Migrar a Autoridade de Certificação

A migração de uma AC (Autoridade de Certificação) garante a continuidade dos serviços de certificados da sua organização. Este guia fornece instruções passo a passo e práticas recomendadas para migrar com êxito uma AC. Ele abrange tarefas essenciais, como fazer backup do banco de dados da AC e da chave privada, remover o serviço de função de AC do servidor de origem e restaurar a AC no servidor de destino. Se você estiver usando o snap-in da Autoridade de Certificação, o Windows PowerShell ou as ferramentas de linha de comando, como o Certutil, este guia oferece etapas detalhadas adaptadas a vários cenários de migração. Siga estas instruções para garantir um processo de migração suave e seguro.

Prerequisites

Antes de migrar sua AC (Autoridade de Certificação), verifique se os pré-requisitos a seguir são atendidos.

Você deve ter:

• Acesso administrativo para os servidores de origem e de destino. Para CAs empresariais, verifique se você é membro do grupo Administradores corporativos ou administradores de domínio.
• Acesso a ferramentas como o snap-in da Autoridade de Certificação, o PowerShell ou o Certutil para executar backups e restaurações.
• Um local seguro e acessível para armazenar arquivos de backup. Verifique se o local está protegido contra acesso não autorizado.
• Conectividade de rede entre os servidores de origem e de destino.
• Para clustering de failover:
  • Armazenamento compartilhado configurado e acessível.
  • Nódulos do cluster estão configurados corretamente e têm as permissões concedidas.

Ao concluir esses pré-requisitos, você pode garantir uma migração tranquila e segura de sua Autoridade de Certificação.

Perform backups

Antes de começar a migrar sua autoridade de certificação, primeiro você desejará fazer backup do:

• CA database
• Private key(s)
• Configurações de Registro de Autoridade Certificadora
• CAPolicy.inf file
• A lista de modelos de Autoridades Certificadoras (necessária somente para Autoridades Certificadoras empresariais)

Antes de prosseguir com a remoção da função de autoridade de certificação, você também deve publicar uma CRL com um período de validade estendido.

Fazer backup de um banco de dados de autoridade de certificação e uma chave privada

Você pode fazer backup do banco de dados da AC e da chave privada usando o snap-in da Autoridade de Certificação, o PowerShell ou usando o Certutil. Conclua um dos procedimentos de backup descritos nesta seção durante o logon na AC de origem.

Você deve usar uma conta com privilégios de administrador de Autoridade Certificadora. Em uma AC corporativa, a configuração padrão para administradores de AC inclui o grupo administradores locais, o grupo Administradores Corporativos e o grupo Administradores de Domínio. Em uma autoridade de certificação autônoma, a configuração padrão para administradores de autoridade de certificação inclui o grupo Administradores local.

Note

Se um HSM (módulo de segurança de hardware) for usado pela AC, faça backup das chaves privadas seguindo os procedimentos fornecidos pelo fornecedor de HSM.

Depois de concluir as etapas de backup, o serviço Serviços de Certificados do Active Directory (Certsvc) deve ser interrompido para impedir a emissão de mais certificados. Antes de adicionar o serviço de função de AC ao servidor de destino, o serviço de função de AC deve ser removido do servidor de origem.

Os arquivos de backup criados durante esses procedimentos devem ser armazenados no mesmo local para simplificar a migração. O local deve ser acessível do servidor de destino.

Server Manager

As etapas a seguir descrevem como fazer backup do banco de dados da AC e da chave privada começando no Gerenciador do Servidor e usando o snap-in da Autoridade de Certificação.

1. Escolha um local de backup e anexe a mídia, se necessário.

2. Faça logon na autoridade de certificação de origem.

3. From Server Manager, select Tools, then Certification Authority to open the snap-in.

4. Right-click the node with the CA name, point to All Tasks, and then select Back Up CA.

5. On the Welcome page of the CA Backup wizard, select Next.

6. Na página Itens para Fazer Backup, selecione a chave privada e o certificado da autoridade certificadora e as caixas de seleção de banco de dados de certificado e log de banco de dados de certificado, especifique o local de backup e selecione Avançar.

7. Na página Selecionar uma Senha, digite uma senha para proteger a chave privada da AC e selecione Avançar.

8. Na página Concluir o Assistente de Backup , selecione Concluir.

9. Após a conclusão do backup, verifique os seguintes arquivos no local especificado:

   • CAName.p12 containing the CA certificate and private key

   • Database folder containing files certbkxp.dat, edb#####.log, and CAName.edb

10. Abra uma janela do Prompt de Comando e digite net stop certsvc para parar os Serviços de Certificados do Active Directory.

11. Copie todos os arquivos de backup para um local acessível do servidor de destino; por exemplo, um compartilhamento de rede ou mídia removível.

PowerShell

The following steps describe how to back up the CA database and private key by using the Backup-CARoleService cmdlet while logged on to the source CA.

1. Efetue o logon com credenciais administrativas locais no computador da CA.

2. Right- Windows PowerShell and select Run as Administrator.

3. Digite o comando a seguir e pressione ENTER:

   Backup-CARoleService –Path "BackupDirectoryPath"
   

4. O serviço deve ser interrompido para impedir a emissão de mais certificados. Digite o comando a seguir e pressione ENTER:

   Stop-Service -Name "certsvc"
   

5. Após a conclusão do backup, verifique os seguintes arquivos no local especificado:

   • CAName.p12 containing the CA certificate and private key

   • Database folder containing files certbkxp.dat, edb#####.log, and CAName.edb

6. Copie todos os arquivos de backup para um local acessível do servidor de destino. Por exemplo, um compartilhamento de rede ou mídia removível.

