Compartilhar via

Como mover uma autoridade de certificação para outro servidor

Este artigo descreve como mover uma autoridade de certificação (CA) para um servidor diferente.

Número original do KB: 298138

Observação

Este artigo se aplica ao Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. O suporte para o Windows 2000 terminou em 13 de julho de 2010. O Centro de Soluções de Fim de Suporte do Windows 2000 é um ponto de partida para planejar sua estratégia de migração do Windows 2000. O suporte para Windows 2008 e 2008 R2 terminou em 14 de janeiro de 2020. Para obter mais informações, consulte a Política de suporte do ciclo de vida da Microsoft.

Resumo

As autoridades de certificação (CAs) são o componente central da infraestrutura de chave pública (PKI) de uma organização. As CAs são configuradas para existir por muitos anos ou décadas, durante as quais o hardware que hospeda a CA provavelmente é atualizado.

Observação

Para mover uma autoridade de certificação de um servidor que está executando o Windows 2000 Server para um servidor que está executando o Windows Server 2003, você deve primeiro atualizar o servidor de autoridade de certificação que está executando o Windows 2000 Server para o Windows Server 2003. Em seguida, você pode seguir as etapas descritas neste artigo.

Certifique-se de que o %Systemroot% do servidor de destino corresponda ao %Systemroot% do servidor do qual o backup do estado do sistema é feito.

Você deve alterar o caminho dos arquivos de CA ao instalar os componentes do servidor de CA para que eles correspondam ao local do backup. Por exemplo, se você fizer backup da pasta D:\Winnt\System32\Certlog , deverá restaurar o backup para a pasta D:\Winnt\System32\Certlog . Não é possível restaurar o backup para a pasta C:\Winnt\System32\Certlog . Depois de restaurar o backup, você pode mover os arquivos de banco de dados da CA para o local padrão.

Se você tentar restaurar o backup e o %Systemroot% do backup e do servidor de destino não corresponderem, você poderá receber a seguinte mensagem de erro:

A restauração de uma imagem incremental não pode ser executada antes de executar a restauração de uma imagem completa. O nome do diretório é inválido. 0x8007010b (WIN32/HTTP:267)

A movimentação dos Serviços de Certificados de um sistema operacional de 32 bits para um sistema operacional de 64 bits ou vice-versa pode falhar com uma das seguintes mensagens de erro:

Os dados esperados não existem neste diretório.

A restauração da imagem incremental não pode ser executada antes de executar a restauração de uma 0x8007010b de imagem completa (WIN32/HTTP:267)

As alterações no formato do banco de dados da versão de 32 bits para a versão de 64 bits causam incompatibilidades e a restauração é bloqueada. Isso se assemelha à mudança do Windows 2000 para o Windows Server 2003 CA. No entanto, não há nenhum caminho de atualização de uma versão de 32 bits do Windows Server 2003 para uma versão de 64 bits. Portanto, você não pode mover um banco de dados de 32 bits existente para um banco de dados de 64 bits em um computador baseado no Windows Server 2003. No entanto, você pode atualizar da autoridade de certificação do Windows Server 2003 (em execução no Windows Server 2003 x86) para a autoridade de certificação do Windows Server 2008 R2 (em execução no Windows Server 2008 R2 x64). Esta atualização é suportada.

Uma versão baseada em x64 do Windows Server 2003 R2 CD2 atualiza apenas as versões de 64 bits do Windows Server 2003 baseadas na arquitetura EM64T ou na arquitetura AMD64.

Fazer backup e restaurar as chaves e o banco de dados da autoridade de certificação

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.

  1. Observe os modelos de certificado configurados na pasta Modelos de Certificado no snap-in Autoridade de Certificação. As configurações de Modelos de Certificado são armazenadas no Active Directory. Eles não são copiados automaticamente. Você deve definir manualmente as configurações de Modelos de Certificado na nova autoridade de certificação para manter o mesmo conjunto de modelos.

    Observação

    A pasta Modelos de Certificado existe apenas em uma autoridade de certificação corporativa. As autoridades de certificação autônomas não usam modelos de certificado. Portanto, essa etapa não se aplica a uma autoridade de certificação autônoma.

