Condividi tramite

Come spostare un'autorità di certificazione in un altro server

Questo articolo descrive come spostare un'autorità di certificazione (CA) in un server diverso.

Numero KB originale: 298138

Note

Questo articolo si applica a Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. Il supporto per Windows 2000 è terminato il 13 luglio 2010. Il Centro soluzioni end-of-support di Windows 2000 è un punto di partenza per pianificare la strategia di migrazione da Windows 2000. Il supporto per Windows 2008 e 2008 R2 è terminato il 14 gennaio 2020. Per altre informazioni, vedere Ciclo di vita del supporto Microsoft.

Riepilogo

Le autorità di certificazione (CA) sono il componente centrale dell'infrastruttura a chiave pubblica (PKI) di un'organizzazione. Le CA sono configurate per esistere per molti anni o decenni, durante il quale l'hardware che ospita la CA è probabilmente aggiornato.

Note

Per spostare una CA da un server che esegue Windows 2000 Server a un server che esegue Windows Server 2003, è prima necessario aggiornare il server CA che esegue Windows 2000 Server a Windows Server 2003. È quindi possibile seguire i passaggi descritti in questo articolo.

Assicurarsi che % Systemroot% del server di destinazione corrisponda al %Systemroot% del server da cui viene eseguito il backup dello stato del sistema.

È necessario modificare il percorso dei file della CA quando si installano i componenti del server CA in modo che corrispondano al percorso del backup. Ad esempio, se si esegue il backup dalla cartella D:\Winnt\System32\Certlog , è necessario ripristinare il backup nella cartella D:\Winnt\System32\Certlog . Non è possibile ripristinare il backup nella cartella C:\Winnt\System32\Certlog . Dopo aver ripristinato il backup, è possibile spostare i file di database della CA nel percorso predefinito.

Se si tenta di ripristinare il backup e % Systemroot% del backup e il server di destinazione non corrispondono, è possibile che venga visualizzato il messaggio di errore seguente:

Non è possibile eseguire il ripristino di un'immagine incrementale prima di eseguire il ripristino da un'immagine completa. Il nome della directory non è valido. 0x8007010b (WIN32/HTTP:267)

Lo spostamento di Servizi certificati da un sistema operativo a 32 bit a un sistema operativo a 64 bit o viceversa può non riuscire con uno dei messaggi di errore seguenti:

I dati previsti non esistono in questa directory.

Non è possibile eseguire il ripristino dell'immagine incrementale prima di eseguire il ripristino da un'immagine completa 0x8007010b (WIN32/HTTP:267)

Il formato del database passa dalla versione a 32 bit alla versione a 64 bit causa incompatibilità e il ripristino viene bloccato. Questo è simile al passaggio da Windows 2000 a Windows Server 2003 CA. Non esiste tuttavia alcun percorso di aggiornamento da una versione a 32 bit di Windows Server 2003 a una versione a 64 bit. Pertanto, non è possibile spostare un database a 32 bit esistente in un database a 64 bit in un computer basato su Windows Server 2003. Tuttavia, è possibile eseguire l'aggiornamento dalla CA di Windows Server 2003 (in esecuzione in Windows Server 2003 x86) alla CA windows Server 2008 R2 (in esecuzione in Windows Server 2008 R2 x64). Questo aggiornamento è supportato.

Una versione basata su x64 di Windows Server 2003 R2 CD2 aggiorna solo le versioni a 64 bit di Windows Server 2003 basate sull'architettura EM64T o sull'architettura AMD64.

Eseguire il backup e il ripristino delle chiavi e del database dell'autorità di certificazione

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.

  1. Si notino i modelli di certificato configurati nella cartella Modelli di certificato nello snap-in Autorità di certificazione. Le impostazioni dei modelli di certificato vengono archiviate in Active Directory. Non viene eseguito automaticamente il backup. È necessario configurare manualmente le impostazioni dei modelli di certificato nella nuova CA per mantenere lo stesso set di modelli.

    Note

    La cartella Modelli di certificato esiste solo in una CA aziendale. Le ca autonome non usano modelli di certificato. Pertanto, questo passaggio non si applica a una CA autonoma.

