Traslado de una entidad de certificación a otro servidor

En este artículo se describe cómo mover una entidad de certificación (CA) a otro servidor.

Se aplica a: Windows Server 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Número de KB original: 298138

Nota:

Este artículo se aplica a Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. La compatibilidad con Windows 2000 finalizó el 13 de julio de 2010. El Centro de soluciones de fin de soporte técnico de Windows 2000 es un punto de partida para planear la estrategia de migración desde Windows 2000. La compatibilidad con Windows 2008 y 2008 R2 finalizó el 14 de enero de 2020. Para obtener más información, consulte la directiva de ciclo de vida de Soporte técnico de Microsoft.

Resumen

Las entidades de certificación (CA) son el componente central de la infraestructura de clave pública (PKI) de una organización. Las CA están configuradas para existir durante muchos años o décadas, durante los cuales es probable que se actualice el hardware que hospeda la CA.

Nota:

Para mover una ENTIDAD de certificación de un servidor que ejecuta Windows 2000 Server a un servidor que ejecuta Windows Server 2003, primero debe actualizar el servidor de CA que ejecuta Windows 2000 Server a Windows Server 2003. A continuación, puede seguir los pasos que se describen en este artículo.

Asegúrese de que %Systemroot% del servidor de destino coincide con el %Systemroot% del servidor desde el que se realiza la copia de seguridad del estado del sistema.

Debe cambiar la ruta de acceso de los archivos de ca al instalar los componentes del servidor de CA para que coincidan con la ubicación de la copia de seguridad. Por ejemplo, si realiza una copia de seguridad desde la carpeta D:\Winnt\System32\Certlog , debe restaurar la copia de seguridad en la carpeta D:\Winnt\System32\Certlog . No se puede restaurar la copia de seguridad en la carpeta C:\Winnt\System32\Certlog . Después de restaurar la copia de seguridad, puede mover los archivos de base de datos de ca a la ubicación predeterminada.

Si intenta restaurar la copia de seguridad y el %Systemroot% de la copia de seguridad y el servidor de destino no coinciden, puede recibir el siguiente mensaje de error:

La restauración de una imagen incremental no se puede realizar antes de realizar la restauración a partir de una imagen completa. El nombre del directorio no es válido. 0x8007010b (WIN32/HTTP:267)

El traslado de Certificate Services de un sistema operativo de 32 bits a un sistema operativo de 64 bits o viceversa puede producir un error con uno de los siguientes mensajes de error:

Los datos esperados no existen en este directorio.

No se puede realizar la restauración de la imagen incremental antes de realizar la restauración desde una imagen completa 0x8007010b (WIN32/HTTP:267)

El formato de la base de datos cambia de la versión de 32 bits a la versión de 64 bits provoca incompatibilidades y la restauración está bloqueada. Esto es similar al paso de La CA de Windows 2000 a Windows Server 2003. Sin embargo, no hay ninguna ruta de actualización de una versión de 32 bits de Windows Server 2003 a una versión de 64 bits. Por lo tanto, no se puede mover una base de datos de 32 bits existente a una base de datos de 64 bits en un equipo basado en Windows Server 2003. Sin embargo, puede actualizar desde la CA de Windows Server 2003 (que se ejecuta en Windows Server 2003 x86) a la CA de Windows Server 2008 R2 (que se ejecuta en Windows Server 2008 R2 x64). Se admite esta actualización.

Una versión basada en x64 de Windows Server 2003 R2 CD2 solo actualiza las versiones de 64 bits de Windows Server 2003 basadas en la arquitectura EM64T o en la arquitectura AMD64.

Copia de seguridad y restauración de las claves y la base de datos de la entidad de certificación

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

  1. Tenga en cuenta las plantillas de certificado configuradas en la carpeta Plantillas de certificado del complemento Entidad de certificación. La configuración de plantillas de certificado se almacena en Active Directory. No se realiza una copia de seguridad automática. Debe configurar manualmente las opciones plantillas de certificado en la nueva entidad de certificación para mantener el mismo conjunto de plantillas.

    Nota:

    La carpeta Plantillas de certificado solo existe en una entidad de certificación empresarial. Las entidades de certificación independientes no usan plantillas de certificado. Por lo tanto, este paso no se aplica a una CA independiente.

  2. Use el complemento Entidad de certificación para realizar una copia de seguridad de la base de datos de CA y la clave privada. Para ello, siga estos pasos:

    1. En el complemento Entidad de certificación, haga clic con el botón derecho en el nombre de la entidad de certificación, haga clic en Todas las tareasy, a continuación, haga clic en Copia de seguridad de ca para iniciar el Asistente para copia de seguridad de entidad de certificación.
    2. Haga clic en Siguientey, a continuación, haga clic en Clave privada y certificado de entidad de certificación.
    3. Haga clic en Base de datos de certificados y registro de base de datos de certificados.
    4. Use una carpeta vacía como ubicación de copia de seguridad. Asegúrese de que el nuevo servidor puede acceder a la carpeta de copia de seguridad.
    5. Haga clic en Siguiente. Si la carpeta de copia de seguridad especificada no existe, el Asistente para copia de seguridad de entidad de certificación la crea.
    6. Escriba y confirme una contraseña para el archivo de copia de seguridad de clave privada de ca.
    7. Haga clic en Siguiente y compruebe la configuración de copia de seguridad. Se debe mostrar la siguiente configuración:
      • Clave privada y certificado de entidad de certificación
      • Registro emitido y solicitudes pendientes
    8. Haga clic en Finalizar.
  3. Guarde la configuración del Registro para esta entidad de certificación. Para ello, siga estos pasos:

    1. Haga clic en Inicio, Ejecutar, escriba regedit en el cuadro Abrir y, después, haga clic en Aceptar.
    2. Busque y haga clic con el botón secundario en la siguiente subclave del Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Haga clic en Exportar.
    4. Guarde el archivo del Registro en la carpeta de copia de seguridad de ca que definió en el paso 2d.

    Nota:

    De forma predeterminada, Servicios de certificados de Active Directory (AD CS) se configura con extensiones de punto de distribución de lista de revocación de certificados (CRL) que incluyen el nombre de host del equipo de ca en la ruta de acceso. Esto significa que los certificados emitidos por la entidad de certificación antes de la migración pueden contener rutas de validación de certificados con el nombre de host antiguo. Es posible que estas rutas de acceso ya no sean válidas después de la migración. Para evitar errores de comprobación de revocación, la nueva entidad de certificación debe configurarse para publicar CRL en las rutas de acceso antiguas (anteriores a la migración) y las nuevas rutas de acceso. Si tiene que eliminar la entidad de certificación antigua de forma permanente, puede agregar un segundo nombre de equipo a la nueva CA. Para poder hacerlo, el nombre del equipo antiguo debe estar disponible en Active Directory. En este momento, puede agregar los puntos de distribución CRL a la nueva ca.

  4. Compruebe el punto de distribución CRL en la entidad de certificación antigua. Esta configuración debe configurarse en la nueva entidad de certificación.

    1. Abra cmd.exe en la entidad de certificación antigua.
    2. Escriba pkiview.
    3. Exporte la configuración.
  5. Quite Servicios de certificados del servidor anterior.

    Nota:

    En este paso se quitan objetos de Active Directory. No realice este paso fuera de orden. Si la eliminación de la CA de origen se realiza después de la instalación de la CA de destino (paso 7 en esta sección), la CA de destino se volverá inutilizable.

  6. Cambie el nombre del servidor antiguo o desconéctelo permanentemente de la red.

  7. Instale Certificate Services en el nuevo servidor. Para ello, siga estos pasos.

    Nota:

    El nuevo servidor debe tener el mismo nombre de equipo que el servidor anterior.

    1. En el Panel de control, haga doble clic en Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows, haga clic en Servicios de certificados en el Asistente para componentes de Windows y, a continuación, haga clic en Siguiente.
    3. En el cuadro de diálogo Tipo de entidad de certificación, haga clic en el tipo de ENTIDAD de certificación adecuado.
    4. Haga clic en Usar configuración personalizada para generar el par de claves y el certificado de CA y, a continuación, haga clic en Siguiente.
    5. Haga clic en Importar, escriba la ruta de acceso de . Archivo P12 en la carpeta de copia de seguridad, escriba la contraseña que eligió en el paso 2f y, a continuación, haga clic en Aceptar.
    6. En el cuadro de diálogo Par de claves públicas y privadas , compruebe que Está activada la opción Usar claves existentes .
    7. Haga clic dos veces en Siguiente.
    8. Acepte la configuración predeterminada de Configuración de base de datos de certificados, haga clic en Siguiente y, a continuación, haga clic en Finalizar para completar la instalación de Certificate Services.

    Importante

    Si el nuevo servidor tiene un nombre de equipo diferente, siga estos pasos:

    1. En el Panel de control, haga doble clic en Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows, haga clic en Servicios de certificados en el Asistente para componentes de Windows y, a continuación, haga clic en Siguiente.
    3. En el cuadro de diálogo Tipo de entidad de certificación, haga clic en el tipo de ENTIDAD de certificación adecuado.
    4. Haga clic en Usar configuración personalizada para generar el par de claves y el certificado de CA y, a continuación, haga clic en Siguiente.
    5. Haga clic en Importar, escriba la ruta de acceso de . Archivo P12 en la carpeta de copia de seguridad, escriba la contraseña que eligió en el paso 2f y, a continuación, haga clic en Aceptar.
    6. En el cuadro de diálogo Par de claves públicas y privadas , compruebe que Está activada la opción Usar claves existentes .
    7. Haga clic dos veces en Siguiente.
    8. Acepte la configuración predeterminada de Configuración de base de datos de certificados, haga clic en Siguiente y, a continuación, haga clic en Finalizar para completar la instalación de Certificate Services.
    9. Modifique la clave del Registro exportada anteriormente en el paso 3 de la siguiente manera:
      1. Haga clic con el botón derecho en la clave exportada.
      2. Editar.
      3. Reemplace el valor CAServerName por el nuevo nombre del servidor.
      4. Guardar y cerrar.
  8. Detenga el servicio Servicios de certificados.

  9. Busque el archivo del Registro que guardó en el paso 3 y haga doble clic en él para importar la configuración del Registro. Si la ruta de acceso que se muestra en la exportación del Registro de la entidad de certificación antigua difiere de la nueva ruta de acceso, debe ajustar la exportación del Registro en consecuencia. De forma predeterminada, la nueva ruta de acceso es C:\Windows en Windows Server 2003.

  10. Use el complemento Entidad de certificación para restaurar la base de datos de CA. Para ello, siga estos pasos:

    1. En el complemento Entidad de certificación, haga clic con el botón derecho en el nombre de la entidad de certificación, haga clic en Todas las tareasy, a continuación, haga clic en Restaurar entidad de certificación.

      Se inicia el Asistente para restauración de entidades de certificación.

    2. Haga clic en Siguientey, a continuación, haga clic en Clave privada y certificado de entidad de certificación.

    3. Haga clic en Base de datos de certificados y registro de base de datos de certificados.

    4. Escriba la ubicación de la carpeta de copia de seguridad y, a continuación, haga clic en Siguiente.

    5. Compruebe la configuración de copia de seguridad. Se debe mostrar la configuración De registro emitido y Solicitudes pendientes .

    6. Haga clic en Finalizary, a continuación, haga clic en para reiniciar Certificate Services cuando se restaure la base de datos de CA.

    Puede recibir el siguiente error durante el proceso de restauración de ca si la carpeta de copia de seguridad de ca no tiene el formato de estructura de carpetas correcto:

    ---------------------------
    servicios de certificados de Microsoft
    ---------------------------

    Los datos esperados no existen en este directorio.
    Elija un directorio diferente. El nombre del directorio no es válido. 0x8007010b (WIN32/HTTP: 267)

    La estructura de carpetas correcta es la siguiente:

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    Donde C:\Ca_Backup es la carpeta que eligió durante la fase de entidad de certificación de copia de seguridad en el paso 2.

  11. En el complemento Entidad de certificación, agregue o quite manualmente plantillas de certificado para duplicar la configuración de plantillas de certificado que anotó en el paso 1.

Nota:

Si tiene problemas para publicar nuevas plantillas o las personalizadas, siga los pasos que se indican a continuación.

  1. Desde un controlador de dominio dentro del bosque donde migró el rol de CA, inicie ADSI Edit.
  2. Haga clic con el botón derecho en ADSI Edit -> Connect to -> In Select a well known Naming Context choose Configuration - Ok (Editar ADSI - Conectar a): en Seleccionar un contexto de nomenclatura conocido, elija Configuración.>
  3. Vaya a CN=Configuration | CN=Servicios | CN=Public Key Services | CN=Enrollment Services.
  4. Haga clic con el botón derecho en la entidad de certificación en el panel derecho desde el que desea inscribirse y haga clic en Propiedades. Busque el atributo flags ; y compruebe que está establecido en 10.
  5. Si no es así, establézcalo en 10 y espere o fuerce manualmente la replicación de Active Directory.
  6. Cierre ADSI Edit (Edición de ADSI) y, desde el servidor de CA, asegúrese de que ahora puede publicar las nuevas plantillas.

Copia de seguridad y restauración de las claves de entidad de certificación y la base de datos en Windows 2000 Server

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

  1. Tenga en cuenta las plantillas de certificado configuradas en la carpeta Plantillas de certificado del complemento Entidad de certificación. La configuración de plantillas de certificado se almacena en Active Directory. No se realiza una copia de seguridad automática. Debe configurar manualmente las opciones plantillas de certificado en la nueva entidad de certificación para mantener el mismo conjunto de plantillas.

    Nota:

    La carpeta Plantillas de certificado solo existe en una entidad de certificación empresarial. Las entidades de certificación independientes no usan plantillas de certificado. Por lo tanto, este paso no se aplica a una CA independiente.

  2. Use el complemento Entidad de certificación para realizar una copia de seguridad de la base de datos de CA y la clave privada. Para ello, siga estos pasos:

    1. En el complemento Entidad de certificación, haga clic con el botón derecho en el nombre de la entidad de certificación, haga clic en Todas las tareasy, a continuación, haga clic en Copia de seguridad de ca para iniciar el Asistente para copia de seguridad de entidad de certificación.
    2. Haga clic en Siguientey, a continuación, haga clic en Clave privada y certificado de entidad de certificación.
    3. Haga clic en Registro de certificados emitidos y cola de solicitudes de certificado pendientes.
    4. Use una carpeta vacía como ubicación de copia de seguridad. Asegúrese de que el nuevo servidor puede acceder a la carpeta de copia de seguridad.
    5. Haga clic en Siguiente. Si la carpeta de copia de seguridad especificada no existe, el Asistente para copia de seguridad de entidad de certificación la crea.
    6. Escriba y confirme una contraseña para el archivo de copia de seguridad de clave privada de ca.
    7. Haga clic en Siguiente dos veces y, a continuación, compruebe la configuración de copia de seguridad. Se debe mostrar la siguiente configuración:
      • Clave privada y certificado de entidad de certificación
      • Registro emitido y solicitudes pendientes
    8. Haga clic en Finalizar.
  3. Guarde la configuración del Registro para esta entidad de certificación. Para ello, siga estos pasos:

    1. Haga clic en Inicio, Ejecutar, escriba regedit en el cuadro Abrir y, después, haga clic en Aceptar.
    2. Busque y haga clic con el botón derecho en la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Haga clic en Configuracióny, a continuación, haga clic en Exportar archivo del Registro en el menú Registro .
    4. Guarde el archivo del Registro en la carpeta de copia de seguridad de ca que definió en el paso 2d.
  4. Compruebe el punto de distribución CRL en la entidad de certificación antigua. Esta configuración debe configurarse en la nueva entidad de certificación.

    1. Abra cmd.exe en la entidad de certificación antigua.
    2. Escriba pkiview.
    3. Exporte la configuración.
  5. Quite Servicios de certificados del servidor anterior.

    Nota:

    En este paso se quitan objetos de Active Directory. No realice este paso fuera de orden. Si la eliminación de la CA de origen se realiza después de la instalación de la CA de destino (paso 7 en esta sección), la CA de destino se volverá inutilizable.

  6. Cambie el nombre del servidor antiguo o desconéctelo permanentemente de la red.

  7. Instale Certificate Services en el nuevo servidor. Para ello, siga estos pasos.

    Nota:

    El nuevo servidor debe tener el mismo nombre de equipo que el servidor anterior.

    1. En Panel de control, haga doble clic en Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows, haga clic en Servicios de certificados en el Asistente para componentes de Windows y, a continuación, haga clic en Siguiente.
    3. En el cuadro de diálogo Tipo de entidad de certificación , haga clic en el tipo de entidad de certificación adecuado.
    4. Haga clic en Opciones avanzadasy, a continuación, haga clic en Siguiente.
    5. En el cuadro de diálogo Par de claves pública y privada , haga clic en Usar claves existentes y, a continuación, haga clic en Importar.
    6. Escriba la ruta de acceso de . Archivo P12 en la carpeta de copia de seguridad, escriba la contraseña que eligió en el paso 2f y, a continuación, haga clic en Aceptar.
    7. Haga clic en Siguiente, escriba una descripción de ca si procede y, a continuación, haga clic en Siguiente.
    8. Acepte la configuración predeterminada ubicación de almacenamiento de datos, haga clic en Siguientey, a continuación, haga clic en Finalizar para completar la instalación de Servicios de certificados.
  8. Detenga el servicio Servicios de certificados.

  9. Busque el archivo del Registro que guardó en el paso 3 y haga doble clic en él para importar la configuración del Registro.

  10. Use el complemento Entidad de certificación para restaurar la base de datos de CA. Para ello, siga estos pasos:

    1. En el complemento Entidad de certificación, haga clic con el botón derecho en el nombre de la entidad de certificación, haga clic en Todas las tareasy, a continuación, haga clic en Restaurar entidad de certificación.

      Se inicia el Asistente para restauración de entidades de certificación.

    2. Haga clic en Siguiente y, a continuación, haga clic en Registro de certificados emitidos y cola de solicitudes de certificado pendientes.

    3. Escriba la ubicación de la carpeta de copia de seguridad y, a continuación, haga clic en Siguiente.

    4. Compruebe la configuración de copia de seguridad. Se debe mostrar la siguiente configuración:

      • Registro emitido
      • Solicitudes pendientes
    5. Haga clic en Finalizary, a continuación, haga clic en para reiniciar Certificate Services cuando se restaure la base de datos de CA.

  11. En el complemento Entidad de certificación, agregue o quite manualmente plantillas de certificado para duplicar la configuración de plantillas de certificado que anotó en el paso 1.

Más información

Para obtener más información sobre los escenarios de actualización y migración para Windows Server 2003 y Windows Server 2008, consulte el artículo "Guía de migración y actualización de Servicios de certificados de Active Directory". Para ver las notas del producto, consulte Guía de migración y actualización de Servicios de certificados de Active Directory.