Migrar a autoridade de certificação

A migração de uma Autoridade de Certificação (CA) garante a continuidade dos serviços de certificação da sua organização. Este guia fornece instruções passo a passo e práticas recomendadas para migrar com êxito uma autoridade de certificação. Ele abrange tarefas essenciais, como fazer backup do banco de dados e da chave privada da autoridade de certificação, remover o serviço de função da autoridade de certificação do servidor de origem e restaurar a autoridade de certificação no servidor de destino. Quer esteja a utilizar o snap-in da Autoridade de Certificação, o Windows PowerShell ou ferramentas de linha de comandos como o Certutil, este guia oferece passos detalhados adaptados a vários cenários de migração. Siga estas instruções para garantir um processo de migração suave e seguro.

Prerequisites

Antes de migrar sua Autoridade de Certificação (CA), verifique se os seguintes pré-requisitos foram atendidos.

Tem de ter:

• Acesso administrativo para os servidores de origem e de destino. Para autoridades de certificação corporativas, verifique se você é membro do grupo Administradores de Empresa ou Administradores de Domínio.
• Acesso a ferramentas como o snap-in da Autoridade de Certificação, PowerShell ou Certutil para executar backups e restaurações.
• Um local seguro e acessível para armazenar arquivos de backup. Certifique-se de que o local está protegido contra acesso não autorizado.
• Conectividade de rede entre os servidores de origem e de destino.
• Para agrupamento de failover:
  • Armazenamento compartilhado configurado e acessível.
  • Nós de cluster que estão configurados corretamente e as permissões são concedidas.

Ao preencher esses pré-requisitos, você pode garantir uma migração suave e segura de sua Autoridade de Certificação.

Perform backups

Antes de começar a migrar sua autoridade de certificação, você primeiro desejará fazer backup do:

• CA database
• Private key(s)
• Configurações do Registro da Autoridade Certificadora
• CAPolicy.inf file
• A lista de modelos de autoridades de certificação (necessária apenas para autoridades de certificação corporativas)

Antes de prosseguir com a remoção da função de autoridade de certificação, deve-se também publicar uma CRL com um prazo de validade estendido.

Fazer backup de um banco de dados de autoridade de certificação e de uma chave privada

Você pode fazer backup do banco de dados da autoridade de certificação e da chave privada usando o snap-in da Autoridade de Certificação, o PowerShell ou o Certutil. Conclua um dos procedimentos de backup descritos nesta seção enquanto estiver conectado à autoridade de certificação de origem.

Você deve usar uma conta que seja um administrador de autoridade de certificação. Em uma autoridade de certificação corporativa, a configuração padrão para administradores de autoridade de certificação inclui o grupo Administradores locais, o grupo Administradores de empresa e o grupo Administradores de domínio. Em uma autoridade de certificação autônoma, a configuração padrão para administradores de autoridade de certificação inclui o grupo Administradores local.

Note

Se um módulo de segurança de hardware (HSM) for usado pela autoridade de certificação, faça backup das chaves privadas seguindo os procedimentos fornecidos pelo fornecedor do HSM.

Depois de concluir as etapas de backup, o serviço Serviços de Certificados do Ative Directory (Certsvc) deve ser interrompido para impedir a emissão de mais certificados. Antes de adicionar o serviço de função de autoridade de certificação ao servidor de destino, o serviço de função de autoridade de certificação deve ser removido do servidor de origem.

Os arquivos de backup criados durante esses procedimentos devem ser armazenados no mesmo local para simplificar a migração. O local deve ser acessível a partir do servidor de destino.

Server Manager

As etapas a seguir descrevem como fazer backup do banco de dados da autoridade de certificação e da chave privada iniciando no Gerenciador do Servidor e usando o snap-in da Autoridade de Certificação.

1. Escolha um local de backup e anexe mídia, se necessário.

2. Faça logon na autoridade de certificação de origem.

3. From Server Manager, select Tools, then Certification Authority to open the snap-in.

4. Right-click the node with the CA name, point to All Tasks, and then select Back Up CA.

5. On the Welcome page of the CA Backup wizard, select Next.

6. Na página Itens para backup , marque as caixas de seleção Chave privada e certificado de autoridade de certificação e Banco de dados de certificados e Log de banco de dados de certificados , especifique o local de backup e selecione Avançar.

7. Na página Selecionar uma senha , digite uma senha para proteger a chave privada da autoridade de certificação e selecione Avançar.

8. Na página Concluindo o Assistente de Backup , selecione Concluir.

9. Após a conclusão do backup, verifique os seguintes arquivos no local especificado:

   • CAName.p12 containing the CA certificate and private key

   • Database folder containing files certbkxp.dat, edb#####.log, and CAName.edb

10. Abra uma janela do Prompt de Comando e digite net stop certsvc para parar o serviço Serviços de Certificados do Ative Directory.

11. Copie todos os arquivos de backup para um local acessível a partir do servidor de destino; por exemplo, um compartilhamento de rede ou mídia removível.

PowerShell

The following steps describe how to back up the CA database and private key by using the Backup-CARoleService cmdlet while logged on to the source CA.

1. Faça logon com credenciais administrativas locais no computador da autoridade de certificação.

2. Right- Windows PowerShell and select Run as Administrator.

3. Escreva o seguinte comando e prima ENTER:

   Backup-CARoleService –Path "BackupDirectoryPath"
   

4. O serviço deve ser interrompido para evitar a emissão de mais certificados. Escreva o seguinte comando e prima ENTER:

   Stop-Service -Name "certsvc"
   

5. Após a conclusão do backup, verifique os seguintes arquivos no local especificado:

   • CAName.p12 containing the CA certificate and private key

   • Database folder containing files certbkxp.dat, edb#####.log, and CAName.edb

6. Copie todos os arquivos de backup para um local acessível a partir do servidor de destino. Por exemplo, um compartilhamento de rede ou mídia removível.