  2. Usare lo snap-in Autorità di certificazione per eseguire il backup del database della CA e della chiave privata. A tale scopo, effettuare i passaggi seguenti:

    1. Nello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse sul nome della CA, scegliere Tutte le attività e quindi fare clic su Backup ca per avviare la Creazione guidata backup autorità di certificazione.
    2. Fare clic su Avanti e quindi su Chiave privata e certificato ca.
    3. Fare clic su Database certificato e log del database del certificato.
    4. Usare una cartella vuota come percorso di backup. Assicurarsi che la cartella di backup sia accessibile dal nuovo server.
    5. Fare clic su Avanti. Se la cartella di backup specificata non esiste, viene creata la Procedura guidata backup autorità di certificazione.
    6. Digitare e quindi confermare una password per il file di backup della chiave privata della CA.
    7. Fare clic su Avanti e quindi verificare le impostazioni di backup. Verranno visualizzate le impostazioni seguenti:
      • Chiave privata e certificato della CA
      • Log rilasciato e richieste in sospeso
    8. Fare clic su Fine.

  3. Salvare le impostazioni del Registro di sistema per questa CA. A tale scopo, effettuare i passaggi seguenti:

    1. Fare clic su Start, scegliere Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.
    2. Individuare e fare clic con il pulsante destro del mouse sulla seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Fare clic su esportare.
    4. Salvare il file del Registro di sistema nella cartella di backup della CA definita nel passaggio 2d.

    Note

    Per impostazione predefinita, Servizi certificati Active Directory è configurato con estensioni del punto di distribuzione CRL (Certificate Revocation List) che includono il nome host del computer CA nel percorso. Ciò significa che tutti i certificati rilasciati dalla CA prima della migrazione possono contenere percorsi di convalida dei certificati con il nome host precedente. Questi percorsi potrebbero non essere più validi dopo la migrazione. Per evitare errori di controllo delle revoche, la nuova CA deve essere configurata per pubblicare CRL nei percorsi precedenti (pre-migrazione) e nei nuovi percorsi. Se è necessario eliminare definitivamente la CA precedente, è possibile aggiungere un secondo nome computer alla nuova CA. Prima di poter eseguire questa operazione, il nome del computer precedente deve essere disponibile in Active Directory. A questo punto, è possibile aggiungere i punti di distribuzione CRL alla nuova CA.

  4. Controllare il punto di distribuzione CRL nella CA precedente. Queste impostazioni devono essere configurate nella nuova CA.

    1. Aprire cmd.exe nella CA precedente.
    2. Immetti pkiview.
    3. Esportare la configurazione.

  5. Rimuovere Servizi certificati dal server precedente.

    Note

    Questo passaggio rimuove gli oggetti da Active Directory. Non eseguire questo passaggio non in ordine. Se la rimozione della CA di origine viene eseguita dopo l'installazione della CA di destinazione (passaggio 7 in questa sezione), la CA di destinazione diventerà inutilizzabile.

  6. Rinominare il server precedente o disconnetterlo definitivamente dalla rete.

  7. Installare Servizi certificati nel nuovo server. A tale scopo, eseguire la procedura seguente.

    Note

    Il nuovo server deve avere lo stesso nome computer del server precedente.

    1. In Pannello di controllo fare doppio clic su Installazione applicazioni.
    2. Fare clic su Aggiungi/Rimuovi componenti di Windows, fare clic su Servizi certificati nella Creazione guidata componenti di Windows e quindi fare clic su Avanti.
    3. Nella finestra di dialogo Tipo CA fare clic sul tipo di CA appropriato.
    4. Fare clic su Usa impostazioni personalizzate per generare la coppia di chiavi e il certificato della CA e quindi fare clic su Avanti.
    5. Fare clic su Importa, digitare il percorso dell'oggetto . File P12 nella cartella di backup, digitare la password scelta nel passaggio 2f e quindi fare clic su OK.
    6. Nella finestra di dialogo Coppia di chiavi pubblica e privata verificare che l'opzione Usa chiavi esistenti sia selezionata.
    7. Fare clic su Avanti due volte.
    8. Accettare le impostazioni predefinite Impostazioni database certificati, fare clic su Avanti e quindi su Fine per completare l'installazione di Servizi certificati.

    Importante

    Se il nuovo server ha un nome computer diverso, seguire questa procedura:

    1. In Pannello di controllo fare doppio clic su Installazione applicazioni.
    2. Fare clic su Aggiungi/Rimuovi componenti di Windows, fare clic su Servizi certificati nella Creazione guidata componenti di Windows e quindi fare clic su Avanti.
    3. Nella finestra di dialogo Tipo CA fare clic sul tipo di CA appropriato.
    4. Fare clic su Usa impostazioni personalizzate per generare la coppia di chiavi e il certificato della CA e quindi fare clic su Avanti.
    5. Fare clic su Importa, digitare il percorso dell'oggetto . File P12 nella cartella di backup, digitare la password scelta nel passaggio 2f e quindi fare clic su OK.
    6. Nella finestra di dialogo Coppia di chiavi pubblica e privata verificare che l'opzione Usa chiavi esistenti sia selezionata.
    7. Fare clic su Avanti due volte.
    8. Accettare le impostazioni predefinite Impostazioni database certificati, fare clic su Avanti e quindi su Fine per completare l'installazione di Servizi certificati.
    9. Modificare la chiave del Registro di sistema esportata in precedenza nel passaggio 3, come indicato di seguito:
      1. Fare clic con il pulsante destro del mouse sulla chiave esportata.
      2. Modifica.
      3. Sostituire il valore CAServerName con il nuovo nome del server.
      4. Salva e chiudi.

