo
02/26/2024

Questo articolo descrive come spostare un'autorità di certificazione (CA) in un server diverso.

Si applica a: Windows Server 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Numero KB originale: 298138

Nota

Questo articolo si applica a Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. Il supporto per Windows 2000 è terminato il 13 luglio 2010. Windows 2000 End-of-Support Solution Center è un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Il supporto per Windows 2008 e 2008 R2 è terminato il 14 gennaio 2020. Per altre informazioni, vedere i criteri relativi al ciclo di vita supporto tecnico Microsoft.

Riepilogo

Le autorità di certificazione (CA) sono il componente centrale dell'infrastruttura a chiave pubblica (PKI) di un'organizzazione. Le CA sono configurate per esistere per molti anni o decenni, durante i quali è probabile che l'hardware che ospita la CA venga aggiornato.

Nota

Per spostare una CA da un server che esegue Windows 2000 Server a un server che esegue Windows Server 2003, è innanzitutto necessario aggiornare il server ca che esegue Windows 2000 Server a Windows Server 2003. È quindi possibile seguire i passaggi descritti in questo articolo.

Assicurarsi che %Systemroot% del server di destinazione corrisponda al %Systemroot% del server da cui viene eseguito il backup dello stato del sistema.

È necessario modificare il percorso dei file ca quando si installano i componenti del server CA in modo che corrispondano al percorso del backup. Ad esempio, se si esegue il backup dalla cartella D:\Winnt\System32\Certlog , è necessario ripristinare il backup nella cartella D:\Winnt\System32\Certlog . Non è possibile ripristinare il backup nella cartella C:\Winnt\System32\Certlog . Dopo aver ripristinato il backup, è possibile spostare i file di database ca nel percorso predefinito.

Se si tenta di ripristinare il backup e %Systemroot% del backup e del server di destinazione non corrispondono, è possibile che venga visualizzato il messaggio di errore seguente:

Non è possibile eseguire il ripristino di un'immagine incrementale prima di eseguire il ripristino da un'immagine completa. Nome di directory non valido. 0x8007010b (WIN32/HTTP:267)

Lo spostamento di Servizi certificati da un sistema operativo a 32 bit a un sistema operativo a 64 bit o viceversa potrebbe non riuscire con uno dei messaggi di errore seguenti:

I dati previsti non esistono in questa directory.

Impossibile eseguire il ripristino dell'immagine incrementale prima di eseguire il ripristino da un'immagine completa 0x8007010b (WIN32/HTTP:267)

Le modifiche al formato del database dalla versione a 32 bit alla versione a 64 bit causano incompatibilità e il ripristino è bloccato. Questo comportamento è simile al passaggio da Windows 2000 a Windows Server 2003 CA. Tuttavia, non esiste alcun percorso di aggiornamento da una versione a 32 bit di Windows Server 2003 a una versione a 64 bit. Pertanto, non è possibile spostare un database a 32 bit esistente in un database a 64 bit in un computer basato su Windows Server 2003. Tuttavia, è possibile eseguire l'aggiornamento dalla CA di Windows Server 2003 (in esecuzione in Windows Server 2003 x86) alla CA di Windows Server 2008 R2 (in esecuzione in Windows Server 2008 R2 x64). Questo aggiornamento è supportato.

Una versione basata su x64 di Windows Server 2003 R2 CD2 aggiorna solo le versioni a 64 bit di Windows Server 2003 basate sull'architettura EM64T o sull'architettura AMD64.

Eseguire il backup e il ripristino delle chiavi e del database dell'autorità di certificazione

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire backup e ripristino del Registro di sistema, vedere Backup e ripristino del Registro di sistema in Windows.

Prendere nota dei modelli di certificato configurati nella cartella Modelli di certificato nello snap-in Autorità di certificazione. Le impostazioni dei modelli di certificato vengono archiviate in Active Directory. Non viene eseguito automaticamente il backup. È necessario configurare manualmente le impostazioni dei modelli di certificato nella nuova CA per mantenere lo stesso set di modelli.