Certutil

The following procedure describes the steps to back up the CA database and private key by using Certutil.exe while logged on to the source CA. Certutil.exe é um programa de linha de comando instalado como parte dos Serviços de Certificados. Você pode usar certutil.exe para exibir informações de configuração da autoridade de certificação (CA), configurar os Serviços de Certificados e fazer backup e restaurar componentes da autoridade de certificação.

1. Faça logon com credenciais administrativas locais no computador da autoridade de certificação.

2. Abra uma janela de comando.

3. Digite: certutil –backupdb BackupDirectory e pressione ENTER.

4. Digite certutil –backupkey BackupDirectory e pressione ENTER.

5. Digite uma senha no prompt e pressione ENTER. Você deve manter uma cópia da senha para acessar a chave durante a instalação da autoridade de certificação no servidor de destino.

6. Digite: net stop certsvc e pressione ENTER para interromper o serviço Serviços de Certificados do Ative Directory. O serviço deve ser interrompido para evitar a emissão de mais certificados.

7. Após a conclusão do backup, verifique os seguintes arquivos no local especificado:

   • CAName.p12 containing the CA certificate and private key

   • Database folder containing files certbkxp.dat, edb#####.log, and CAName.edb

8. Copie todos os arquivos de backup para um local acessível a partir do servidor de destino; por exemplo, um compartilhamento de rede ou mídia removível.

Fazer backup das configurações do Registro da autoridade de certificação

Conclua um dos procedimentos a seguir para fazer backup das configurações do Registro da autoridade de certificação.

Os arquivos criados durante o procedimento de backup devem ser armazenados no mesmo local que o banco de dados e os arquivos de backup de chave privada para simplificar a migração. A localização deve ser acessível a partir do servidor de destino; por exemplo, mídia removível ou uma pasta compartilhada no servidor de destino ou outro membro do domínio.

Você deve estar conectado à autoridade de certificação de origem usando uma conta que seja membro do grupo Administradores local.

Fazer backup das configurações do Registro da autoridade de certificação usando o Regedit.exe

1. Select Start, point to Run, and type regedit to open the Registry Editor.

2. In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc, right-click Configuration, and then select Export.

3. Specify a location and file name, and then select Save. Isso cria um ficheiro de registo contendo dados de configuração da autoridade de certificação de origem.

4. Copie o arquivo do Registro para um local acessível a partir do servidor de destino; por exemplo, uma pasta compartilhada ou mídia removível.

Fazer backup das configurações do Registro da autoridade de certificação usando o Reg.exe

1. Abra uma janela de comando.

2. Digite reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration<output file>.reg e pressione a tecla ENTER.

3. Copie o arquivo do Registro para um local acessível a partir do servidor de destino; por exemplo, uma pasta compartilhada ou mídia removível.

Fazer backup de CAPolicy.inf

Se a autoridade de certificação de origem estiver usando um arquivo CAPolicy.inf personalizado, copie o arquivo para o mesmo local dos arquivos de backup da autoridade de certificação de origem.

The CAPolicy.inf file is located in the %SystemRoot% directory, which is usually C:\Windows.

Fazer backup de uma lista de modelos de CA

Uma autoridade de certificação corporativa pode ter modelos de certificado atribuídos a ela. Você deve registar os modelos de certificados atribuídos antes de iniciar a migração da CA (autoridade de certificação). Não é feito backup das informações com o banco de dados da autoridade de certificação ou o backup das configurações do Registro. Isso ocorre porque os modelos de certificado e sua associação com CAs corporativas são armazenados no AD DS. Você precisará adicionar a mesma lista de modelos ao servidor de destino para concluir a migração da autoridade de certificação.

Note

É importante que os modelos de certificado atribuídos à autoridade de certificação de origem não sejam alterados após a conclusão deste procedimento.

You can determine the certificate templates assigned to a CA by using the Certification Authority snap-in or the Certutil.exe –catemplates command.

Registar uma lista de modelos de certificados de CA usando o snap-in Autoridade de Certificação

1. Faça logon com credenciais administrativas locais no computador da autoridade de certificação.

2. Abra o snap-in Autoridade de Certificação.

3. In the console tree, expand Certification Authority, and select Certificate Templates.

4. Registre a lista de modelos de certificado fazendo uma captura de tela ou digitando a lista em um arquivo de texto.

Gravar uma lista de modelos de autoridade de certificação usando Certutil.exe

1. Faça logon com credenciais administrativas locais no computador da autoridade de certificação.

2. Abra uma janela de comando.

3. Digite o seguinte comando e pressione ENTER.

   certutil.exe –catemplates > catemplates.txt
   

4. Verifique se o arquivo catemplates.txt contém a lista de modelos.

Note

Se nenhum modelo de certificado for atribuído à autoridade de certificação, o arquivo conterá uma mensagem de erro: 0x80070490 (Elemento não encontrado).

Publicar uma CRL com um período de validade alargado

Antes de iniciar a migração da autoridade de certificação, é uma boa prática publicar uma CRL com um período de validade que se estenda além do período de migração planejado. O período de validade da LCR deve ser, pelo menos, o período de tempo planeado para a migração. Isso é necessário para permitir que os processos de validação de certificado em computadores clientes continuem durante o período de migração.