Certutil

The following procedure describes the steps to back up the CA database and private key by using Certutil.exe while logged on to the source CA. Certutil.exe é um programa de linha de comando instalado como parte dos Serviços de Certificados. Você pode usar certutil.exe para exibir informações de configuração da AC (autoridade de certificação), configurar os Serviços de Certificados e fazer backup e restaurar componentes de AC.

1. Efetue o logon com credenciais administrativas locais no computador da CA.

2. Abra uma janela de Prompt de Comando.

3. Digite: certutil –backupdb BackupDirectory e pressione ENTER.

4. Tipo certutil –backupkey BackupDirectory e pressione ENTER.

5. Digite uma senha no prompt e pressione ENTER. Você deve manter uma cópia da senha para acessar a chave durante a instalação da Autoridade Certificadora (AC) no servidor de destino.

6. Digite: net stop certsvc e pressione ENTER para interromper o serviço Serviços de Certificados do Active Directory. O serviço deve ser interrompido para impedir a emissão de mais certificados.

7. Após a conclusão do backup, verifique os seguintes arquivos no local especificado:

   • CAName.p12 containing the CA certificate and private key

   • Database folder containing files certbkxp.dat, edb#####.log, and CAName.edb

8. Copie todos os arquivos de backup para um local acessível do servidor de destino; por exemplo, um compartilhamento de rede ou mídia removível.

Fazer backup das configurações do Registro de Autoridade de Certificação

Conclua um dos procedimentos a seguir para fazer backup das configurações do Registro de Autoridade de Certificação.

Os arquivos criados durante o procedimento de backup devem ser armazenados no mesmo local que o banco de dados e os arquivos de backup de chave privada para simplificar a migração. O local deve estar acessível no servidor de destino; por exemplo, mídia removível ou uma pasta compartilhada no servidor de destino ou em outro membro do domínio.

Você deve estar logado à AC de origem usando uma conta que seja membro do grupo de Administradores locais.

Fazer backup das configurações do Registro de Autoridade de Certificação usando Regedit.exe

1. Select Start, point to Run, and type regedit to open the Registry Editor.

2. In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc, right-click Configuration, and then select Export.

3. Specify a location and file name, and then select Save. Isso cria um arquivo do Registro contendo os dados de configuração da autoridade de certificação de origem.

4. Copie o arquivo do Registro para um local acessível do servidor de destino; por exemplo, uma pasta compartilhada ou mídia removível.

Fazer backup das configurações do Registro de Autoridade de Certificação usando Reg.exe

1. Abra uma janela de Prompt de Comando.

2. Digite reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration<arquivo de saída>.reg e pressione Enter.

3. Copie o arquivo do Registro para um local acessível do servidor de destino; por exemplo, uma pasta compartilhada ou mídia removível.

Fazer backup do CAPolicy.inf

Se a AC de origem estiver usando um arquivo CAPolicy.inf personalizado, você deverá copiar o arquivo para o mesmo local que os arquivos de backup da AC de origem.

The CAPolicy.inf file is located in the %SystemRoot% directory, which is usually C:\Windows.

Fazer backup de uma lista de modelos de autoridade de certificação

Uma AC corporativa pode ter modelos de certificado atribuídos a ela. Você deve gravar os modelos de certificado atribuídos antes de iniciar a migração da CA. As informações não são compatíveis com o banco de dados de autoridade de certificação ou o backup de configurações do Registro. Isso ocorre porque os modelos de certificado e sua associação com as ACs empresariais são armazenados no AD DS. Você precisará adicionar a mesma lista de templates ao servidor de destino para concluir a migração do CA.

Note

É importante que os modelos de certificado atribuídos à AC de origem não sejam alterados após a conclusão deste procedimento.

You can determine the certificate templates assigned to a CA by using the Certification Authority snap-in or the Certutil.exe –catemplates command.

Registrar uma lista de modelos de autoridade de certificação usando o snap-in da Autoridade de Certificação

1. Efetue o logon com credenciais administrativas locais no computador da CA.

2. Abra o snap-in da Autoridade de Certificação.

3. In the console tree, expand Certification Authority, and select Certificate Templates.

4. Registre a lista de modelos de certificado usando uma captura de tela ou digitando a lista em um arquivo de texto.

Registrar uma lista de modelos de Certificado de Autenticidade (CA) usando Certutil.exe

1. Efetue o logon com credenciais administrativas locais no computador da CA.

2. Abra uma janela de Prompt de Comando.

3. Digite o comando a seguir e pressione ENTER.

   certutil.exe –catemplates > catemplates.txt
   

4. Verifique se o arquivo catemplates.txt contém a lista de modelos.

Note

Se nenhum modelo de certificado for atribuído à AC, o arquivo conterá uma mensagem de erro: 0x80070490 (Elemento não encontrado).

Publicar uma CRL com um período de validade estendido

Antes de começar a migrar a autoridade de certificação, é uma boa prática publicar uma CRL cujo período de validade vá além do período de migração planejado. O período de validade da CRL deve ser pelo menos o período de tempo planejado para a migração. Isso é necessário para permitir que os processos de validação de certificado em computadores cliente continuem durante o período de migração.