  8. Arrestare il servizio Servizi certificati.

  9. Individuare il file del Registro di sistema salvato nel passaggio 3 e quindi fare doppio clic su di esso per importare le impostazioni del Registro di sistema. Se il percorso visualizzato nell'esportazione del Registro di sistema dalla CA precedente è diverso dal nuovo percorso, è necessario modificare di conseguenza l'esportazione del Registro di sistema. Per impostazione predefinita, il nuovo percorso è C:\Windows in Windows Server 2003.

  10. Usare lo snap-in Autorità di certificazione per ripristinare il database della CA. A tale scopo, effettuare i passaggi seguenti:

    1. Nello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse sul nome della CA, scegliere Tutte le attività e quindi fare clic su Ripristina CA.

      Viene avviata la Procedura guidata ripristino autorità di certificazione.

    2. Fare clic su Avanti e quindi su Chiave privata e certificato ca.

    3. Fare clic su Database certificato e log del database del certificato.

    4. Digitare il percorso della cartella di backup e quindi fare clic su Avanti.

    5. Verificare le impostazioni di backup. Verranno visualizzate le impostazioni Log e Richieste in sospeso.

    6. Fare clic su Fine e quindi su per riavviare Servizi certificati al ripristino del database della CA.

    Durante il processo di ripristino della CA è possibile che venga visualizzato l'errore seguente se la cartella di backup della CA non è nel formato corretto della struttura di cartelle:

    ---------------------------
    Servizi certificati Microsoft
    ---------------------------

    I dati previsti non esistono in questa directory.
    Scegliere una directory diversa. Il nome della directory non è valido. 0x8007010b (WIN32/HTTP: 267)

    La struttura di cartelle corretta è la seguente:

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    Dove C:\Ca_Backup è la cartella scelta durante la fase ca di backup nel passaggio 2.

  11. Nello snap-in Autorità di certificazione aggiungere o rimuovere manualmente modelli di certificato per duplicare le impostazioni dei modelli di certificato annotate nel passaggio 1.

Note

Se si verificano problemi durante la pubblicazione di nuovi modelli o personalizzati, seguire questa procedura.

  1. Da un controller di dominio all'interno della foresta in cui è stata eseguita la migrazione del ruolo CA avviare ADSI Edit.
  2. Fare clic con il pulsante destro del mouse su MODIFICA ADSI -> Connetti a -> In Selezionare un contesto di denominazione noto scegliere Configurazione -> Ok.
  3. Passare a CN=Configuration | CN=Services | CN=Public Key Services | CN=Enrollment Services.
  4. Fare clic con il pulsante destro del mouse sulla CA nel riquadro destro da cui si vuole eseguire la registrazione e scegliere Proprietà. Trovare l'attributo flags e verificare che sia impostato su 10.
  5. In caso contrario, impostarlo su 10 e attendere o forzare manualmente la replica di Active Directory.
  6. Chiudere ADSI Edit (Modifica ADSI) e dal server CA assicurarsi di poter pubblicare i nuovi modelli.

Eseguire il backup e ripristinare le chiavi e il database dell'autorità di certificazione in Windows 2000 Server

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.

  1. Si notino i modelli di certificato configurati nella cartella Modelli di certificato nello snap-in Autorità di certificazione. Le impostazioni dei modelli di certificato vengono archiviate in Active Directory. Non viene eseguito automaticamente il backup. È necessario configurare manualmente le impostazioni dei modelli di certificato nella nuova CA per mantenere lo stesso set di modelli.

    Note

    La cartella Modelli di certificato esiste solo in una CA aziendale. Le ca autonome non usano modelli di certificato. Pertanto, questo passaggio non si applica a una CA autonoma.

  2. Usare lo snap-in Autorità di certificazione per eseguire il backup del database della CA e della chiave privata. A tale scopo, effettuare i passaggi seguenti:

    1. Nello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse sul nome della CA, scegliere Tutte le attività e quindi fare clic su Backup ca per avviare la Creazione guidata backup autorità di certificazione.
    2. Fare clic su Avanti e quindi su Chiave privata e certificato ca.
    3. Fare clic su Log certificati emessi e coda di richieste di certificato in sospeso.
    4. Usare una cartella vuota come percorso di backup. Assicurarsi che la cartella di backup sia accessibile dal nuovo server.
    5. Fare clic su Avanti. Se la cartella di backup specificata non esiste, viene creata la Procedura guidata backup autorità di certificazione.
    6. Digitare e quindi confermare una password per il file di backup della chiave privata della CA.
    7. Fare clic su Avanti due volte e quindi verificare le impostazioni di backup. Verranno visualizzate le impostazioni seguenti:
      • Chiave privata e certificato della CA
      • Log rilasciato e richieste in sospeso
    8. Fare clic su Fine.

  3. Salvare le impostazioni del Registro di sistema per questa CA. A tale scopo, effettuare i passaggi seguenti:

    1. Fare clic su Start, Esegui, digitare regedit nella casella Apri, quindi fare clic su OK.
    2. Individuare e quindi fare clic con il pulsante destro del mouse sulla seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Fare clic su Configurazione e quindi su Esporta file del Registro di sistema dal menu Registro di sistema.
    4. Salvare il file del Registro di sistema nella cartella di backup della CA definita nel passaggio 2d.

  4. Controllare il punto di distribuzione CRL nella CA precedente. Queste impostazioni devono essere configurate nella nuova CA.

    1. Aprire cmd.exe nella CA precedente.
    2. Immetti pkiview.
    3. Esportare la configurazione.

  5. Rimuovere Servizi certificati dal server precedente.

    Note

    Questo passaggio rimuove gli oggetti da Active Directory. Non eseguire questo passaggio non in ordine. Se la rimozione della CA di origine viene eseguita dopo l'installazione della CA di destinazione (passaggio 7 in questa sezione), la CA di destinazione diventerà inutilizzabile.

  6. Rinominare il server precedente o disconnetterlo definitivamente dalla rete.

  7. Installare Servizi certificati nel nuovo server. A tale scopo, eseguire la procedura seguente.

    Note

    Il nuovo server deve avere lo stesso nome computer del server precedente.

    1. In Pannello di controllo fare doppio clic su Installazione applicazioni.
    2. Fare clic su Aggiungi/Rimuovi componenti di Windows, fare clic su Servizi certificati nella Creazione guidata componenti di Windows e quindi fare clic su Avanti.
    3. Nella finestra di dialogo Tipo autorità di certificazione fare clic sul tipo di CA appropriato.
    4. Fare clic su Opzioni avanzate e quindi su Avanti.
    5. Nella finestra di dialogo Coppia di chiavi pubblica e privata fare clic su Usa chiavi esistenti e quindi su Importa.
    6. Digitare il percorso dell'oggetto . File P12 nella cartella di backup, digitare la password scelta nel passaggio 2f e quindi fare clic su OK.
    7. Fare clic su Avanti, digitare una descrizione ca, se appropriato, quindi fare clic su Avanti.
    8. Accettare le impostazioni predefinite Percorso archiviazione dati, fare clic su Avanti e quindi su Fine per completare l'installazione di Servizi certificati.

  8. Arrestare il servizio Servizi certificati.

  9. Individuare il file del Registro di sistema salvato nel passaggio 3 e quindi fare doppio clic su di esso per importare le impostazioni del Registro di sistema.

  10. Usare lo snap-in Autorità di certificazione per ripristinare il database della CA. A tale scopo, effettuare i passaggi seguenti:

    1. Nello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse sul nome della CA, scegliere Tutte le attività e quindi fare clic su Ripristina CA.

      Viene avviata la Procedura guidata ripristino autorità di certificazione.

    2. Fare clic su Avanti e quindi su Log certificati emessi e coda di richieste di certificato in sospeso.

    3. Digitare il percorso della cartella di backup e quindi fare clic su Avanti.

    4. Verificare le impostazioni di backup. Verranno visualizzate le impostazioni seguenti:

      • Log rilasciato
      • Richieste in sospeso

    5. Fare clic su Fine e quindi su per riavviare Servizi certificati al ripristino del database della CA.

  11. Nello snap-in Autorità di certificazione aggiungere o rimuovere manualmente modelli di certificato per duplicare le impostazioni dei modelli di certificato annotate nel passaggio 1.

Ulteriori informazioni

Per altre informazioni sugli scenari di aggiornamento e migrazione per Windows Server 2003 e Windows Server 2008, vedere il white paper "Guida all'aggiornamento e alla migrazione di Servizi certificati Active Directory". Per visualizzare il white paper, vedere Guida alla migrazione e all'aggiornamento di Servizi certificati Active Directory.