Você deve publicar uma CRL com um período de validade estendido para cada autoridade de certificação que está sendo migrada. Este procedimento é particularmente importante para uma autoridade de certificação raiz devido ao número potencialmente grande de certificados que seriam afetados pela indisponibilidade de uma CRL.

Por padrão, o período de validade da CRL é igual ao período de publicação da CRL mais 10%. Depois de determinar um período de validade de CRL apropriado, defina o intervalo de publicação da CRL e publique manualmente a CRL concluindo os seguintes procedimentos: Agendar a publicação da lista de revogação de certificados e Publicar manualmente a lista de revogação de certificados.

Important

Registre o valor do período de publicação da CRL antes de alterá-lo. Após a conclusão da migração, o período de publicação da CRL deve ser redefinido para seu valor anterior. Os computadores clientes baixam uma nova CRL somente depois que o período de validade de uma CRL armazenada em cache local expira. Portanto, você não deve usar um período de validade de CRL excessivamente longo.

Remover o serviço de função de autoridade de certificação do servidor de origem

É importante remover o serviço de função de autoridade de certificação do servidor de origem depois de concluir os procedimentos de backup e antes de instalar o serviço de função de autoridade de certificação no servidor de destino. As Autoridades de Certificação Empresariais e Independentes que são membros do domínio armazenam nos Serviços de Domínio do Active Directory (AD DS) dados de configuração associados ao nome comum da autoridade de certificação. A remoção do serviço de função de autoridade de certificação também remove do AD DS os dados de configuração das autoridades de certificação. Como a autoridade de certificação de origem e a autoridade de certificação de destino compartilham o mesmo nome comum, remover o serviço de função de autoridade de certificação do servidor de origem depois de instalar o serviço de função de autoridade de certificação no servidor de destino remove os dados de configuração exigidos pela autoridade de certificação de destino e interfere em sua operação.

O banco de dados da autoridade de certificação, a chave privada e o certificado não são removidos do servidor de origem removendo o serviço de função da autoridade de certificação. Portanto, a reinstalação do serviço de função CA no servidor de origem restaura a autoridade de certificação de origem se a migração falhar e for necessária uma reversão.

Warning

Embora não seja recomendado, alguns administradores podem optar por manter o serviço de certificação instalado no servidor de origem para permitir que a autoridade de certificação de origem fique online rapidamente se a migração falhar. Se você optar por não remover o serviço de função de autoridade de certificação do servidor de origem antes de instalar o serviço de função de autoridade de certificação no servidor de destino, é importante desabilitar o serviço de serviços de certificados do Ative Directory (Certsvc) e desligar o servidor de origem antes de instalar o serviço de função de autoridade de certificação no servidor de destino. Não remova o serviço de função CA do servidor de origem depois de concluir a migração para o servidor de destino.

Para remover a função CA, use o Assistente para Remover Funções e Recursos no Gestor do Servidor.

1. From Server Manager, select Manage, then Remove Roles and Features.
2. Select Next in the wizard until you come to Server Roles.
3. Em Funções de Servidor, em Serviços de Certificados do Active Directory, desmarque a caixa de seleção Autoridade de Certificação.
4. Confirme se você também deseja remover recursos que exigem Autoridade de Certificação.
5. Select Next until you come to the Confirmation page. Then select Remove.
6. Confirme se a função foi removida com êxito.

Remover o servidor de origem do domínio

Como os nomes de computador devem ser exclusivos dentro de um domínio do Ative Directory, é necessário remover o servidor de origem de seu domínio e excluir a conta de computador associada do Ative Directory antes de ingressar o servidor de destino no domínio.

Conclua o procedimento a seguir para remover o servidor de origem do domínio.

Remover o servidor de origem do domínio usando o PowerShell

Use the Windows PowerShell cmdlet Remove-ADComputer to remove the computer account from AD DS.

Para remover um computador específico do Ative Directory, use o seguinte comando:

Remove-ADComputer -Identity "COMPUTER_IDENTITY"

O -Identity parâmetro é usado para especificar um objeto de computador do Ative Directory fornecendo um dos seguintes valores de propriedade: distinguished name, GA GUID (objectGUID), security identifier (objectSid) ou Security Accounts Manager account name (sAMAccountName).

Associar o servidor de destino ao domínio

Antes de associar o servidor de destino ao domínio, altere o nome do computador para o mesmo nome do servidor de origem. Em seguida, conclua o procedimento para associar o servidor de destino ao domínio.

Se o servidor de destino estiver sendo executado na opção de instalação Server Core, você deverá usar o procedimento de linha de comando.

Para renomear o servidor de destino, você deve ser membro do grupo Administradores local. Para unir o servidor ao domínio, deve ser membro dos grupos Domain Admins ou Enterprise Admins, ou ter permissões delegadas para unir o servidor de destino a uma unidade organizacional (UO) no domínio.

Important

Se você estiver migrando uma autoridade de certificação autônoma que não seja membro do domínio, conclua apenas as etapas para renomear o servidor de destino e não associe o servidor de destino ao domínio.

Associar o servidor de destino ao domínio usando o PowerShell

1. No servidor de destino, abra uma janela elevada do PowerShell.

2. Use the cmdlet Rename-Computer by typing:

   Rename-Computer -NewName "NEW_COMPUTER_NAME" -DomainCredential Domain01\Admin01 -Restart
   

3. Depois que o servidor de destino for reiniciado, faça logon usando uma conta que tenha permissão para associar computadores ao domínio.

