Canviar Entitat Certificadora arrel de Windows

26 Octubre 2014
Josep Ma Solanes 0

Cada cop és més habitual i necessari disposar d’una infraestructura PKI (Public Key Infrastructure) pròpia per protegir els serveis de la nostra xarxa empresarial.

En aquesta entrada no aprofundiré sobre la infraestructura PKI. Estic preparant una entrada explicativa sobre l’ús dels certificats en la nostra infraestructura, ja sigui per a servidors com per a usuaris, per intentar aportar una mica de llum a tot plegat.

L’objectiu d’aquesta entrada és canviar una entitat certificadora arrel integrada en Active Directory en Microsoft Windows 2012 a un altre servidor Microsoft Windows 2012 R2. Mantenint els certificats emesos, és clar.

Què passa quan el servidor on resideix aquesta entitat arrel s’ha d’actualitzar o canviar?

L’Entitat Certificadora és un servei més que corre a la nostra xarxa i del que ens recordem d’ell quan s’ha de crear un nou certificat o ha caducat el d’un servei. Per la seva naturalesa és un servei crític en temes de seguretat, ja què d’ell depèn el xifrat de molts serveis que s’utilitzen diàriament, i com a tal, no és trivial fer una actuació sobre la mateixa. Vaja, que no hi ha una fórmula de copiar i enganxar l’entitat en un altre servidor.

 

Còpia de seguretat de l’Entitat Certificadora

El primer que cal fer és una còpia de seguretat de l’actual Entitat Certificadora. Per fer-ho, cal anar a Eines Administratives > Entitat de certificació.

Entitat Certificadora - Eines administratives

Accedint a la gestió de l’Entitat Certificadora, botó dret damunt la mateixa, seleccionar Todas las tareas > Realizar copia de seguridad de la entidad de certificación

Entitat Certificadora - Còpia de seguretat

S’inicia un assistent per fer la còpia de seguretat de l’Entitat Certificadora. Clicar Siguiente.

Entitat Certificadora

Seleccionar els elements a fer la còpia de seguretat. Com que es vol canviar de servidor l’Entitat Certificadora, seleccionar-ho tot i indicar la ruta del fitxer de còpia de seguretat. Clicar Siguiente.

Entitat Certificadora

Indicar una contrasenya pel fitxer de còpia de seguretat. Clicar Siguiente.

Entitat Certificadora

Resum de les accions a dur a terme. Clicar Finalizar.

Entitat Certificadora

Esperar a que faci la còpia de seguretat.

Entitat Certificadora

També és molt important exportar la clau de registre de l’Entitat Certificadora. Obrir l’editor de registre: INICI > Executar > regedit

Entitat Certificadora

Acceptar que l’aplicació tingui permisos per fer canvis en l’equip. Clicar Si.

Entitat Certificadora

Localitzar la clau de registre de l’Entitat Certificadora:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSrv\Configuration\

Nom de l’entitat certificadora

Entitat Certificadora

Botó dret damunt la carpeta amb el nom de l’entitat certificadora, seleccionar Exportar.

Entitat Certificadora

Indicar la ruta i el nom del fitxer on guardar la configuració

Entitat Certificadora

Copiar els tres fitxers que s’han generat: còpia de seguretat de l’Entitat Certificadora (carpeta Database), còpia del certificat de l’Entitat Certificadora (extensió .p12) i la còpia del registre; al nou servidor.

Entitat Certificadora

 

Eliminar l’Entitat Certificadora

Amb la còpia de seguretat en un lloc segur, es pot procedir a destruir l’actual Entitat Certificadora (No, no poden coexistir les dues i per tant, cal anar amb peus de plom per fer aquesta operació).

Des de l’Administrador del servidor, seleccionar el menú Administrar > Quitar roles y funciones.

Entitat Certificadora

Marcar Seleccionar un servidor del grupo de servidores. Clicar Siguiente.

