Compartir a través de

Cómo mover una entidad de certificación a otro servidor

En este artículo se describe cómo mover una entidad de certificación (CA) a un servidor diferente.

Número de KB original: 298138

Nota:

Este artículo se aplica a Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. La compatibilidad con Windows 2000 finalizó el 13 de julio de 2010. El Centro de soluciones de fin de soporte técnico de Windows 2000 es un punto de partida para planear la estrategia de migración desde Windows 2000. La compatibilidad con Windows 2008 y 2008 R2 finalizó el 14 de enero de 2020. Para obtener más información, consulte la Directiva de ciclos de vida de soporte técnico de Microsoft.

Resumen

Las entidades de certificación (CA) son el componente central de la infraestructura de clave pública (PKI) de una organización. Las CA están configuradas para existir durante muchos años o décadas, durante el cual el hardware que hospeda la ENTIDAD de certificación probablemente se actualice.

Nota:

Para mover una CA de un servidor que ejecuta Windows 2000 Server a un servidor que ejecuta Windows Server 2003, primero debe actualizar el servidor de CA que ejecuta Windows 2000 Server a Windows Server 2003. A continuación, puede seguir los pasos que se describen en este artículo.

Asegúrese de que % Systemroot% del servidor de destino coincide con el %Systemroot% del servidor desde el que se realiza la copia de seguridad de estado del sistema.

Debe cambiar la ruta de acceso de los archivos de CA al instalar los componentes del servidor de CA para que coincidan con la ubicación de la copia de seguridad. Por ejemplo, si realiza una copia de seguridad desde la carpeta D:\Winnt\System32\Certlog , debe restaurar la copia de seguridad en la carpeta D:\Winnt\System32\Certlog . No se puede restaurar la copia de seguridad en la carpeta C:\Winnt\System32\Certlog . Después de restaurar la copia de seguridad, puede mover los archivos de base de datos de ca a la ubicación predeterminada.

Si intenta restaurar la copia de seguridad y %Systemroot% de la copia de seguridad y el servidor de destino no coinciden, puede recibir el siguiente mensaje de error:

No se puede realizar la restauración de una imagen incremental antes de realizar la restauración a partir de una imagen completa. El nombre del directorio no es válido. 0x8007010b (WIN32/HTTP:267)

Mover servicios de certificados de un sistema operativo de 32 bits a un sistema operativo de 64 bits o viceversa puede producir un error con uno de los siguientes mensajes de error:

Los datos esperados no existen en este directorio.

No se puede realizar la restauración de la imagen incremental antes de realizar la restauración desde una imagen completa 0x8007010b (WIN32/HTTP:267)

El formato de base de datos cambia de la versión de 32 bits a la versión de 64 bits provoca incompatibilidades y se bloquea la restauración. Esto se parece al cambio de Windows 2000 a la CA de Windows Server 2003. Sin embargo, no hay ninguna ruta de actualización de una versión de 32 bits de Windows Server 2003 a una versión de 64 bits. Por lo tanto, no se puede mover una base de datos de 32 bits existente a una base de datos de 64 bits en un equipo basado en Windows Server 2003. Sin embargo, puedes actualizar desde la CA de Windows Server 2003 (que se ejecuta en Windows Server 2003 x86) a la CA de Windows Server 2008 R2 (que se ejecuta en Windows Server 2008 R2 x64). Esta actualización es compatible.

Una versión basada en x64 de Windows Server 2003 R2 CD2 solo actualiza versiones de 64 bits de Windows Server 2003 basadas en la arquitectura EM64T o en la arquitectura AMD64.

Copia de seguridad y restauración de las claves y la base de datos de la entidad de certificación

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.

  1. Tenga en cuenta las plantillas de certificado configuradas en la carpeta Plantillas de certificado del complemento Entidad de certificación. La configuración de plantillas de certificado se almacena en Active Directory. No se realiza una copia de seguridad automática. Debe configurar manualmente las opciones de plantillas de certificado en la nueva entidad de certificación para mantener el mismo conjunto de plantillas.

    Nota:

    La carpeta Plantillas de certificado solo existe en una entidad de certificación empresarial. Las CA independientes no usan plantillas de certificado. Por lo tanto, este paso no se aplica a una ENTIDAD de certificación independiente.

  2. Use el complemento Entidad de certificación para realizar copias de seguridad de la base de datos de entidad de certificación y la clave privada. Para ello, siga estos pasos:

    1. En el complemento Entidad de certificación, haga clic con el botón derecho en el nombre de la CA, haga clic en Todas las tareas y, a continuación, haga clic en Realizar copia de seguridad de la entidad de certificación para iniciar el Asistente para copia de seguridad de entidad de certificación.
    2. Haga clic en Siguientey, a continuación, haga clic en Clave privada y certificado de ENTIDAD de certificación.
    3. Haga clic en Base de datos de certificados y registro de base de datos de certificados.
    4. Use una carpeta vacía como ubicación de copia de seguridad. Asegúrese de que el nuevo servidor puede acceder a la carpeta de copia de seguridad.
    5. Haga clic en Next. Si la carpeta de copia de seguridad especificada no existe, el Asistente para copias de seguridad de entidad de certificación lo crea.
    6. Escriba y confirme una contraseña para el archivo de copia de seguridad de clave privada de ca.
    7. Haga clic en Siguiente y, a continuación, compruebe la configuración de copia de seguridad. Se debe mostrar la siguiente configuración:
      • Clave privada y certificado de ENTIDAD de certificación
      • Registro emitido y solicitudes pendientes
    8. Haga clic en Finalizar

  3. Guarde la configuración del Registro para esta entidad de certificación. Para ello, siga estos pasos:

    1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit en el cuadro Abriry, a continuación, haga clic en Aceptar.
    2. Busque y haga clic con el botón secundario en la siguiente subclave del Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Haz clic en Exportar.
    4. Guarde el archivo del Registro en la carpeta de copia de seguridad de CA que definió en el paso 2d.

    Nota:

    De forma predeterminada, Los servicios de certificados de Active Directory (AD CS) se configuran con extensiones de punto de distribución de lista de revocación de certificados (CRL) que incluyen el nombre de host del equipo de CA en la ruta de acceso. Esto significa que los certificados emitidos por la ENTIDAD de certificación antes de la migración pueden contener rutas de validación de certificados con el nombre de host anterior. Es posible que estas rutas de acceso ya no sean válidas después de la migración. Para evitar errores de comprobación de revocación, la nueva ENTIDAD de certificación debe configurarse para publicar CRL en las rutas de acceso antiguas (anteriores a la migración) y las nuevas rutas de acceso. Si tiene que eliminar la ca antigua de forma permanente, puede agregar un segundo nombre de equipo a la nueva ENTIDAD de certificación. Para poder hacerlo, el nombre del equipo anterior debe estar disponible en Active Directory. En este momento, puede agregar los puntos de distribución crL a la nueva CA.

  4. Compruebe el punto de distribución de CRL en la ca antigua. Estas opciones deben configurarse en la nueva ENTIDAD de certificación.

    1. Abra cmd.exe en la ca antigua.
    2. Escriba pkiview.
    3. Exporte la configuración.

  5. Quite Servicios de certificados del servidor anterior.

    Nota:

    En este paso se quitan objetos de Active Directory. No realice este paso fuera de orden. Si la eliminación de la CA de origen se realiza después de la instalación de la CA de destino (paso 7 de esta sección), la CA de destino se volverá inutilizable.

  6. Cambie el nombre del servidor anterior o desconecte de forma permanente de la red.

  7. Instale Servicios de certificados en el nuevo servidor. Para hacerlo, siga estos pasos.

    Nota:

    El nuevo servidor debe tener el mismo nombre de equipo que el servidor anterior.

    1. En Panel de control, haga doble clic en Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows, haga clic en Servicios de certificados en el Asistente para componentes de Windows y, a continuación, haga clic en Siguiente.
    3. En el cuadro de diálogo Tipo de CA, haga clic en el tipo de CA adecuado.
    4. Haga clic en Usar configuración personalizada para generar el par de claves y el certificado de ENTIDAD de certificación y, a continuación, haga clic en Siguiente.
    5. Haga clic en Importar, escriba la ruta de acceso de . Archivo P12 en la carpeta de copia de seguridad, escriba la contraseña que eligió en el paso 2f y, a continuación, haga clic en Aceptar.
    6. En el cuadro de diálogo Par de claves pública y privada, compruebe que Use existing keys (Usar claves existentes) está activada.
    7. Haga clic en Siguiente dos veces.
    8. Acepte la configuración predeterminada configuración predeterminada de la base de datos de certificados, haga clic en Siguientey, a continuación, haga clic en Finalizar para completar la instalación de Servicios de certificados.

    Importante

    Si el nuevo servidor tiene un nombre de equipo diferente, siga estos pasos:

    1. En Panel de control, haga doble clic en Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows, haga clic en Servicios de certificados en el Asistente para componentes de Windows y, a continuación, haga clic en Siguiente.
    3. En el cuadro de diálogo Tipo de CA, haga clic en el tipo de CA adecuado.
    4. Haga clic en Usar configuración personalizada para generar el par de claves y el certificado de ENTIDAD de certificación y, a continuación, haga clic en Siguiente.
    5. Haga clic en Importar, escriba la ruta de acceso de . Archivo P12 en la carpeta de copia de seguridad, escriba la contraseña que eligió en el paso 2f y, a continuación, haga clic en Aceptar.
    6. En el cuadro de diálogo Par de claves pública y privada, compruebe que Use existing keys (Usar claves existentes) está activada.
    7. Haga clic en Siguiente dos veces.
    8. Acepte la configuración predeterminada configuración predeterminada de la base de datos de certificados, haga clic en Siguientey, a continuación, haga clic en Finalizar para completar la instalación de Servicios de certificados.
    9. Modifique la clave del Registro exportada anteriormente en el paso 3 de la siguiente manera:
      1. Haga clic con el botón derecho en la clave exportada.
      2. Editar.
      3. Reemplace el valor CAServerName por el nuevo nombre del servidor.
      4. Guardar y cerrar.

  8. Detenga el servicio Servicios de certificados.

  9. Busque el archivo del Registro que guardó en el paso 3 y, a continuación, haga doble clic en él para importar la configuración del Registro. Si la ruta de acceso que se muestra en la exportación del Registro de la entidad de certificación antigua difiere de la nueva ruta de acceso, debe ajustar la exportación del registro en consecuencia. De forma predeterminada, la nueva ruta de acceso es C:\Windows en Windows Server 2003.

  10. Use el complemento Entidad de certificación para restaurar la base de datos de entidad de certificación. Para ello, siga estos pasos:

    1. En el complemento Entidad de certificación, haga clic con el botón derecho en el nombre de la ENTIDAD de certificación, haga clic en Todas las tareas y, a continuación, haga clic en Restaurar CA.

      Se inicia el Asistente para restaurar la entidad de certificación.

    2. Haga clic en Siguientey, a continuación, haga clic en Clave privada y certificado de ENTIDAD de certificación.

    3. Haga clic en Base de datos de certificados y registro de base de datos de certificados.

    4. Escriba la ubicación de la carpeta de copia de seguridad y, a continuación, haga clic en Siguiente.

    5. Compruebe la configuración de copia de seguridad. Se debe mostrar la configuración Registro emitido y Solicitudes pendientes.

    6. Haga clic en Finalizary, a continuación, haga clic en para reiniciar Servicios de certificados cuando se restaure la base de datos de CA.