4. Open an elevated PowerShell window, and use the cmdlet Add-Computer to add a computer to a domain.

   Add-Computer -DomainName Domain01 -Restart
   

Adicionar o serviço de função CA ao servidor de destino

Esta secção descreve dois procedimentos diferentes para adicionar o serviço de função CA ao servidor de destino, incluindo instruções especiais para utilizar o cluster de failover.

Analise as instruções a seguir para determinar quais procedimentos devem ser concluídos.

• If your destination server is running the Server Core installation option, you can use Windows PowerShell to install the CA using the cmdlet Install-AdcsCertificationAuthority.

• Se você estiver migrando para uma autoridade de certificação que usa um HSM, conclua os procedimentos Importar o certificado da autoridade de certificação e Adicionar o serviço de função da autoridade de certificação.

• Se estiver a migrar para uma autoridade de certificação que utiliza agrupamento de failover, os procedimentos para Importar o certificado da autoridade de certificação e Adicionar o serviço de funções da autoridade de certificação devem ser concluídos em cada nó do cluster. Depois que o serviço de função CA for adicionado a cada nó, pare o serviço Serviços de Certificados do Ative Directory (Certsvc). Confirme também que:

  • O armazenamento compartilhado usado pela autoridade de certificação está online e atribuído ao nó ao qual você está adicionando o serviço de função de autoridade de certificação.
  • O banco de dados e os arquivos de log da autoridade de certificação devem estar localizados no armazenamento compartilhado.

Importar o certificado da autoridade de certificação

Se você estiver adicionando o serviço de função de autoridade de certificação usando o Gerenciador do Servidor, conclua o procedimento a seguir para importar o certificado da autoridade de certificação.

Importar o certificado da autoridade de certificação

1. Inicie o snap-in Certificados para a conta do computador local.

2. Na árvore de console, clique duas vezes em Certificados (Computador Local) e selecione Pessoal.

3. On the Action menu, select All Tasks, and then select Import... to open the Certificate Import Wizard. Select Next.

4. Localize o <arquivo CAName.p12> criado pelo certificado da autoridade de certificação e o backup da chave privada na autoridade de certificação de origem e selecione Abrir.

5. Type the password, and select OK.

6. Selecione Colocar todos os certificados no repositório seguinte.

7. Verify Personal is displayed in Certificate store. If it isn't, select Browse, select Personal, select OK.

   Note

   Se você estiver usando um HSM de rede, conclua as etapas 8 a 10 para reparar a associação entre o certificado de CA importado e a chave privada armazenada no HSM. Caso contrário, selecione Concluir para finalizar o assistente e selecione OK para confirmar que o certificado foi importado com sucesso.

8. In the console tree, double-click Personal Certificates, and select the imported CA certificate.

9. On the Action menu, select Open. Select the Details tab, copy the serial number to the Clipboard, and then select OK.

10. Abra uma janela do Prompt de Comando, digite certutil –repairstore My"{Serialnumber}" e pressione ENTER.

Adicionar o serviço de função de autoridade de certificação

Se o servidor de destino for um membro do domínio, você deverá usar uma conta que seja membro do grupo Administradores do Domínio ou Administradores Corporativos para que o assistente de instalação acesse objetos no AD DS. Adicione o serviço de função CA usando o Gerenciador do Servidor ou o PowerShell.

Important

Se você fez um arquivo CAPolicy.inf de backup da autoridade de certificação de origem, revise as configurações e faça ajustes, se necessário. Copie o arquivo CAPolicy.inf para a pasta %windir% (C:\Windows por padrão) da autoridade de certificação de destino antes de adicionar o serviço de função de autoridade de certificação.

Para adicionar o serviço de função CA usando o Gerenciador do Servidor, siga estas etapas.

1. Faça logon no servidor de destino e inicie o Gerenciador do Servidor.

2. In the console tree, select Roles.

3. On the Action menu, select Add Roles.

4. Se a página Antes de Começar for exibida, selecione Avançar.

5. Na página Selecionar Funções de Servidor , marque a caixa de seleção Serviços de Certificados do Ative Directory e selecione Avançar.

6. Na página Introdução ao AD CS , selecione Avançar.

7. On the Role Services page, select the Certification Authority check box, and select Next.

   Note

   Se você planeja instalar outros serviços de função no servidor de destino, deve concluir a instalação da autoridade de certificação primeiro e, em seguida, instalar outros serviços de função separadamente. Os procedimentos de instalação para outros serviços de função do AD CS não estão descritos neste guia.

8. Na página Especificar Tipo de Instalação , especifique Enterprise ou Standalone, para corresponder à CA de origem, e selecione Next.

9. Na página Especificar tipo de autoridade de certificação , especifique a autoridade de certificação raiz ou a autoridade de certificação subordinada para corresponder à autoridade de certificação de origem e selecione Avançar.

10. Na página Configurar Chave Privada , selecione Usar chave privada existente e Selecionar um certificado e usar sua chave privada associada.

    Note

    Se um HSM for usado pela autoridade de certificação, selecione a chave privada seguindo os procedimentos fornecidos pelo fornecedor do HSM.

11. In the Certificates list, select the imported CA certificate, and then select Next.

12. On the CA Database page, specify the locations for the CA database and log files.

13. On the Confirmation page, review the messages, and then select Configure.

14. Se você estiver migrando para um cluster de failover, interrompa o serviço Serviços de Certificados do Ative Directory (Certsvc) e o serviço HSM se sua autoridade de certificação usar um HSM. Em seguida, repita os procedimentos para importar o certificado da autoridade de certificação e adicionar o serviço de função da autoridade de certificação em outros nós do cluster.

If you'd like to install the CA role service using PowerShell, use the Install-AdcsCertificationAuthority cmdlet.

Restaurar a CA

Agora é hora de começar a restaurar a autoridade de certificação. Restaure o banco de dados da autoridade de certificação, as configurações do registro da autoridade de certificação e a lista de modelos de certificado, se necessário.

Restaurar o banco de dados e a configuração da autoridade de certificação no servidor de destino

Os procedimentos nesta seção devem ser concluídos somente depois que o serviço de função de autoridade de certificação tiver sido instalado no servidor de destino.

Se você estiver migrando para um cluster de failover, adicione o serviço de função de autoridade de certificação a todos os nós de cluster antes de restaurar o banco de dados da autoridade de certificação. O banco de dados da autoridade de certificação deve ser restaurado em apenas um nó de cluster e deve estar localizado no armazenamento compartilhado.

A restauração do backup da autoridade de certificação de origem inclui as seguintes tarefas:

• Restaurar o banco de dados da autoridade de certificação de origem no servidor de destino
• Restaurar as configurações do Registro da autoridade de certificação de origem no servidor de destino
• Verifique as extensões de certificado na autoridade de certificação de destino
• Restaurar a lista de modelos de certificado (necessária apenas para autoridades de certificação corporativas)

Restaurar o banco de dados da autoridade de certificação de origem no servidor de destino

Esta seção descreve diferentes procedimentos para restaurar o backup do banco de dados da autoridade de certificação de origem no servidor de destino usando o snap-in da Autoridade de Certificação, o PowerShell ou o Certutil.

Se você estiver migrando para uma instalação Server Core, deverá usar o Certutil PowerShell. É possível gerenciar remotamente uma CA a funcionar numa instalação Server Core utilizando o snap-in Autoridade de Certificação e o Gestor de Servidores. No entanto, só é possível restaurar um banco de dados de autoridade de certificação remotamente usando o Windows PowerShell.

Se estiver migrando para um cluster de failover, certifique-se de que o armazenamento compartilhado esteja online e restaure a base de dados da autoridade de certificação em apenas um nó do cluster.

Server Manager

Para restaurar o banco de dados da autoridade de certificação, comece a partir do Gerenciador do Servidor e use o snap-in da Autoridade de Certificação para concluir estas etapas:

1. Inicie sessão no servidor de destino usando uma conta que seja administrador da autoridade de certificação.

2. Inicie o snap-in da Autoridade de Certificação.

3. Right-click the node with the CA name, point to All Tasks, and then select Restore CA.

4. On the Welcome page, select Next.

5. Na página Itens a Restaurar , selecione Banco de dados de certificados e log de banco de dados de certificados.

6. Select Browse. Navigate to the parent folder that holds the Database folder (the folder that contains the CA database files created during the CA database backup).

   Warning

   não selecione a pasta Banco de dados. Selecione a pasta principal.

7. Select Next and then select Finish.

8. Select Yes to start the CA service (certsvc).

PowerShell

Para restaurar somente o banco de dados da autoridade de certificação usando o Windows PowerShell, siga estas etapas:

1. Inicie sessão no servidor de destino usando uma conta que seja administrador da autoridade de certificação.

2. Right-click Windows PowerShell and select Run as Administrator.

3. Digite o seguinte comando para parar o serviço de autoridade de certificação e pressione ENTER:

   Stop-Service -Name "certsvc"
   

4. Escreva o seguinte comando e prima ENTER:

   Restore-CARoleService –Path "<CA Database Backup Directory>" -DatabaseOnly -Force
   

   Note

   O valor do CA Database Backup Directory é o diretório pai do diretório Database . Por exemplo, se os arquivos de backup do banco de dados da autoridade de certificação estiverem localizados em C:\Temp\Database, o valor do diretório de backup do banco de dados da autoridade de certificação será C:\Temp. Inclua o sinalizador de força porque um banco de dados de autoridade de certificação vazio já estará presente depois que você executar as etapas para adicionar o serviço de função de autoridade de certificação.

5. Digite o seguinte comando para reiniciar o serviço de autoridade de certificação e pressione ENTER:

   Start-Service -Name "certsvc"
   

Certutil

Para restaurar o banco de dados da autoridade de certificação usando Certutil.exe, execute estas etapas:

1. Inicie sessão no servidor de destino usando uma conta que seja administrador da autoridade de certificação.

2. Abra uma janela de comando.

3. Digite o seguinte comando para parar o serviço de autoridade de certificação e pressione ENTER: net stop certsvc

4. Digite certutil.exe -f -restoredb "CA Database Backup Directory" e pressione ENTER.

5. Digite o seguinte comando para reiniciar o serviço de autoridade de certificação e pressione ENTER: net start certsvc

Restaurar as configurações do Registro da autoridade de certificação de origem no servidor de destino

The CA configuration information is stored in the registry in: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Antes de importar as configurações do Registro da CA de origem para a CA de destino, certifique-se de criar um backup da configuração padrão do Registro da CA de destino. Certifique-se de executar essas etapas na autoridade de certificação de destino e nomeie o arquivo do Registro com um nome como "DefaultRegCfgBackup.reg" para evitar confusão.

Important

Alguns parâmetros do Registro devem ser migrados sem alterações do computador da autoridade de certificação de origem e alguns não devem ser migrados. Se forem migrados, deverão ser atualizados no sistema de destino após a migração, pois alguns valores estão associados à própria autoridade de certificação, enquanto outros estão associados ao ambiente de domínio, ao host físico, à versão do Windows ou a outros fatores que podem ser diferentes no sistema de destino.

Uma maneira sugerida de executar a importação de configuração do Registro é primeiro abrir o arquivo do Registro exportado da autoridade de certificação de origem em um editor de texto e analisá-lo para configurações que talvez precisem ser alteradas ou removidas.

Analise o arquivo do Registro

1. Clique com o botão direito do mouse no arquivo de texto .reg criado exportando as configurações da autoridade de certificação de origem.

2. Select Edit to open the file in a text editor.

3. Se o nome do computador da autoridade de certificação de destino for diferente do nome do computador da autoridade de certificação de origem, procure no arquivo o nome do host do computador da autoridade de certificação de origem. Para cada instância do nome de host encontrado, verifique se é o valor apropriado para o ambiente de destino. Altere o nome do host, se necessário. Update the CAServerName value.

4. Verifique todos os valores de registo que indiquem caminhos de ficheiros locais, para garantir que os nomes e caminhos das letras das unidades estejam corretos para a CA de destino. Se houver uma incompatibilidade entre a autoridade de certificação de origem e a de destino, atualize os valores no arquivo ou remova-os do arquivo para que as configurações padrão sejam preservadas na autoridade de certificação de destino.

Warning

Alguns valores do Registro estão associados à autoridade de certificação, enquanto outros estão associados ao ambiente de domínio, ao computador host físico, à versão do Windows ou até mesmo a outros serviços de função. Consequentemente, alguns parâmetros do Registro devem ser migrados sem alterações do computador da autoridade de certificação de origem e outros não. Qualquer valor que não esteja listado no arquivo de texto .reg restaurado na autoridade de certificação de destino mantém sua configuração existente ou valor padrão.

Remova todos os valores do Registro que você não deseja importar para a autoridade de certificação de destino. Depois que o arquivo de texto .reg for editado, ele poderá ser importado para a autoridade de certificação de destino. Ao importar as configurações do registro do servidor de origem para o servidor de destino, a configuração da autoridade de certificação de origem é migrada para o servidor de destino.

Importar o backup do registro da autoridade de certificação de origem na autoridade de certificação de destino

1. Faça logon no servidor de destino como membro do grupo Administradores local.

2. Abra uma janela de comando.

3. Digite net stop certsvc e pressione ENTER.

4. Digite reg import "Configurações do Registro Backup.reg" e pressione ENTER.

Editar as configurações do Registro da autoridade de certificação

1. Select Start, type regedit.exe in the Search programs and files box, and press ENTER to open the Registry Editor.

2. In the console tree, locate the key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration, and select Configuration.

3. In the details pane, double-click DBSessionCount.

4. Select Hexadecimal. In Value data, type 64, and then select OK.

5. Verifique se os locais especificados nas configurações a seguir estão corretos para o servidor de destino e altere-os conforme necessário para indicar o local do banco de dados e dos arquivos de log da autoridade de certificação.

   • DBDirectory

   • DBLogDirectory

   • DBSystemDirectory

   • DBTempDirectory

   Important

   Conclua as etapas 6 a 8 somente se o nome do servidor de destino for diferente do nome do servidor de origem.

6. In the console tree of the registry editor, expand Configuration, and select your CA name.

7. Modifique os valores das seguintes configurações do Registro substituindo o nome do servidor de origem pelo nome do servidor de destino.

   Note

   Na lista a seguir, os valores CACertFileName e ConfigurationDirectory são criados somente quando determinadas opções de instalação da autoridade de certificação são especificadas. Se essas duas configurações não forem exibidas, você poderá prosseguir para a próxima etapa.

   • CAServerName

   • CACertFileName

   • ConfigurationDirectory – Este valor deve aparecer no Registro do Windows no seguinte local: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

Verificar extensões de certificado na autoridade de certificação de destino

As etapas descritas para importar as configurações do Registro da autoridade de certificação de origem e editar o registro se houver uma alteração no nome do servidor destinam-se a manter os locais de rede que foram usados pela autoridade de certificação de origem para publicar CRLs e certificados de autoridade de certificação. Se a autoridade de certificação de origem tiver sido publicada em locais padrão do Active Directory, depois de concluir o procedimento anterior, há uma extensão com opções de publicação ativadas e uma URL LDAP que faz referência ao nome NetBIOS do servidor de origem; por exemplo, ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Como muitos administradores configuram extensões personalizadas para seu ambiente de rede, não é possível fornecer instruções exatas para configurar o ponto de distribuição de CRL e as extensões de acesso a informações de autoridade.

Analise cuidadosamente os locais configurados e as opções de publicação e verifique se as extensões estão corretas de acordo com os requisitos da sua organização.

Verificar extensões usando o snap-in da Autoridade de Certificação

1. Analise e modifique o ponto de distribuição da CRL e as extensões de acesso às informações da autoridade e as opções de publicação seguindo os procedimentos de exemplo descritos em Especificar pontos de distribuição da CRL (https://go.microsoft.com/fwlink/?LinkID=145848).

2. Se o nome do servidor de destino for diferente do nome do servidor de origem, adicione uma URL LDAP especificando um local que faça referência ao nome NetBIOS do servidor de destino com a variável <de substituição ServerShortName>, por exemplo ldap:///CN=\<CATruncatedName\>\<CRLNameSuffix\>,CN=\<ServerShortName\>,CN=CDP,CN=Public Key Services,CN=Services,\<ConfigurationContainer\>\<CDPObjectClass\>.

3. Certifique-se de que as opções de CDP estejam definidas para que a localização anterior da CDP não seja incluída na extensão CDP de certificados recém-emitidos ou na extensão Freshest CRL dos CRLs.

Restaurar a lista de modelos de certificado

O procedimento a seguir é necessário apenas para uma autoridade de certificação corporativa. Uma autoridade de certificação autônoma não tem modelos de certificado.

Atribuir modelos de certificado à autoridade de certificação de destino

1. Faça logon com credenciais administrativas na autoridade de certificação de destino.

2. Abra uma janela da linha de comandos.

3. Digite: certutil -setcatemplates + <templatelist> e pressione ENTER.

   Note

   Replace templatelist with a comma-separated list of the template names that are listed in the catemplates.txt file created during the procedure "To record a CA templates list by using Certutil.exe." For example, certutil -setcatemplates +Administrator,User,DomainController.

Conceder permissões em contêineres AIA e CDP

Se o nome do servidor de destino for diferente do servidor de origem, o servidor de destino deverá receber permissões nos contêineres CDP e AIA do servidor de origem no AD DS para publicar CRLs e certificados de CA. Conclua o procedimento a seguir se houver uma alteração no nome do servidor.

Atribuir permissões nos contenedores AIA e CDP

1. Inicie sessão como membro do grupo Admins de Empresa num computador onde o snap-in Sites e Serviços do Active Directory esteja instalado. Abra Sites e Serviços do Ative Directory (dssite.msc).

2. Na árvore de consola, selecione o nó superior.

3. On the View menu, select Show services node.

4. In the console tree, expand Services, expand Public Key Services, and then select AIA.

5. In the details pane, right-click the name of the CA, and then select Properties.

6. Select the Security tab, and then select Add.

7. Select Object Types, select Computers, and then select OK.

8. Type the name of the CA, and select OK.

9. In the Allow column, select Full Control, and select Apply.

10. The previous CA computer object is displayed (as Account Unknown with a security identifier following it) in Group or user names. Você pode remover essa conta. To do so, select it and then select Remove. Select OK.

11. In the console tree, expand CDP, and then select the folder with the same name as the CA.

12. In the details pane, right-click the CRLDistributionPoint item at the top of the list, and then select Properties.

13. Select the Security tab, and then select Add.

14. Select Object Types, select Computers, and then select OK.

15. Type the name of the destination server, and select OK.

16. In the Allow column, select Full Control, and select Apply.

17. The previous CA computer object is displayed (as Account Unknown with a security identifier following it) in Group or user names. Você pode remover essa conta. To do so, select it and then select Remove. select OK.

18. Repeat steps 13 through 18 for each CRLDistributionPoint item.

Note

Se você estiver usando a sintaxe file//\computer\share nas Extensões CDP para publicar a CRL em um local de pasta compartilhada, talvez seja necessário ajustar as permissões para essa pasta compartilhada para que a autoridade de certificação de destino tenha a capacidade de gravar nesse local. Se você estiver hospedando a CDP no servidor de destino e usando um caminho AIA ou CDP que inclua um nome de alias (por exemplo, pki.contoso.com) para o destino, talvez seja necessário ajustar o registro DNS para que ele aponte para o endereço IP de destino correto.

Procedimentos extra para cluster de falha

Se estiveres a migrar para um cluster de failover, conclui os procedimentos a seguir depois de as configurações do banco de dados e do registro da autoridade de certificação terem sido migradas para o servidor de destino.

• Configurar agrupamento de tolerância a falhas para a autoridade de certificação de destino
• Conceder permissões em contêineres de chave pública
• Editar o nome DNS de uma autoridade de certificação clusterizada no AD DS
• Configurar pontos de distribuição de CRL para clusters de failover

Configurar agrupamento de tolerância a falhas para a autoridade de certificação de destino

Se estiver a efectuar a migração para um conjunto de failover, conclua os seguintes procedimentos para configurar o conjunto de failover para o AD CS.

Configurar o AD CS como um recurso de cluster

1. Select Start, point to Run, type Cluadmin.msc, and then select OK.

2. Na árvore de console do snap-in Gerenciamento de Cluster de Failover, selecione Serviços e Aplicativos.

3. On the Action menu, select Configure a service or Application. Se a página Antes de começar for exibida, selecione Avançar.

4. In the list of services and applications, select Generic Service, and select Next.

5. Na lista de serviços, selecione Serviços de Certificados do Ative Directory e selecione Avançar.

6. Specify a service name, and select Next.

7. Select the disk storage that is still mounted to the node, and select Next.

8. To configure a shared registry hive, select Add, type SYSTEM\CurrentControlSet\Services\CertSvc, and then select OK. Select Next twice.

9. Select Finish to complete the failover configuration for AD CS.

10. Na árvore de console, clique duas vezes em Serviços e Aplicativos e selecione o serviço clusterizado recém-criado.

11. In the details pane, select Generic Service. On the Action menu, select Properties.

12. Change Resource Name to Certification Authority, and select OK.

Se você usar um módulo de segurança de hardware (HSM) para sua autoridade de certificação, conclua o procedimento a seguir.

Para criar uma dependência entre uma autoridade de certificação e o serviço HSM de rede

1. Abra o Cliente de Gerenciamento de Failover de Cluster. Na árvore de console, selecione Serviços e Aplicativos.

2. No painel de detalhes, selecione o nome criado anteriormente do serviço clusterizado.

3. On the Action menu, select Add a resource, and then select Generic Service.

4. In the list of available services displayed by the New Resource wizard, select the name of the service that was installed to connect to your network HSM. Select Next twice, and then select Finish.