Nota

La cartella Modelli di certificato esiste solo in una CA aziendale. Le CA autonome non usano i modelli di certificato. Di conseguenza, questo passaggio non si applica a una CA autonoma.
Usare lo snap-in Autorità di certificazione per eseguire il backup del database ca e della chiave privata. A tal fine, attenersi alla seguente procedura:
1. Nello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse sul nome della CA, scegliere Tutte le attività e quindi fare clic su Backup CA per avviare il Backup guidato autorità di certificazione.
2. Fare clic su Avanti e quindi su Chiave privata e certificato CA.
3. Fare clic su Database certificato e log del database del certificato.
4. Usare una cartella vuota come percorso di backup. Assicurarsi che sia possibile accedere alla cartella di backup dal nuovo server.
5. Scegliere Avanti. Se la cartella di backup specificata non esiste, viene creata dalla Creazione guidata backup dell'autorità di certificazione.
6. Digitare e quindi confermare una password per il file di backup della chiave privata della CA.
7. Fare clic su Avanti e quindi verificare le impostazioni di backup. Devono essere visualizzate le impostazioni seguenti:
  - Chiave privata e certificato CA
  - Log emesso e richieste in sospeso
8. Fare clic su Fine.
Salvare le impostazioni del Registro di sistema per questa CA. A tal fine, attenersi alla seguente procedura:
1. Fare clic su Start, Esegui, digitare regedit nella casella Apri, quindi fare clic su OK.
2. Individuare e fare clic con il pulsante destro del mouse sulla seguente sottochiave del Registro di sistema:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
3. Fare clic su Esporta.
4. Salvare il file del Registro di sistema nella cartella di backup della CA definita nel passaggio 2d.
Nota

Per impostazione predefinita, Servizi certificati Active Directory è configurato con estensioni del punto di distribuzione CRL (Certificate Revocation List) che includono il nome host del computer ca nel percorso. Ciò significa che tutti i certificati rilasciati dalla CA prima della migrazione possono contenere percorsi di convalida del certificato con il nome host precedente. Questi percorsi potrebbero non essere più validi dopo la migrazione. Per evitare errori di controllo delle revoche, la nuova CA deve essere configurata per pubblicare CRL nei percorsi precedenti (pre-migrazione) e nei nuovi percorsi. Se è necessario eliminare definitivamente la ca precedente, è possibile aggiungere un secondo nome di computer alla nuova CA. Prima di poter eseguire questa operazione, il nome del computer precedente deve essere disponibile in Active Directory. A questo punto, è possibile aggiungere i punti di distribuzione CRL alla nuova CA.
Controllare il punto di distribuzione CRL nella ca precedente. Queste impostazioni devono essere configurate nella nuova CA.
1. Aprire cmd.exe nella ca precedente.
2. Immettere pkiview.
3. Esportare la configurazione.
Rimuovere Servizi certificati dal server precedente.

Nota

Questo passaggio rimuove gli oggetti da Active Directory. Non eseguire questo passaggio in ordine non corretto. Se la rimozione della CA di origine viene eseguita dopo l'installazione della CA di destinazione (passaggio 7 in questa sezione), la CA di destinazione diventerà inutilizzabile.
Rinominare il server precedente o disconnetterlo definitivamente dalla rete.
Installare Servizi certificati nel nuovo server. A tale scopo, attenersi alla seguente procedura.

Nota

Il nuovo server deve avere lo stesso nome del computer del server precedente.
1. Nel Pannello di controllo fare doppio clic su Installazione applicazioni.
2. Fare clic su Aggiungi/Rimuovi componenti di Windows, fare clic su Servizi certificati nella Creazione guidata componenti di Windows e quindi fare clic su Avanti.
3. Nella finestra di dialogo Tipo CA fare clic sul tipo di CA appropriato.
4. Fare clic su Usa impostazioni personalizzate per generare la coppia di chiavi e il certificato CA e quindi fare clic su Avanti.
5. Fare clic su Importa, digitare il percorso dell'oggetto . P12 nella cartella di backup, digitare la password scelta nel passaggio 2f e quindi fare clic su OK.
6. Nella finestra di dialogo Coppia di chiavi pubblica e privata verificare che l'opzione Usa chiavi esistenti sia selezionata.
7. Fare clic su Avanti due volte.
8. Accettare le impostazioni predefinite di Impostazioni database certificati, fare clic su Avanti e quindi su Fine per completare l'installazione di Servizi certificati.
Importante

Se il nuovo server ha un nome computer diverso, seguire questa procedura:
1. Nel Pannello di controllo fare doppio clic su Installazione applicazioni.
2. Fare clic su Aggiungi/Rimuovi componenti di Windows, fare clic su Servizi certificati nella Creazione guidata componenti di Windows e quindi fare clic su Avanti.
3. Nella finestra di dialogo Tipo CA fare clic sul tipo di CA appropriato.
4. Fare clic su Usa impostazioni personalizzate per generare la coppia di chiavi e il certificato CA e quindi fare clic su Avanti.
5. Fare clic su Importa, digitare il percorso dell'oggetto . P12 nella cartella di backup, digitare la password scelta nel passaggio 2f e quindi fare clic su OK.
6. Nella finestra di dialogo Coppia di chiavi pubblica e privata verificare che l'opzione Usa chiavi esistenti sia selezionata.
7. Fare clic su Avanti due volte.
8. Accettare le impostazioni predefinite di Impostazioni database certificati, fare clic su Avanti e quindi su Fine per completare l'installazione di Servizi certificati.
9. Modificare la chiave del Registro di sistema esportata in precedenza nel passaggio 3 in questo modo:
  1. Fare clic con il pulsante destro del mouse sulla chiave esportata.
  2. Modifica.
  3. Sostituire il valore CAServerName con il nuovo nome del server.
  4. Salvare e chiudere.
Arrestare il servizio Servizi certificati.
Individuare il file del Registro di sistema salvato nel passaggio 3 e quindi fare doppio clic su di esso per importare le impostazioni del Registro di sistema. Se il percorso visualizzato nell'esportazione del Registro di sistema dalla CA precedente è diverso dal nuovo percorso, è necessario modificare l'esportazione del Registro di sistema di conseguenza. Per impostazione predefinita, il nuovo percorso è C:\Windows in Windows Server 2003.
Usare lo snap-in Autorità di certificazione per ripristinare il database ca. A tal fine, attenersi alla seguente procedura:
1. Nello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse sul nome della CA, scegliere Tutte le attività e quindi fare clic su Ripristina CA.
  
  Viene avviata la procedura guidata di ripristino dell'autorità di certificazione.
2. Fare clic su Avanti e quindi su Chiave privata e certificato CA.
3. Fare clic su Database certificato e log del database del certificato.
4. Digitare il percorso della cartella di backup e quindi fare clic su Avanti.
5. Verificare le impostazioni di backup. Devono essere visualizzate le impostazioni Log emesso e Richieste in sospeso .
6. Fare clic su Fine e quindi su Sì per riavviare Servizi certificati quando viene ripristinato il database ca.
È possibile che venga visualizzato l'errore seguente durante il processo di ripristino della CA se la cartella di backup della CA non è nel formato di struttura di cartelle corretto:

---------------------------
Servizi certificati Microsoft
---------------------------

I dati previsti non esistono in questa directory.
Scegliere una directory diversa. Nome di directory non valido. 0x8007010b (WIN32/HTTP: 267)

La struttura di cartelle corretta è la seguente:
- C:\Ca_Backup\CA_NAME.p12
- C:\Ca_Backup\Database\certbkxp.dat
- C:\Ca_Backup\Database\edb#####.log
- C:\Ca_Backup\Database\CA_NAME.edb
Dove C:\Ca_Backup è la cartella scelta durante la fase di backup della CA nel passaggio 2.
Nello snap-in Autorità di certificazione aggiungere o rimuovere manualmente i modelli di certificato per duplicare le impostazioni dei modelli di certificato annotate nel passaggio 1.

Nota

Se si verificano problemi durante la pubblicazione di nuovi modelli o di quelli personalizzati, seguire questa procedura.

Da un controller di dominio all'interno della foresta in cui è stata eseguita la migrazione del ruolo ca avviare ADSI Edit.
Fare clic con il pulsante destro del mouse su Modifica ADSI -> Connetti a-> In Selezionare un contesto di denominazione noto scegliere Configurazione -> Ok.
Passare a CN=Configuration | CN=Services | CN=Public Key Services | CN=Enrollment Services.
Fare clic con il pulsante destro del mouse sulla CA nel riquadro destro da cui si vuole eseguire la registrazione e scegliere Proprietà. Trovare l'attributo flags . e verificare che sia impostato su 10.
In caso contrario, impostarlo su 10 e attendere o forzare manualmente la replica di Active Directory.
Chiudere ADSI Edit e dal server CA assicurarsi di poter pubblicare i nuovi modelli.

Eseguire il backup e il ripristino delle chiavi e del database dell'autorità di certificazione in Windows 2000 Server

Importante

Prendere nota dei modelli di certificato configurati nella cartella Modelli di certificato nello snap-in Autorità di certificazione. Le impostazioni dei modelli di certificato vengono archiviate in Active Directory. Non viene eseguito automaticamente il backup. È necessario configurare manualmente le impostazioni dei modelli di certificato nella nuova CA per mantenere lo stesso set di modelli.

Nota

La cartella Modelli di certificato esiste solo in una CA aziendale. Le CA autonome non usano i modelli di certificato. Di conseguenza, questo passaggio non si applica a una CA autonoma.
Usare lo snap-in Autorità di certificazione per eseguire il backup del database ca e della chiave privata. A tal fine, attenersi alla seguente procedura:
1. Nello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse sul nome della CA, scegliere Tutte le attività e quindi fare clic su Backup CA per avviare il Backup guidato autorità di certificazione.
2. Fare clic su Avanti e quindi su Chiave privata e certificato CA.
3. Fare clic su Log certificati rilasciati e coda delle richieste di certificato in sospeso.
4. Usare una cartella vuota come percorso di backup. Assicurarsi che sia possibile accedere alla cartella di backup dal nuovo server.
5. Scegliere Avanti. Se la cartella di backup specificata non esiste, viene creata dalla Creazione guidata backup dell'autorità di certificazione.
6. Digitare e quindi confermare una password per il file di backup della chiave privata della CA.
7. Fare clic su Avanti due volte e quindi verificare le impostazioni di backup. Devono essere visualizzate le impostazioni seguenti:
  - Chiave privata e certificato CA
  - Log emesso e richieste in sospeso
8. Fare clic su Fine.
Salvare le impostazioni del Registro di sistema per questa CA. A tal fine, attenersi alla seguente procedura:
1. Fare clic su Start, Esegui, digitare regedit nella casella Apri, quindi fare clic su OK.
2. Individuare e quindi fare clic con il pulsante destro del mouse sulla sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
3. Fare clic su Configurazione e quindi su Esporta file del Registro di sistema dal menu Registro di sistema .
4. Salvare il file del Registro di sistema nella cartella di backup della CA definita nel passaggio 2d.
Controllare il punto di distribuzione CRL nella ca precedente. Queste impostazioni devono essere configurate nella nuova CA.
1. Aprire cmd.exe nella ca precedente.
2. Immettere pkiview.
3. Esportare la configurazione.
Rimuovere Servizi certificati dal server precedente.

Nota

Questo passaggio rimuove gli oggetti da Active Directory. Non eseguire questo passaggio in ordine non corretto. Se la rimozione della CA di origine viene eseguita dopo l'installazione della CA di destinazione (passaggio 7 in questa sezione), la CA di destinazione diventerà inutilizzabile.
Rinominare il server precedente o disconnetterlo definitivamente dalla rete.
Installare Servizi certificati nel nuovo server. A tale scopo, attenersi alla seguente procedura.

Nota

Il nuovo server deve avere lo stesso nome del computer del server precedente.
1. Nel Pannello di controllo fare doppio clic su Installazione applicazioni.
2. Fare clic su Aggiungi/Rimuovi componenti di Windows, fare clic su Servizi certificati nella Creazione guidata componenti di Windows e quindi fare clic su Avanti.
3. Nella finestra di dialogo Tipo autorità di certificazione fare clic sul tipo di CA appropriato.
4. Fare clic su Opzioni avanzate e quindi su Avanti.
5. Nella finestra di dialogo Coppia di chiavi pubblica e privata fare clic su Usa chiavi esistenti e quindi su Importa.
6. Digitare il percorso dell'oggetto . P12 nella cartella di backup, digitare la password scelta nel passaggio 2f e quindi fare clic su OK.
7. Fare clic su Avanti, digitare una descrizione ca, se appropriato, e quindi fare clic su Avanti.
8. Accettare le impostazioni predefinite percorso di archiviazione dati, fare clic su Avanti e quindi su Fine per completare l'installazione di Servizi certificati.
Arrestare il servizio Servizi certificati.
Individuare il file del Registro di sistema salvato nel passaggio 3 e quindi fare doppio clic su di esso per importare le impostazioni del Registro di sistema.
Usare lo snap-in Autorità di certificazione per ripristinare il database ca. A tal fine, attenersi alla seguente procedura:
1. Nello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse sul nome della CA, scegliere Tutte le attività e quindi fare clic su Ripristina CA.
  
  Viene avviata la procedura guidata di ripristino dell'autorità di certificazione.
2. Fare clic su Avanti, quindi su Log certificati emesso e coda di richieste di certificato in sospeso.
3. Digitare il percorso della cartella di backup e quindi fare clic su Avanti.
4. Verificare le impostazioni di backup. Devono essere visualizzate le impostazioni seguenti:
  - Log emesso
  - Richieste in sospeso
5. Fare clic su Fine e quindi su Sì per riavviare Servizi certificati quando viene ripristinato il database ca.
Nello snap-in Autorità di certificazione aggiungere o rimuovere manualmente i modelli di certificato per duplicare le impostazioni dei modelli di certificato annotate nel passaggio 1.

Ulteriori informazioni

Per altre informazioni sugli scenari di aggiornamento e migrazione per Windows Server 2003 e Windows Server 2008, vedere il white paper "Guida all'aggiornamento e alla migrazione di Servizi certificati Active Directory". Per vedere il white paper, vedere Guida all'aggiornamento e alla migrazione di Servizi certificati Active Directory.

Come spostare un'autorità di certificazione in un altro server

Riepilogo

Eseguire il backup e il ripristino delle chiavi e del database dell'autorità di certificazione

Eseguire il backup e il ripristino delle chiavi e del database dell'autorità di certificazione in Windows 2000 Server

Ulteriori informazioni

Commenti e suggerimenti

Commenti e suggerimenti

Risorse aggiuntive