  2. Use o snap-in Autoridade de Certificação para fazer backup do banco de dados e da chave privada da autoridade de certificação. Para fazer isso, siga estas etapas:

    1. No snap-in Autoridade de Certificação, clique com o botão direito do mouse no nome da autoridade de certificação, clique em Todas as Tarefas e clique em Fazer backup da autoridade de certificação para iniciar o Assistente de Backup da Autoridade de Certificação.
    2. Clique em Avançar e, em seguida, clique em Chave privada e certificado de CA.
    3. Clique em Banco de dados de certificados e log do banco de dados de certificados.
    4. Use uma pasta vazia como local de backup. Certifique-se de que a pasta de backup possa ser acessada pelo novo servidor.
    5. Clique em Avançar. Se a pasta de backup especificada não existir, o Assistente de Backup da Autoridade de Certificação a criará.
    6. Digite e confirme uma senha para o arquivo de backup da chave privada da autoridade de certificação.
    7. Clique em Avançar e verifique as configurações de backup. As seguintes configurações devem ser exibidas:
      • Chave privada e certificado CA
      • Log emitido e solicitações pendentes
    8. Clique em Concluir.

  3. Salve as configurações do Registro para esta CA. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, clique em Executar, digite regedit na caixa Abrir e clique em OK.
    2. Localize e clique com o botão direito do mouse na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Clique em Exportar.
    4. Salve o arquivo de registro na pasta de backup da CA que você definiu na etapa 2d.

    Observação

    Por padrão, os Serviços de Certificados do Active Directory (AD CS) são configurados com extensões de Ponto de Distribuição de CRL (lista de certificados revogados) que incluem o nome do host do computador da autoridade de certificação no caminho. Isso significa que todos os certificados emitidos pela autoridade de certificação antes da migração podem conter caminhos de validação de certificado com o nome de host antigo. Esses caminhos podem não ser mais válidos após a migração. Para evitar erros de verificação de revogação, a nova autoridade de certificação deve ser configurada para publicar CRLs nos caminhos antigos (pré-migração) e nos novos caminhos. Se você precisar excluir a autoridade de certificação antiga permanentemente, poderá adicionar um segundo nome de computador à nova autoridade de certificação. Antes de fazer isso, o nome antigo do computador precisa estar disponível no Active Directory. Neste ponto, você pode adicionar os Pontos de Distribuição de CRL à nova CA.

  4. Verifique o Ponto de Distribuição de CRL na CA antiga. Essas configurações devem ser definidas na nova autoridade de certificação.

    1. Abra cmd.exe na CA antiga.
    2. Digite pkiview.
    3. Exporte a configuração.

  5. Remova os Serviços de Certificados do servidor antigo.

    Observação

    Esta etapa remove objetos do Active Directory. Não execute esta etapa fora de ordem. Se a remoção da autoridade de certificação de origem for executada após a instalação da autoridade de certificação de destino (etapa 7 nesta seção), a autoridade de certificação de destino se tornará inutilizável.

  6. Renomeie o servidor antigo ou desconecte-o permanentemente da rede.

  7. Instale os Serviços de Certificados no novo servidor. Para fazer isso, siga estas etapas:

    Observação

    O novo servidor deve ter o mesmo nome de computador que o servidor antigo.

    1. No Painel de Controle, clique duas vezes em Adicionar ou Remover Programas.
    2. Clique em Adicionar/Remover Componentes do Windows, clique em Serviços de Certificados no Assistente de Componentes do Windows e clique em Avançar.
    3. Na caixa de diálogo Tipo de CA, clique no tipo de CA apropriado.
    4. Clique em Usar configurações personalizadas para gerar o par de chaves e o certificado de autoridade de certificação e clique em Avançar.
    5. Clique em Importar, digite o caminho do arquivo . P12 na pasta de backup, digite a senha escolhida na etapa 2f e clique em OK.
    6. Na caixa de diálogo Par de chaves públicas e privadas, verifique se a opção Usar chaves existentes está marcada.
    7. Clique em Avançar duas vezes.
    8. Aceite as configurações padrão das Configurações do Banco de Dados de Certificados, clique em Avançar e em Concluir para concluir a instalação dos Serviços de Certificados.

    Importante

    Se o novo servidor tiver um nome de computador diferente, siga estas etapas:

    1. No Painel de Controle, clique duas vezes em Adicionar ou Remover Programas.
    2. Clique em Adicionar/Remover Componentes do Windows, clique em Serviços de Certificados no Assistente de Componentes do Windows e clique em Avançar.
    3. Na caixa de diálogo Tipo de CA, clique no tipo de CA apropriado.
    4. Clique em Usar configurações personalizadas para gerar o par de chaves e o certificado de autoridade de certificação e clique em Avançar.
    5. Clique em Importar, digite o caminho do arquivo . P12 na pasta de backup, digite a senha escolhida na etapa 2f e clique em OK.
    6. Na caixa de diálogo Par de chaves públicas e privadas, verifique se a opção Usar chaves existentes está marcada.
    7. Clique em Avançar duas vezes.
    8. Aceite as configurações padrão das Configurações do Banco de Dados de Certificados, clique em Avançar e em Concluir para concluir a instalação dos Serviços de Certificados.
    9. Modifique a chave do Registro exportada anteriormente na etapa 3 da seguinte forma:
      1. Clique com o botão direito do mouse na chave exportada.
      2. Editar.
      3. Substitua o valor CAServerName pelo novo nome do servidor.
      4. Salvar e Fechar.

  8. Interrompa o serviço de Serviços de Certificados.

  9. Localize o arquivo do Registro que você salvou na etapa 3 e clique duas vezes nele para importar as configurações do Registro. Se o caminho mostrado na exportação do Registro da CA antiga for diferente do novo caminho, você deverá ajustar a exportação do Registro de acordo. Por padrão, o novo caminho é C:\Windows no Windows Server 2003.

  10. Use o snap-in Autoridade de Certificação para restaurar o banco de dados da autoridade de certificação. Para fazer isso, siga estas etapas:

    1. No snap-in Autoridade de Certificação, clique com o botão direito do mouse no nome da autoridade de certificação, clique em Todas as Tarefas e clique em Restaurar Autoridade de Certificação.

      O Assistente de Restauração da Autoridade de Certificação é iniciado.

    2. Clique em Avançar e, em seguida, clique em Chave privada e certificado de CA.

    3. Clique em Banco de dados de certificados e log do banco de dados de certificados.

    4. Digite o local da pasta de backup e clique em Avançar.

    5. Verifique as configurações de backup. As configurações de Log emitido e Solicitações pendentes devem ser exibidas.

    6. Clique em Concluir e, em seguida, clique em Sim para reiniciar os Serviços de Certificados quando o banco de dados da autoridade de certificação for restaurado.

    Você pode receber o seguinte erro durante o processo de restauração da CA se a pasta de backup da CA não estiver no formato de estrutura de pastas correto:

    ---------------------------
    Serviços de Certificados Microsoft
    ---------------------------

    Os dados esperados não existem neste diretório.
    Escolha um diretório diferente. O nome do diretório é inválido. 0x8007010b (WIN32/HTTP: 267)

    A estrutura de pastas correta é a seguinte:

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Banco de dados\certbkxp.dat
    • C:\Ca_Backup\Banco de dados\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    Onde C:\Ca_Backup é a pasta escolhida durante a fase de CA de Backup na etapa 2.

  11. No snap-in Autoridade de Certificação, adicione ou remova manualmente modelos de certificado para duplicar as configurações de Modelos de Certificado que você anotou na etapa 1.

Observação

Se você encontrar problemas para publicar novos modelos ou modelos personalizados, siga as etapas abaixo.

  1. Em um Controlador de Domínio dentro da floresta para a qual você migrou a função CA, inicie a Edição ADSI.
  2. Clique com o botão direito do mouse em ADSI Editar -> Conectar a -> Em Selecione um contexto de nomenclatura conhecido, escolha Configuração -> Ok.
  3. Navegue até CN=Configuration | CN=Serviços | CN=Serviços de Chave Pública | CN=Serviços de Inscrição.
  4. Clique com o botão direito do mouse na CA no painel direito da qual você deseja se inscrever e clique em Propriedades. Localize o atributo flags e verifique se ele está definido como 10.
  5. Se não estiver, defina-o como 10 e aguarde ou force manualmente a replicação do Active Directory.
  6. Feche o ADSI Edit e, no servidor CA, verifique se agora você pode publicar seus novos modelos.

Fazer backup e restaurar as chaves e o banco de dados da autoridade de certificação no Windows 2000 Server

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.

  1. Observe os modelos de certificado configurados na pasta Modelos de Certificado no snap-in Autoridade de Certificação. As configurações de Modelos de Certificado são armazenadas no Active Directory. Eles não são copiados automaticamente. Você deve definir manualmente as configurações de Modelos de Certificado na nova autoridade de certificação para manter o mesmo conjunto de modelos.

    Observação

    A pasta Modelos de Certificado existe apenas em uma autoridade de certificação corporativa. As autoridades de certificação autônomas não usam modelos de certificado. Portanto, essa etapa não se aplica a uma autoridade de certificação autônoma.

  2. Use o snap-in Autoridade de Certificação para fazer backup do banco de dados e da chave privada da autoridade de certificação. Para fazer isso, siga estas etapas:

    1. No snap-in Autoridade de Certificação, clique com o botão direito do mouse no nome da autoridade de certificação, clique em Todas as Tarefas e clique em Fazer backup da autoridade de certificação para iniciar o Assistente de Backup da Autoridade de Certificação.
    2. Clique em Avançar e, em seguida, clique em Chave privada e certificado de CA.
    3. Clique em Log de certificado emitido e fila de solicitação de certificado pendente.
    4. Use uma pasta vazia como local de backup. Certifique-se de que a pasta de backup possa ser acessada pelo novo servidor.
    5. Clique em Avançar. Se a pasta de backup especificada não existir, o Assistente de Backup da Autoridade de Certificação a criará.
    6. Digite e confirme uma senha para o arquivo de backup da chave privada da autoridade de certificação.
    7. Clique em Avançar duas vezes e verifique as configurações de backup. As seguintes configurações devem ser exibidas:
      • Chave privada e certificado CA
      • Log emitido e solicitações pendentes
    8. Clique em Concluir.

  3. Salve as configurações do Registro para esta CA. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar e em Executar, digite regedit na caixa Abrir e clique em OK.
    2. Localize e clique com o botão direito do mouse na seguinte subchave do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Clique em Configuração e, em seguida, clique em Exportar Arquivo do Registro no menu Registro.
    4. Salve o arquivo de registro na pasta de backup da CA que você definiu na etapa 2d.

  4. Verifique o Ponto de Distribuição de CRL na CA antiga. Essas configurações devem ser definidas na nova autoridade de certificação.

    1. Abra cmd.exe na CA antiga.
    2. Digite pkiview.
    3. Exporte a configuração.

  5. Remova os Serviços de Certificados do servidor antigo.

    Observação

    Esta etapa remove objetos do Active Directory. Não execute esta etapa fora de ordem. Se a remoção da autoridade de certificação de origem for executada após a instalação da autoridade de certificação de destino (etapa 7 nesta seção), a autoridade de certificação de destino se tornará inutilizável.

  6. Renomeie o servidor antigo ou desconecte-o permanentemente da rede.

  7. Instale os Serviços de Certificados no novo servidor. Para fazer isso, siga estas etapas:

    Observação

    O novo servidor deve ter o mesmo nome de computador que o servidor antigo.

    1. No Painel de Controle, clique duas vezes em Adicionar/Remover Programas.
    2. Clique em Adicionar/Remover Componentes do Windows, clique em Serviços de Certificados no Assistente de Componentes do Windows e clique em Avançar.
    3. Na caixa de diálogo Tipo de Autoridade de Certificação, clique no tipo de autoridade de certificação apropriado.
    4. Clique em Opções Avançadas e, em seguida, clique em Avançar.
    5. Na caixa de diálogo Par de Chaves Públicas e Privadas , clique em Usar chaves existentes e clique em Importar.
    6. Digite o caminho do arquivo . P12 na pasta de backup, digite a senha escolhida na etapa 2f e clique em OK.
    7. Clique em Avançar, digite uma descrição de CA, se apropriado, e clique em Avançar.
    8. Aceite as configurações padrão do Local de Armazenamento de Dados, clique em Avançar e em Concluir para concluir a instalação dos Serviços de Certificados.

  8. Interrompa o serviço de Serviços de Certificados.

  9. Localize o arquivo do Registro que você salvou na etapa 3 e clique duas vezes nele para importar as configurações do Registro.

  10. Use o snap-in Autoridade de Certificação para restaurar o banco de dados da autoridade de certificação. Para fazer isso, siga estas etapas:

    1. No snap-in Autoridade de Certificação, clique com o botão direito do mouse no nome da autoridade de certificação, clique em Todas as Tarefas e clique em Restaurar Autoridade de Certificação.

      O Assistente de Restauração da Autoridade de Certificação é iniciado.

    2. Clique em Avançar e, em seguida, clique em Log de certificado emitido e fila de solicitação de certificado pendente.

    3. Digite o local da pasta de backup e clique em Avançar.

    4. Verifique as configurações de backup. As seguintes configurações devem ser exibidas:

      • Registro emitido
      • Solicitações pendentes

    5. Clique em Concluir e, em seguida, clique em Sim para reiniciar os Serviços de Certificados quando o banco de dados da autoridade de certificação for restaurado.

  11. No snap-in Autoridade de Certificação, adicione ou remova manualmente modelos de certificado para duplicar as configurações de Modelos de Certificado que você anotou na etapa 1.

Mais informações

Para obter mais informações sobre cenários de atualização e migração para o Windows Server 2003 e o Windows Server 2008, consulte o white paper "Guia de atualização e migração dos Serviços de Certificados do Active Directory". Para ver o white paper, consulte Guia de atualização e migração dos Serviços de Certificados do Active Directory.