5. Em Serviços e Aplicativos na árvore de console, selecione o nome dos serviços clusterizados.

6. In the details pane, select the newly created Generic Service. On the Action menu, select Properties.

7. On the General tab, change the service name if desired, and select OK. Verifique se o serviço está online.

8. In the details pane, select the service previously named Certification Authority. On the Action menu, select Properties.

9. On the Dependencies tab, select Insert, select the network HSM service from the list, and select OK.

Conceder permissões em contêineres de chave pública

Se você estiver migrando para um cluster de failover, conclua os procedimentos a seguir para conceder permissões a todos os nós de cluster nos seguintes contêineres do AD DS:

• O contentor AIA
• O contêiner de inscrição
• O contentor KRA

Conceder permissões em contêineres de chave pública no AD DS

1. Faça logon em um computador membro do domínio como membro do grupo Administradores do Domínio ou do grupo Administradores Corporativos.

2. Select Start, point to Run, type dssite.msc, and then select OK.

3. Na árvore de consola, selecione o nó superior.

4. On the View menu, select Show services node.

5. In the console tree, expand Services, then Public Key Services, and then select AIA.

6. In the details pane, right-click the name of the source CA, and then select Properties.

7. Select the Security tab, and then select Add.

8. Select Object Types, select Computers, and then select OK.

9. Type the computer account names of all cluster nodes, and select OK.

10. In the Allow column, select the Full Control check box next to each cluster node, and select OK.

11. In the console tree, select Enrollment Services.

12. In the details pane, right-click the name of the source CA, and then select Properties.

13. Select the Security tab, and then select Add.

14. Select Object Types, select Computers, and then select OK.

15. Type the computer account names of all cluster nodes, and select OK.

16. In the Allow column, select the Full Control check box next to each cluster node, and select OK.

17. In the console tree, select KRA.

18. In the details pane, right-click the name of the source CA, then select Properties.

19. Select the Security tab, and then select Add.

20. Select Object Types, select Computers, and then select OK.

21. Type the names of all cluster nodes, and select OK.

22. In the Allow column, select the Full Control check box next to each cluster node, and select OK.

Editar o nome DNS de uma autoridade de certificação clusterizada no AD DS

Quando o serviço de autoridade de certificação foi instalado no primeiro nó de cluster, o objeto Serviços de Registro foi criado e o nome DNS desse nó de cluster foi adicionado ao atributo dNSHostName do objeto Serviços de Registro. Como a autoridade de certificação deve operar em todos os nós de cluster, o valor do atributo dNSHostName do objeto Serviços de Registro deve ser o nome do serviço especificado na etapa 6 do procedimento "Para configurar o AD CS como um recurso de cluster".

Ao migrar para uma autoridade de certificação em cluster, conclua o procedimento a seguir no nó ativo do cluster. É necessário concluir o procedimento em apenas um nó de cluster.

Editar o nome DNS de uma autoridade de certificação clusterizada no AD DS

1. Faça logon no nó de cluster ativo como membro do grupo Administradores de Empresa.

2. Select Start, point to Run, type adsiedit.msc, and then select OK.

3. In the console tree, select ADSI Edit.

4. On the Action menu, select Connect to.

5. In the list of well-known naming contexts, select Configuration, and select OK.

6. In the console tree, expand Configuration, Services, and Public Key Services, and select Enrollment Services.

7. In the details pane, right-click the name of the cluster CA, and select Properties.

8. Select dNSHostName, and select Edit.

9. Digite o nome do serviço da CA conforme exibido em Gerenciador de Cluster de Failover no snap-in de Gerenciamento de Cluster de Failover e selecione OK.

10. Select OK to save changes.

Configurar pontos de distribuição de CRL para clusters de failover

Na configuração padrão de uma autoridade de certificação, o nome abreviado do servidor é usado como parte do ponto de distribuição da CRL e dos locais de acesso às informações da autoridade.

Quando uma autoridade de certificação está sendo executada em um cluster de failover, o nome abreviado do servidor deve ser substituído pelo nome abreviado do cluster no ponto de distribuição da CRL e nos locais de acesso às informações da autoridade. Para publicar a CRL no AD DS, o contêiner do ponto de distribuição da CRL deve ser adicionado manualmente.

Important

Os procedimentos a seguir devem ser executados no nó do cluster ativo.

Alterar os pontos de distribuição de CRL configurados

1. Aceda ao nó de cluster ativo como membro do grupo de Administradores local.

2. Select Start, select Run, type regedit, and then select OK.

3. Locate the registry key \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

4. Selecione o nome da autoridade de certificação.

5. In the right pane, double-click CRLPublicationURLs.

6. In the second line, replace %2 with the service name specified in step 6 of the procedure "To configure AD CS as a cluster resource."

   Tip

   O nome do serviço também aparece no snap-in Gerenciamento de Cluster de Failover em Serviços e Aplicativos.

7. Reinicie o serviço da autoridade de certificação.

8. Open a command prompt, type certutil -CRL, and press ENTER.

   Note

   Se uma mensagem de erro "Objeto de diretório não encontrado" for exibida, conclua o procedimento a seguir para criar o contêiner de ponto de distribuição de CRL no AD DS.

Criar o contêiner do ponto de distribuição da CRL no AD DS

1. At a command prompt, type cd %windir%\System32\CertSrv\CertEnroll, and press ENTER. O arquivo CRL criado pelo comando certutil –CRL deve estar localizado neste diretório.

2. Para publicar a CRL no AD DS, digite certutil -f -dspublish"CRLFile.crl" e pressione ENTER.

Next step

Depois de concluir os procedimentos para migrar a autoridade de certificação, você deve concluir os procedimentos descritos em Verificando a migração da autoridade de certificação.