Você deve publicar uma CRL com período de validade estendido para cada autoridade de certificação que está sendo migrada. Esse procedimento é particularmente importante para uma AC raiz devido ao número potencialmente grande de certificados que seriam afetados pela indisponibilidade de uma CRL.

Por padrão, o período de validade da CRL é igual ao período de publicação da CRL acrescido de 10%. Depois de determinar um período de validade de CRL apropriado, defina o intervalo de publicação de CRL e publique manualmente a CRL concluindo os seguintes procedimentos: Agende a publicação da lista de revogação de certificados e publique manualmente a lista de revogação de certificados.

Important

Registre o valor do período de publicação da CRL antes de alterá-lo. Após a conclusão da migração, o período de publicação de CRL deve ser redefinido para seu valor anterior. Os computadores cliente baixam uma nova CRL somente após o período de validade de uma CRL armazenada em cache localmente expirar. Portanto, você não deve usar um período de validade da CRL que seja excessivamente longo.

Remover o serviço de função de autoridade de certificação do servidor de origem

É importante remover o serviço de função de AC do servidor de origem depois de concluir os procedimentos de backup e antes de instalar o serviço de função de AC no servidor de destino. CAs empresariais e CAs autônomas que são membros de domínio armazenam, em Active Directory Domain Services (AD DS), dados de configuração associados ao nome comum da CA. A remoção do serviço de função de autoridade de certificação também remove os dados de configuração de autoridades de certificação do AD DS. Como a AC de origem e a AC de destino compartilham o mesmo nome comum, remover o serviço de função de AC do servidor de origem depois de instalar o serviço de função de AC no servidor de destino remove os dados de configuração exigidos pela AC de destino e interfere em sua operação.

O banco de dados, a chave privada e o certificado da autoridade de certificação não são removidos do servidor de origem com a remoção do serviço de função Autoridade de Certificação. Portanto, reinstalar o serviço de função de autoridade de certificação no servidor de origem restaura a autoridade de certificação de origem se a migração falha e se é necessário executar uma reversão.

Warning

Embora não seja recomendável, alguns administradores podem optar por deixar o serviço de função de AC instalado no servidor de origem para permitir que a AC de origem seja colocada online rapidamente se a migração falhar. Se você optar por não remover o serviço de função de AC do servidor de origem antes de instalar o serviço de função de AC no servidor de destino, é importante desabilitar o serviço de Serviços de Certificados do Active Directory (Certsvc) e desligar o servidor de origem antes de instalar o serviço de função de AC no servidor de destino. Não remova o serviço de função de autoridade de certificação do servidor de origem depois de concluir a migração para o servidor de destino.

Para remover o serviço de função de autoridade de certificação, use o Assistente para Remover Funções e Recursos no Gerenciador do Servidor.

1. From Server Manager, select Manage, then Remove Roles and Features.
2. Select Next in the wizard until you come to Server Roles.
3. Em Funções de Servidor, em Serviços de Certificados do Active Directory, desmarque a caixa de seleção da Autoridade de Certificação.
4. Confirme se você também deseja remover recursos que exigem a Autoridade de Certificação.
5. Select Next until you come to the Confirmation page. Then select Remove.
6. Confirme se a função foi removida com êxito.

Remover o servidor de origem do domínio

Como os nomes de computador devem ser exclusivos em um domínio do Active Directory, é necessário remover o servidor de origem de seu domínio e excluir a conta de computador associada do Active Directory antes de ingressar o servidor de destino no domínio.

Conclua o procedimento a seguir para remover o servidor de origem do domínio.

Remover o servidor de origem do domínio usando o PowerShell

Use the Windows PowerShell cmdlet Remove-ADComputer to remove the computer account from AD DS.

Para remover um computador específico do Active Directory, use o seguinte comando:

Remove-ADComputer -Identity "COMPUTER_IDENTITY"

O -Identity parâmetro é usado para especificar um objeto de computador do Active Directory fornecendo um dos seguintes valores de propriedade: nome diferenciado, GUID de GA (objectGUID), identificador de segurança (objectSid) ou nome da conta do Gerenciador de Contas de Segurança (sAMAccountName).

Incluir o servidor de destino no domínio

Antes de conectar o servidor de destino ao domínio, mude o nome do computador para o mesmo nome do servidor de origem. Em seguida, conclua o procedimento para conectar o servidor de destino ao domínio.

Se o servidor de destino estiver em execução na opção de instalação Server Core, você deverá usar o procedimento de linha de comando.

Para renomear o servidor de destino, você deve ser um membro do grupo administradores local. Para adicionar o servidor ao domínio, você deve ser membro dos grupos Admins. do Domínio ou Administradores Corporativos ou ter permissões delegadas para adicionar o servidor de destino a uma UO (unidade organizacional) do domínio.

Important

Se você estiver migrando uma AC autônoma que não seja um membro de domínio, conclua apenas as etapas para renomear o servidor de destino e não ingresse o servidor de destino no domínio.

Ingresse o servidor de destino no domínio usando o PowerShell

1. No servidor de destino, abra uma janela elevada do PowerShell.

2. Use the cmdlet Rename-Computer by typing:

   Rename-Computer -NewName "NEW_COMPUTER_NAME" -DomainCredential Domain01\Admin01 -Restart
   

3. Depois que o servidor de destino for reiniciado, faça logon usando uma conta que tenha permissão para ingressar computadores no domínio.