Entitat Certificadora

Desmarcar del rol Servicios de certificados de Active Directory, l’opció Inscripción web de entidad de certificación. Clicar Siguiente.

Entitat Certificadora

A característiques no cal tocar res, clicar Siguiente.

Entitat Certificadora

Resum de les operacions, clicar Quitar.

Entitat Certificadora

Entitat Certificadora

Amb el rol de inscripció Web desinstal·lat, tornem a repetir el procés ara per desmarcar del rol de Servicios de certificados de Active Directory, l’opció Entitat de certificació. Acceptar eliminar les eines d’administració. Clicar Siguiente.

Entitat Certificadora

A característiques no cal tocar res, clicar Siguiente.

Entitat Certificadora

En el resum, clicar Quitar.

Entitat Certificadora

Reiniciar el servidor per completar l’eliminació del rol.

Entitat Certificadora

Entitat Certificadora

Reiniciat el servidor, accedir a l’Administrador del servidor, al menú Herramientas, comprovar que ja no es disposa de la consola d’administració de l’Entitat Certificadora.

Entitat Certificadora

Un altre dels mètodes per comprovar que el sistema estigui net de l’Entitat Certificadora, és intentar generar un certificat de domini amb l’Internet Information Server. A l’intentar seleccionar l’Entitat Certificadora del domini, el botó queda en gris sense permetre l’operació.

Entitat Certificadora

 

Crear l’Entitat Certificadora.

Anar al servidor on es vol donar d’alta l’Entitat Certificadora arrel. A l’Administrador del servidor, clicar a Agregar roles y características.

Entitat Certificadora - Afegir rols

S’inicia l’assistent, es pot obviar la primera pantalla. Clicar Siguiente.

Entitat Certificadora

Marcar Instalación basada en características o en roles. Clicar Siguiente.

Entitat Certificadora

Marcar Seleccionar un servidor del grupo de servidores. Seleccionar el servidor i clicar Siguiente.

Entitat Certificadora

Marcar l’opció Servicios de certificados de Active Directory. Acceptar l’opció d’afegir les eines administratives. Clicar Siguiente.

Entitat Certificadora

No s’han de marcar característiques addicionals, clicar Siguiente.

Entitat Certificadora

S’inicia l’assistent de configuració de l’Entitat Certificadora.

Alerta als passos per la seva configuració!

Clicar Siguiente.

Entitat Certificadora

Seleccionar Entidad de certificación. Més endavant afegirem els altres que puguem necessitar. Clicar Siguiente.

Entitat Certificadora

Resum de la instal·lació, clicar Instalar.

Entitat Certificadora

A l’acabar indica que cal continuar amb la configuració del servei. Clicar a l’enllaç Configurar Servicios de certificados de Active Directory en el servidor de destino.

Entitat Certificadora

S’inicia l’assistent per la configuració. Indicar les credencials d’un usuari administrador. Clicar Siguiente.

Entitat Certificadora

Marcar com a serveis a configurar: Entidad de Certificación. Clicar Siguiente.

Entitat Certificadora

Indicar el tipus d’entitat certificadora: CA empresarial per enllaçar-la amb l’Active Directory. Clicar Siguiente.

Entitat Certificadora

Tipus de CA, estem desplegant la primera, per tant CA raíz. Clicar Siguiente.

Entitat Certificadora

Clau privada. S’ha d’introduir la que tenim guardada de la còpia de seguretat ja que volem crear la mateixa entitat certificadora. Seleccionar Usar clave privada existente i Seleccionar un certificado y usar su clave privada asociada. Clicar Siguiente.

Entitat Certificadora

Importar el certificat de la còpia de seguretat de l’entitat certificadora. Indicar la contrasenya amb el què s’ha generat el certificat. Si tot es correcte ha d’aparèixer el certificat a la llista i per tant es pot seleccionar. L’opció de interacció la deixem per marcar. Clicar Siguiente.