    Puede recibir el siguiente error durante el proceso de ca de restauración si la carpeta de copia de seguridad de ca no está en el formato de estructura de carpetas correcto:

    ---------------------------
    Servicios de certificados de Microsoft
    ---------------------------

    Los datos esperados no existen en este directorio.
    Elija otro directorio. El nombre del directorio no es válido. 0x8007010b (WIN32/HTTP: 267)

    La estructura de carpetas correcta es la siguiente:

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    Donde C:\Ca_Backup es la carpeta que eligió durante la fase de ca de copia de seguridad en el paso 2.

  11. En el complemento Entidad de certificación, agregue o quite manualmente plantillas de certificado para duplicar la configuración plantillas de certificado que anotó en el paso 1.

Nota:

Si tiene problemas para publicar nuevas plantillas o las personalizadas, siga estos pasos.

  1. Desde un controlador de dominio dentro del bosque en el que ha migrado el rol de ENTIDAD de certificación inicia ADSI Edit.
  2. Haga clic con el botón derecho en ADSI Edit -> Connect to -> In Select a well known Naming Context choose Configuration - Ok (Seleccionar un contexto de nomenclatura conocido elija Configuración -> Aceptar).
  3. Vaya a CN=Configuration | CN=Services | CN=Servicios de clave pública | CN=Servicios de inscripción.
  4. Haga clic con el botón derecho en la ENTIDAD de certificación en el panel derecho desde el que desea inscribirse y haga clic en Propiedades. Busque el atributo flags y compruebe que está establecido en 10.
  5. Si no es así, establézcalo en 10 y espere o forzar manualmente la replicación de Active Directory.
  6. Cierre ADSI Edit y desde el servidor de CA asegúrese de que ahora puede publicar las nuevas plantillas.

Copia de seguridad y restauración de las claves y la base de datos de la entidad de certificación en Windows 2000 Server

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.

  1. Tenga en cuenta las plantillas de certificado configuradas en la carpeta Plantillas de certificado del complemento Entidad de certificación. La configuración de plantillas de certificado se almacena en Active Directory. No se realiza una copia de seguridad automática. Debe configurar manualmente las opciones de plantillas de certificado en la nueva entidad de certificación para mantener el mismo conjunto de plantillas.

    Nota:

    La carpeta Plantillas de certificado solo existe en una entidad de certificación empresarial. Las CA independientes no usan plantillas de certificado. Por lo tanto, este paso no se aplica a una ENTIDAD de certificación independiente.

  2. Use el complemento Entidad de certificación para realizar copias de seguridad de la base de datos de entidad de certificación y la clave privada. Para ello, siga estos pasos:

    1. En el complemento Entidad de certificación, haga clic con el botón derecho en el nombre de la CA, haga clic en Todas las tareas y, a continuación, haga clic en Realizar copia de seguridad de la entidad de certificación para iniciar el Asistente para copia de seguridad de entidad de certificación.
    2. Haga clic en Siguientey, a continuación, haga clic en Clave privada y certificado de ENTIDAD de certificación.
    3. Haga clic en Registro de certificados emitido y en cola de solicitudes de certificado pendientes.
    4. Use una carpeta vacía como ubicación de copia de seguridad. Asegúrese de que el nuevo servidor puede acceder a la carpeta de copia de seguridad.
    5. Haga clic en Next. Si la carpeta de copia de seguridad especificada no existe, el Asistente para copias de seguridad de entidad de certificación lo crea.
    6. Escriba y confirme una contraseña para el archivo de copia de seguridad de clave privada de ca.
    7. Haga clic en Siguiente dos veces y, a continuación, compruebe la configuración de copia de seguridad. Se debe mostrar la siguiente configuración:
      • Clave privada y certificado de ENTIDAD de certificación
      • Registro emitido y solicitudes pendientes
    8. Haga clic en Finalizar

  3. Guarde la configuración del Registro para esta entidad de certificación. Para ello, siga estos pasos:

    1. Haga clic en Inicio, Ejecutar, escriba regedit en el cuadro Abrir y, después, haga clic en Aceptar.
    2. Busque y, a continuación, haga clic con el botón derecho en la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Haga clic en Configuracióny, a continuación, haga clic en Exportar archivo del Registro en el menú Registro.
    4. Guarde el archivo del Registro en la carpeta de copia de seguridad de CA que definió en el paso 2d.

  4. Compruebe el punto de distribución de CRL en la ca antigua. Estas opciones deben configurarse en la nueva ENTIDAD de certificación.

    1. Abra cmd.exe en la ca antigua.
    2. Escriba pkiview.
    3. Exporte la configuración.

  5. Quite Servicios de certificados del servidor anterior.

    Nota:

    En este paso se quitan objetos de Active Directory. No realice este paso fuera de orden. Si la eliminación de la CA de origen se realiza después de la instalación de la CA de destino (paso 7 de esta sección), la CA de destino se volverá inutilizable.

  6. Cambie el nombre del servidor anterior o desconecte de forma permanente de la red.

  7. Instale Servicios de certificados en el nuevo servidor. Para hacerlo, siga estos pasos.

    Nota:

    El nuevo servidor debe tener el mismo nombre de equipo que el servidor anterior.

    1. En Panel de control, haga doble clic en Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows, haga clic en Servicios de certificados en el Asistente para componentes de Windows y, a continuación, haga clic en Siguiente.
    3. En el cuadro de diálogo Tipo de entidad de certificación, haga clic en el tipo de CA adecuado.
    4. Haga clic en Opciones avanzadas y, a continuación, haga clic en Siguiente.
    5. En el cuadro de diálogo Par de claves pública y privada, haga clic en Usar claves existentes y, a continuación, haga clic en Importar.
    6. Escriba la ruta de acceso de . Archivo P12 en la carpeta de copia de seguridad, escriba la contraseña que eligió en el paso 2f y, a continuación, haga clic en Aceptar.
    7. Haga clic en Siguiente, escriba una descripción de ca si procede y, a continuación, haga clic en Siguiente.
    8. Acepte la configuración predeterminada ubicación de almacenamiento de datos, haga clic en Siguiente y, a continuación, haga clic en Finalizar para completar la instalación de Servicios de certificados.

  8. Detenga el servicio Servicios de certificados.

  9. Busque el archivo del Registro que guardó en el paso 3 y, a continuación, haga doble clic en él para importar la configuración del Registro.

  10. Use el complemento Entidad de certificación para restaurar la base de datos de entidad de certificación. Para ello, siga estos pasos:

    1. En el complemento Entidad de certificación, haga clic con el botón derecho en el nombre de la ENTIDAD de certificación, haga clic en Todas las tareas y, a continuación, haga clic en Restaurar CA.

      Se inicia el Asistente para restaurar la entidad de certificación.

    2. Haga clic en Siguientey, a continuación, haga clic en Registro de certificados emitido y en cola de solicitudes de certificado pendientes.

    3. Escriba la ubicación de la carpeta de copia de seguridad y, a continuación, haga clic en Siguiente.

    4. Compruebe la configuración de copia de seguridad. Se debe mostrar la siguiente configuración:

      • Registro emitido
      • Solicitudes pendientes

    5. Haga clic en Finalizary, a continuación, haga clic en para reiniciar Servicios de certificados cuando se restaure la base de datos de CA.

  11. En el complemento Entidad de certificación, agregue o quite manualmente plantillas de certificado para duplicar la configuración plantillas de certificado que anotó en el paso 1.

Más información

Para obtener más información sobre los escenarios de actualización y migración para Windows Server 2003 y Windows Server 2008, vea las notas del producto "Guía de actualización y migración de Servicios de certificados de Active Directory". Para ver las notas del producto, consulte Guía de actualización y migración de Servicios de certificados de Active Directory.