4. Open an elevated PowerShell window, and use the cmdlet Add-Computer to add a computer to a domain.

   Add-Computer -DomainName Domain01 -Restart
   

Adicionar o serviço de função de autoridade certificadora ao servidor de destino

Esta seção descreve dois procedimentos diferentes para acrescentar o serviço de função de autoridade de certificação ao servidor de destino, incluindo instruções especiais de como usar o cluster de failover.

Examine as instruções a seguir para determinar que procedimentos devem ser executados.

• If your destination server is running the Server Core installation option, you can use Windows PowerShell to install the CA using the cmdlet Install-AdcsCertificationAuthority.

• Se você estiver migrando para uma AC que usa um HSM, conclua os procedimentos Importar o certificado de AC e adicionar o serviço de função de AC.

• Se você estiver migrando para uma autoridade de certificação que usa o clustering de failover, os procedimentos para Importar o certificado de autoridade de certificação e Adicionar o serviço de função de autoridade de certificação deverão ser concluídos em cada nó de cluster. Depois que o serviço de função de autoridade de certificação for adicionado a cada nó, interrompa o serviço Serviços de Certificados do Active Directory (Certsvc). Confirme também que:

  • O armazenamento compartilhado usado pela autoridade de certificação está online e atribuído ao nó ao qual você está adicionando o serviço de função de autoridade de certificação.
  • O banco de dados da AC e os arquivos de log devem estar localizados no armazenamento compartilhado.

Importar o certificado CA

Se você estiver adicionando o serviço de função de AC usando o Gerenciador de Servidores, conclua o procedimento a seguir para importar o certificado de AC.

Importar o certificado CA

1. Inicie o snap-in Certificados referente à conta de computador local.

2. Na árvore de console, clique duas vezes em Certificados (Computador Local) e selecione Pessoal.

3. On the Action menu, select All Tasks, and then select Import... to open the Certificate Import Wizard. Select Next.

4. Localize o <arquivo CAName.p12> criado pelo certificado da AC e o backup de chave privada na AC de origem e selecione Abrir.

5. Type the password, and select OK.

6. Selecione Colocar todos os certificados no repositório a seguir.

7. Verify Personal is displayed in Certificate store. If it isn't, select Browse, select Personal, select OK.

   Note

   Se você estiver usando um HSM de rede, conclua as etapas de 8 a 10 para reparar a associação entre o certificado de AC importado e a chave privada armazenada no HSM. Caso contrário, selecione Concluir para concluir o assistente e selecione OK para confirmar se o certificado foi importado com êxito.

8. In the console tree, double-click Personal Certificates, and select the imported CA certificate.

9. On the Action menu, select Open. Select the Details tab, copy the serial number to the Clipboard, and then select OK.

10. Abra uma janela do Prompt de Comando, digite certutil –repairstore My"{Serialnumber}" e pressione ENTER.

Adicionar o serviço de função de autoridade de certificação

Se o servidor de destino for um membro de domínio, você deverá usar uma conta que seja membro do grupo Administradores de Domínio ou Administradores Corporativos para que o assistente de instalação acesse objetos no AD DS. Adicione o Serviço de Função de CA via Gerenciador de Servidores ou PowerShell.

Important

Se você fez um arquivo CAPolicy.inf de backup da AC de origem, examine as configurações e faça ajustes, se necessário. Copie o arquivo CAPolicy inf na pasta %windir% (por padrão, C:\Windows) da autoridade de certificação de destino antes de adicionar o serviço de função de autoridade de certificação.

Para adicionar o serviço de função de CA usando o Gerenciador de Servidores, siga estas etapas.

1. Faça logon no servidor de destino e inicie o Gerenciador de Servidores.

2. In the console tree, select Roles.

3. On the Action menu, select Add Roles.

4. Se a página Antes de Começar for exibida, selecione Avançar.

5. Na página Selecionar Funções de Servidor , marque a caixa de seleção Serviços de Certificados do Active Directory e selecione Avançar.

6. Na página Introdução ao AD CS , selecione Avançar.

7. On the Role Services page, select the Certification Authority check box, and select Next.

   Note

   Se você planeja instalar outros serviços de função no servidor de destino, execute primeiro a instalação da autoridade de certificação e depois instale outros serviços de função separadamente. Os procedimentos de instalação para outros serviços de função do AD CS não são descritos neste guia.

8. Na página Especificar Tipo de Instalação , especifique Enterprise ou Autônomo, para corresponder à AC de origem e selecione Avançar.

9. Na página Especificar Tipo de AC , especifique a AC Raiz ou a AC Subordinada, para corresponder à AC de origem e selecione Avançar.

10. Na página Configurar Chave Privada , selecione Usar chave privada existente e Selecione um certificado e use sua chave privada associada.

    Note

    Se um HSM for usado pela AC, selecione a chave privada seguindo os procedimentos fornecidos pelo fornecedor de HSM.

11. In the Certificates list, select the imported CA certificate, and then select Next.

12. On the CA Database page, specify the locations for the CA database and log files.

13. On the Confirmation page, review the messages, and then select Configure.

14. Caso esteja migrando para um cluster de failover, interrompa o serviço Certsvc (Serviços de Certificados do Active Directory) e o serviço de HSM se a autoridade de certificação usar um HSM. Em seguida, repita os procedimentos para importar o certificado da CA e adicionar o serviço de função da CA em outros nós de cluster.

If you'd like to install the CA role service using PowerShell, use the Install-AdcsCertificationAuthority cmdlet.

Restaurar a autoridade de certificação

Agora é hora de começar a restaurar a autoridade de certificação. Restaure o banco de dados da AC, as configurações de registro da AC e a lista de modelos de certificado, se necessário.

Restaurar o banco de dados e a configuração da Autoridade Certificadora no servidor de destino

Os procedimentos nesta seção devem ser concluídos somente depois que o serviço de função de Autoridade Certificadora (AC) tiver sido instalado no servidor de destino.

Caso esteja migrando para um cluster de failover, adicione o serviço de função de autoridade de certificação a todos os nós de cluster antes de restaurar o banco de dados de autoridade de certificação. O banco de dados deve ser restaurado em apenas um nó do cluster e deve estar localizado no armazenamento compartilhado.

A restauração do backup da Autoridade de Certificação (AC) de origem inclui as seguintes tarefas:

• Restaurar o banco de dados CA de origem no servidor de destino
• Restaurar as configurações de registro da CA de origem no servidor de destino
• Verificar as extensões de certificado na autoridade de certificação de destino
• Restaurar a lista de modelos de certificado (necessária somente para CAs empresariais)

Restaurar o banco de dados CA de origem no servidor de destino

Esta seção descreve diferentes procedimentos para restaurar o backup do banco de dados de AC de origem no servidor de destino usando o snap-in da Autoridade de Certificação, o PowerShell ou o Certutil.

Se você estiver migrando para uma instalação do Server Core, deverá usar o Certutil PowerShell. É possível gerenciar remotamente uma AC em execução em uma instalação do Server Core usando o snap-in da Autoridade de Certificação e o Gerenciador de Servidores. No entanto, só é possível restaurar um banco de dados de Autoridade de Certificação remotamente usando o Windows PowerShell.

Caso esteja migrando para um cluster de failover, verifique se o armazenamento compartilhado está online e restaure o banco de dados de autoridade de certificação em apenas um nó de cluster.

Server Manager

Para restaurar o banco de dados da CA, inicie a partir do Gerenciador de Servidores e use o snap-in da Autoridade de Certificação para concluir estas etapas:

1. Acesse o servidor de destino usando uma conta que seja um administrador da Autoridade Certificadora.

2. Inicie o snap-in Autoridade de Certificação.

3. Right-click the node with the CA name, point to All Tasks, and then select Restore CA.

4. On the Welcome page, select Next.

5. Na página Itens para Restaurar , selecione o banco de dados de certificado e o log do banco de dados de certificado.

6. Select Browse. Navigate to the parent folder that holds the Database folder (the folder that contains the CA database files created during the CA database backup).

   Warning

   não selecione a pasta Banco de Dados. Selecione sua pasta principal.

7. Select Next and then select Finish.

8. Select Yes to start the CA service (certsvc).

PowerShell

Para restaurar apenas o banco de dados de AC usando o Windows PowerShell, siga estas etapas:

1. Acesse o servidor de destino usando uma conta que seja um administrador da Autoridade Certificadora.

2. Right-click Windows PowerShell and select Run as Administrator.

3. Digite o seguinte comando para interromper o serviço CA e pressione Enter:

   Stop-Service -Name "certsvc"
   

4. Digite o comando a seguir e pressione ENTER:

   Restore-CARoleService –Path "<CA Database Backup Directory>" -DatabaseOnly -Force
   

   Note

   O valor do Diretório de Backup do Banco de Dados da CA é o diretório pai do diretório de banco de dados. Por exemplo, se os arquivos de backup do banco de dados da AC estiverem localizados em C:\Temp\Database, o valor do Diretório de Backup do Banco de Dados da AC será C:\Temp. Inclua o sinalizador de força porque um banco de dados de AC vazio já estará presente depois que você executar as etapas para adicionar o serviço de função de AC.

5. Para reiniciar o serviço de autoridade de certificação, digite o comando a seguir e pressione ENTER:

   Start-Service -Name "certsvc"
   

Certutil

Para restaurar o banco de dados de autoridade de certificação usando Certutil.exe, siga estas etapas:

1. Acesse o servidor de destino usando uma conta que seja um administrador da Autoridade Certificadora.

2. Abra uma janela de Prompt de Comando.

3. Digite o seguinte comando para interromper o serviço da autoridade certificadora e pressione ENTER: net stop certsvc

4. Tipo certutil.exe -f -restoredb "CA Database Backup Directory" e pressione ENTER.

5. Para reiniciar o serviço de autoridade de certificação, digite o comando a seguir e pressione ENTER: net start certsvc

Restaurar as configurações de registro da CA de origem no servidor de destino

The CA configuration information is stored in the registry in: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Antes de importar as configurações do Registro da AC de origem para a AC de destino, crie um backup da configuração padrão do registro de AC de destino. Certifique-se de executar essas etapas na AC de destino e nomear o arquivo de registro como "DefaultRegCfgBackup.reg" para evitar confusão.

Important

Alguns parâmetros do registro devem ser migrados sem alterações do computador de CA de origem, e outros não devem ser migrados. Se forem migrados, eles deverão ser atualizados no sistema de destino após a migração porque alguns valores estão associados à ac em si, enquanto outros estão associados ao ambiente de domínio, ao host físico, à versão do Windows ou a outros fatores que podem ser diferentes no sistema de destino.

Uma maneira sugerida de executar a importação de configuração do Registro é primeiro abrir o arquivo do Registro exportado da AC de origem em um editor de texto e analisá-lo para as configurações que talvez precisem ser alteradas ou removidas.

Analisar o arquivo do Registro

1. Clique com o botão direito do mouse no arquivo de texto .reg criado exportando as configurações da AC de origem.

2. Select Edit to open the file in a text editor.

3. Se o nome do computador da AC de destino for diferente do nome do computador da AC de origem, pesquise no arquivo o nome do host do computador de ac de origem. Para cada instância do nome do host encontrado, verifique se ele é o valor apropriado para o ambiente de destino. Altere o nome do host, se necessário. Update the CAServerName value.

4. Verifique os valores do Registro que indiquem caminhos de arquivo locais, para garantir que os nomes e caminhos das letras da unidade estejam corretos para a autoridade de certificação de destino. Se houver uma incompatibilidade entre a origem e a AC de destino, atualize os valores no arquivo ou remova-os do arquivo para que as configurações padrão sejam preservadas na AC de destino.

Warning

Alguns valores do Registro são associados à Autoridade de Certificação, enquanto outros estão associados ao ambiente de rede de domínio, ao computador host físico, à versão do Windows ou até mesmo a outras funções de serviço. Consequentemente, alguns parâmetros do Registro devem ser migrados sem alterações do computador da autoridade de certificação de origem, enquanto outros não devem ser migrados. Qualquer valor que não esteja listado no arquivo de texto .reg restaurado na AC de destino mantém sua configuração existente ou valor padrão.

Remova os valores do Registro que você não deseja importar para a AC de destino. Depois que o arquivo de texto .reg for editado, ele poderá ser importado para a AC de destino. Ao importar as configurações de registro do servidor de origem de volta para o servidor de destino, a configuração da AC de origem é migrada para o servidor de destino.

Importar o backup do registro de AC de origem na AC de destino

1. Faça logon no servidor de destino como membro do grupo administradores local.

2. Abra uma janela de Prompt de Comando.

3. Digite net stop certsvc e pressione ENTER.

4. Digite reg import "Configurações do Registro Backup.reg" e pressione ENTER.

Editar as configurações do registro da CA

1. Select Start, type regedit.exe in the Search programs and files box, and press ENTER to open the Registry Editor.

2. In the console tree, locate the key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration, and select Configuration.

3. In the details pane, double-click DBSessionCount.

4. Select Hexadecimal. In Value data, type 64, and then select OK.

5. Verifique se os locais especificados nas configurações a seguir estão corretos para o servidor de destino e altere-os conforme necessário para indicar o local do banco de dados da AC e dos arquivos de log.

   • DBDirectory

   • DBLogDirectory

   • DBSystemDirectory

   • DBTempDirectory

   Important

   Conclua as etapas de 6 a 8 somente se o nome do servidor de destino for diferente do nome do servidor de origem.

6. In the console tree of the registry editor, expand Configuration, and select your CA name.

7. Modifique os valores das seguintes configurações do Registro substituindo o nome do servidor de origem pelo nome do servidor de destino.

   Note

   Na lista a seguir, os valores CACertFileName e ConfigurationDirectory são criados somente quando determinadas opções de instalação da AC são especificadas. Se essas duas configurações não forem exibidas, você poderá prosseguir para a próxima etapa.

   • CAServerName

   • CACertFileName

   • ConfigurationDirectory – Esse valor deve aparecer no Registro do Windows no seguinte local: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

Verificar extensões de certificado na autoridade de certificação de destino

As etapas descritas para importar as configurações de registro de AC de origem e editar o registro se houver uma alteração de nome de servidor destinam-se a manter os locais de rede que foram usados pela AC de origem para publicar CRLs e certificados de AC. Se a autoridade de certificação de origem tiver sido publicada em locais padrão do Active Directory, depois de concluir o procedimento anterior, deverá haver uma extensão com opções de publicação habilitadas e um URL LDAP que faça referência ao nome NetBIOS do servidor de origem; por exemplo, ldap:///CN=<CATruncatedName><CRLNameSuffix,CN>=<ServerShortName,CN>=CDP,CN=Public Key Services, CN=Services,<ConfigurationContainer><CDPObjectClass>.

Como muitos administradores configuram extensões personalizadas para seu ambiente de rede, não é possível fornecer instruções exatas para configurar extensões de acesso de informações de autoridade e ponto de distribuição de CRL.

Examine cuidadosamente os locais configurados e as opções de publicação e verifique se as extensões estão corretas de acordo com os requisitos da sua organização.

Verificar extensões usando o snap-in da Autoridade de Certificação

1. Revise e modifique o ponto de distribuição de CRL, as extensões de acesso à autoridade de informações e as opções de publicação, seguindo os procedimentos de exemplo descritos em Especificar Pontos de Distribuição de CRL (https://go.microsoft.com/fwlink/?LinkID=145848).

2. Se o nome do servidor de destino for diferente do nome do servidor de origem, adicione uma URL LDAP especificando um local que faça referência ao nome NetBIOS do servidor de destino com a variável <de substituição ServerShortName>; por exemplo ldap:///CN=\<CATruncatedName\>\<CRLNameSuffix\>,CN=\<ServerShortName\>,CN=CDP,CN=Public Key Services,CN=Services,\<ConfigurationContainer\>\<CDPObjectClass\>.

3. Verifique se as opções de CDP estão definidas para que o antigo local da CDP não seja incluído na extensão CDP de certificados recém-emitidos ou na extensão CRL mais recente de CRLs.

Restaurar a lista de modelos de certificado

O procedimento a seguir é necessário apenas para uma AC corporativa. Uma Autoridade Certificadora (AC) autônoma não possui templates de certificados.

Atribuir modelos de certificado à Autoridade Certificadora de destino

1. Faça logon com credenciais administrativas locais na autoridade de certificação de destino.

2. Abra uma janela do prompt de comando.

3. Digite: certutil -setcatemplates + <templatelist> e pressione ENTER.

   Note

   Replace templatelist with a comma-separated list of the template names that are listed in the catemplates.txt file created during the procedure "To record a CA templates list by using Certutil.exe." For example, certutil -setcatemplates +Administrator,User,DomainController.

Conceder permissões em contêineres AIA e CDP

Se o nome do servidor de destino for diferente do servidor de origem, o servidor de destino deverá receber permissões nos contêineres CDP e AIA do servidor de origem no AD DS para publicar CRLs e certificados de AC. Conclua o procedimento a seguir se houver uma alteração no nome do servidor.

Conceder permissões nos contêineres AIA e CDP

1. Faça logon como membro do grupo Administradores Corporativos em um computador no qual o snap-in Serviços e Sites do Active Directory esteja instalado. Abra sites e serviços do Active Directory (dssite.msc).

2. Na árvore de console, selecione o nó superior.

3. On the View menu, select Show services node.

4. In the console tree, expand Services, expand Public Key Services, and then select AIA.

5. In the details pane, right-click the name of the CA, and then select Properties.

6. Select the Security tab, and then select Add.

7. Select Object Types, select Computers, and then select OK.

8. Type the name of the CA, and select OK.

9. In the Allow column, select Full Control, and select Apply.

10. The previous CA computer object is displayed (as Account Unknown with a security identifier following it) in Group or user names. Você pode remover essa conta. To do so, select it and then select Remove. Select OK.

11. In the console tree, expand CDP, and then select the folder with the same name as the CA.

12. In the details pane, right-click the CRLDistributionPoint item at the top of the list, and then select Properties.

13. Select the Security tab, and then select Add.

14. Select Object Types, select Computers, and then select OK.

15. Type the name of the destination server, and select OK.

16. In the Allow column, select Full Control, and select Apply.

17. The previous CA computer object is displayed (as Account Unknown with a security identifier following it) in Group or user names. Você pode remover essa conta. To do so, select it and then select Remove. select OK.

18. Repeat steps 13 through 18 for each CRLDistributionPoint item.

Note

Se você estiver usando a sintaxe file//\computer\share nas Extensões CDP para publicar a CRL em um local de pasta compartilhada, talvez seja necessário ajustar as permissões para essa pasta compartilhada para permitir que a AC de destino possa gravar nesse local. Se você estiver hospedando o CDP no servidor de destino e usando um caminho AIA ou CDP que inclua um nome de alias (por exemplo, pki.contoso.com) para o destino, talvez seja necessário ajustar o registro DNS para que ele aponte para o endereço IP de destino correto.

Procedimentos extras para clustering de failover

Se você estiver migrando para um cluster de failover, conclua os procedimentos a seguir depois que o banco de dados da Autoridade Certificadora e as configurações do registro forem migrados para o servidor de destino.

• Configurar o clustering de failover para a autoridade de certificação de destino
• Conceder permissões em contêineres de chave pública
• Editar o nome DNS para uma Autoridade Certificadora agrupada no AD DS
• Configurar pontos de distribuição de CRL para clusters de failover

Configurar o clustering de failover para a autoridade de certificação de destino

Caso esteja migrando para um cluster de failover, conclua os procedimentos a seguir para configurar o clustering de failover para o AD CS.

Configurar o AD CS como um recurso de cluster

1. Select Start, point to Run, type Cluadmin.msc, and then select OK.

2. Na árvore de console do snap-in Gerenciamento de Cluster de Failover, selecione Serviços e Aplicativos.

3. On the Action menu, select Configure a service or Application. Se a página Antes de começar for exibida, selecione Avançar.

4. In the list of services and applications, select Generic Service, and select Next.

5. Na lista de serviços, selecione Serviços de Certificados do Active Directory e selecione Avançar.

6. Specify a service name, and select Next.

7. Select the disk storage that is still mounted to the node, and select Next.

8. To configure a shared registry hive, select Add, type SYSTEM\CurrentControlSet\Services\CertSvc, and then select OK. Select Next twice.

9. Select Finish to complete the failover configuration for AD CS.

10. Na árvore de console, clique duas vezes em Serviços e Aplicativos e selecione o serviço clusterizado recém-criado.

11. In the details pane, select Generic Service. On the Action menu, select Properties.

12. Change Resource Name to Certification Authority, and select OK.

Se você usar um módulo de segurança de hardware (HSM) para sua Autoridade Certificadora (AC), conclua o procedimento a seguir.

Para criar uma dependência entre uma autoridade de certificação e o serviço HSM de rede

1. Abra o snap-in Gerenciador de Cluster de Failover. Na árvore de console, selecione Serviços e Aplicativos.

2. No painel de detalhes, selecione o nome criado anteriormente do serviço clusterizado.

3. On the Action menu, select Add a resource, and then select Generic Service.

4. In the list of available services displayed by the New Resource wizard, select the name of the service that was installed to connect to your network HSM. Select Next twice, and then select Finish.

5. Em Serviços e Aplicativos na árvore de console, selecione o nome dos serviços clusterizados.

6. In the details pane, select the newly created Generic Service. On the Action menu, select Properties.

7. On the General tab, change the service name if desired, and select OK. Verifique se o serviço está online.

8. In the details pane, select the service previously named Certification Authority. On the Action menu, select Properties.

9. On the Dependencies tab, select Insert, select the network HSM service from the list, and select OK.

Conceder permissões em contêineres de chave pública

Se você estiver migrando para um cluster de failover, conclua os seguintes procedimentos para conceder permissões a todos os nós de cluster nos seguintes contêineres do AD DS:

• O contêiner do AIA
• O contêiner de matrícula
• O contêiner KRA

Conceder permissões em contêineres de chave pública no AD DS

1. Faça logon em um computador membro do domínio como membro do grupo Administradores de Domínio ou grupo administradores corporativos.

2. Select Start, point to Run, type dssite.msc, and then select OK.

3. Na árvore de console, selecione o nó superior.

4. On the View menu, select Show services node.

5. In the console tree, expand Services, then Public Key Services, and then select AIA.

6. In the details pane, right-click the name of the source CA, and then select Properties.

7. Select the Security tab, and then select Add.

8. Select Object Types, select Computers, and then select OK.

9. Type the computer account names of all cluster nodes, and select OK.

10. In the Allow column, select the Full Control check box next to each cluster node, and select OK.

11. In the console tree, select Enrollment Services.

12. In the details pane, right-click the name of the source CA, and then select Properties.

13. Select the Security tab, and then select Add.

14. Select Object Types, select Computers, and then select OK.

15. Type the computer account names of all cluster nodes, and select OK.

16. In the Allow column, select the Full Control check box next to each cluster node, and select OK.

17. In the console tree, select KRA.

18. In the details pane, right-click the name of the source CA, then select Properties.

19. Select the Security tab, and then select Add.

20. Select Object Types, select Computers, and then select OK.

21. Type the names of all cluster nodes, and select OK.

22. In the Allow column, select the Full Control check box next to each cluster node, and select OK.

Editar o nome DNS para uma Autoridade Certificadora agrupada no AD DS

Quando o serviço de AC foi instalado no primeiro nó de cluster, o objeto Serviços de Registro foi criado e o nome DNS desse nó de cluster foi adicionado ao atributo dNSHostName do objeto Enrollment Services. Como a AC deve operar em todos os nós de cluster, o valor do atributo dNSHostName do objeto Enrollment Services deve ser o nome do serviço especificado na etapa 6 do procedimento "Para configurar o AD CS como um recurso de cluster".

Se você estiver migrando para uma autoridade de certificação clusterizada, conclua o procedimento a seguir no nó de cluster ativo. É necessário executar o procedimento em apenas um nó do cluster.

Editar o nome DNS para uma Autoridade Certificadora agrupada no AD DS

1. Faça logon no nó do cluster ativo como um membro do grupo Administradores Corporativos.

2. Select Start, point to Run, type adsiedit.msc, and then select OK.

3. In the console tree, select ADSI Edit.

4. On the Action menu, select Connect to.

5. In the list of well-known naming contexts, select Configuration, and select OK.

6. In the console tree, expand Configuration, Services, and Public Key Services, and select Enrollment Services.

7. In the details pane, right-click the name of the cluster CA, and select Properties.

8. Select dNSHostName, and select Edit.

9. Digite o nome do serviço de autoridade de certificação conforme exibido no Gerenciamento de Cluster de Failover no snap-in do Gerenciador de Cluster de Failover e selecione OK.

10. Select OK to save changes.

Configurar pontos de distribuição de CRL para clusters de failover

Na configuração padrão de uma autoridade de certificação, o nome curto do servidor é utilizado como parte dos locais de ponto de distribuição de CRL e de acesso a informações de autoridade.

Quando uma autoridade de certificação está em execução em um cluster de failover, o nome curto do servidor deve ser substituído pelo nome curto do cluster nos locais de ponto de distribuição de CRL e de acesso a informações de autoridade. Para publicar a CRL no AD DS, o contêiner do ponto de distribuição CRL deve ser adicionado manualmente.

Important

Os procedimentos a seguir devem ser executados no nó do cluster ativo.

Alterar os pontos de distribuição de CRL configurados

1. Faça logon no nó do cluster ativo como um membro do grupo Administradores local.

2. Select Start, select Run, type regedit, and then select OK.

3. Locate the registry key \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

4. Selecione o nome da autoridade de certificação.

5. In the right pane, double-click CRLPublicationURLs.

6. In the second line, replace %2 with the service name specified in step 6 of the procedure "To configure AD CS as a cluster resource."

   Tip

   O nome de serviço também aparece no snap-in Gerenciamento de Cluster de Failover em Serviços e Aplicativos.

7. Reinicie o serviço CA.

8. Open a command prompt, type certutil -CRL, and press ENTER.

   Note

   Se uma mensagem de erro "Objeto de diretório não encontrado" for exibida, conclua o procedimento a seguir para criar o contêiner do ponto de distribuição crl no AD DS.

Criar o Contêiner do Ponto de Distribuição CRL no AD DS

1. At a command prompt, type cd %windir%\System32\CertSrv\CertEnroll, and press ENTER. O arquivo CRL criado pelo comando certutil –CRL deve estar localizado neste diretório.

2. Para publicar a CRL no AD DS, digite certutil -f -dspublish"CRLFile.crl" e pressione ENTER.

Next step

Depois de concluir os procedimentos para migrar a AC, você deve concluir os procedimentos descritos na Verificação da Migração da Autoridade de Certificação.