Entitat Certificadora

Indicar on guardar els fitxers de la base de dades de certificats. Escollir segons cadascú. Clicar Siguiente.

Entitat Certificadora

Resum de la configuració. Si tot és correcte, clicar Configurar.

Entitat Certificadora

Tornant a comprovar que tot acabi bé. Clicar Cerrar.

Entitat Certificadora

En el punt on ens trobem tenim una Entitat Certificadora completament nova amb la clau privada de l’entitat certificadora anterior. Si accedim a la consola d’administració: Eines Administratives > Entitat Certificadora.

Entitat Certificadora

Si comprovem els magatzems no trobarem cap certificat.

Entitat Certificadora

Botó dret damunt el nom de l’Entitat Certificadora, Todas las tareas > Restaurar la entidad de certificación.

Entitat Certificadora

Missatge d’advertència que s’han d’apagar els serveis de l’Entitat Certificadora. Clicar Aceptar.

Entitat Certificadora

S’inicia l’assistent de restauració de l’Entitat Certificadora. Clicar Siguiente.

Entitat Certificadora

Indicar els elements a recuperar. Com que la clau privada i el certificat ja els hem recuperat, només cal marcar Base de dades i registre. Indicar la ruta on es troba la carpeta DataBase de la còpia de seguretat i clicar Siguiente.

Entitat Certificadora

Preparat per la recuperació, clicar Finalizar.

Entitat Certificadora

Missatge de recuperació completada i que cal iniciar els serveis de certificació. Clicar Si.

Entitat Certificadora

Ara si ja apareix el llistat de tots els certificats revocats, emesos, etc…

Entitat Certificadora

Parar el servei de l’Entitat de Certificació per fer la importació de l’apartat del registre de Windows. Botó dret damunt el nom de l’Entitat de Certificació > Todas las tareas > Detener servicio.

Entitat Certificadora

Localitzar la còpia de seguretat del registre de l’Entitat Certificadora anterior i fusionar-lo fent un doble clic. Acceptar els quadres de diàleg que apareixen de confirmació.

Entitat Certificadora

Abans d’engegar cal fer una modificació al registre, obrir l’editor de registre amb INICIO > Ejecutar > Regedit. Localitzar la clau de registre:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSrv\Configuration\ nom de l'entitat

Entitat Certificadora

Localitzar el paràmetre CAServerName i assegurar que tingui el nom de servidor correcte.

Entitat Certificadora

Iniciar el servei de l’Entitat Certificadora. Botó dret damunt el nom de l’entitat > Todas las tareas > Iniciar servicio.

Entitat Certificadora

 

Permisos de publicació de certificats a l’Active Directory

Des de l’Administrador del Servidor > Menú Eines > Sitios y servicios de Active Directory.

Entitat Certificadora

Habilitar, si no ho està, el node de serveis. Botó dret damunt de Sitios y servicios de Active Directory > Ver > Mostrar el nodo de servicios.

Entitat Certificadora

Desplegar el node de serveis fins a localitzar Public Key Services.

Entitat Certificadora - Public Key Infrastructure

Assignar el permís de control total al nom de l’equip amb la nova Entitat Certificadora a l’objecte de l’Entitat Certificadora de dins les carpetes AIA i CDP. Botó dret damunt el nom de l’objecte, seleccionar Propiedades.

Entitat-Certificadora-64

Clicar a la pestanya Seguridad.

Entitat-Certificadora-65

Afegir el compte del nou equip amb permís de control total.

Entitat Certificadora - Permisos nou servidor control total

Repetir el procés amb les carpetes CDP.

Reiniciar el servidor per aplicar els canvis de permisos.

Obrir la consola de PKI. INICI > Executar > pkiview.msc per comprovar que tots els punts de publicació siguin correctes. En cas contrari, cal posar-hi remei a cada cas.

Entitat-Certificadora-67

Sí, cal assegurar els punts de distribució de les llistes de revocació dels certificats perquè tot sigui correcte.

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada