Cambiar Entidad Certificadora raíz de Windows

16 diciembre 2014
Josep Ma Solanes 2

Cada vez es más habitual y necesario disponer de una infraestructura PKI (Public Key Infrastructure) propia para proteger los servicios de nuestra red empresarial.

En esta entrada no profundizaré sobre la infraestructura PKI. Estoy preparando una entrada explicativa sobre el uso de los certificados en nuestra infraestructura, ya sea para servidores como para usuarios, para intentar aportar un poco de luz a todo esto.

El objetivo de esta entrada es cambiar una entidad certificadora raíz integrada en Active Directory en Microsoft Windows 2012 a otro servidor Microsoft Windows 2012 R2. Manteniendo los certificados emitidos, por supuesto.

Qué pasa cuando el servidor donde reside esta entidad raíz se tiene que actualizar o cambiar?

La Entidad Certificadora es un servicio más que corre por nuestra red y que nos acordamos de él cuando debe crearse un nuevo certificado o ha caducado el de un servicio. Por su naturaleza es un servicio crítico en temas de seguridad, ya que de él depende el cifrado de muchos servicios que se utilizan diariamente, y como tal, no es trivial hacer una actuación sobre la misma. Vaya, que no hay una fórmula de copiar y pegar la entidad en otro servidor.

Copia de seguridad de la Entidad Certificadora

Lo primero que hay que hacer es una copia de seguridad de la actual Entidad Certificadora. Para ello, hay que ir a Herramientas Administrativas > Entidad de certificación.

Entitat Certificadora - Eines administratives

Accediendo a la gestión de la Entidad Certificadora, botón derecho sobre la misma, seleccionar Todas las tareas > Realizar copia de seguridad de la entidad de certificación

Entitat Certificadora - Còpia de seguretat

Se inicia un asistente para hacer la copia de seguridad de la Entidad Certificadora. Hacer clic en Siguiente.

Entitat Certificadora

Seleccionar los elementos a hacer la copia de seguridad. Como que se quiere cambiar de servidor la Entidad Certificadora, seleccionarlo todo y indicar la ruta del fichero de copia de seguridad. Hacer clic en Siguiente.

Entitat Certificadora

Indicar una contraseña para el archivo de copia de seguridad. Hacer clic en Siguiente.

Entitat Certificadora

Resumen de las acciones a llevar a cabo. Hacer clic en Finalizar.

Entitat Certificadora

Esperar a que haga la copia de seguridad.

Entitat Certificadora

También es muy importante exportar la clave de registro de la Entidad Certificadora. Abrir el editor de registro: INICIO > Ejecutar > regedit

Entitat Certificadora

Aceptar que la aplicación tenga permisos para hacer cambios en el equipo. Hacer clic en Si.

Entitat Certificadora

Localizar la clave de registro de la Entidad Certificadora:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSrv\Configuration\

Nombre de la entidad certificadora

Entitat Certificadora

Botón derecho sobre la carpeta con el nombre de la entidad certificadora, seleccionar Exportar.

Entitat Certificadora

Indicar la ruta y el nombre del archivo donde guardar la configuración.

Entitat Certificadora

Copiar los tres archivos que se han generado: copia de seguridad de la Entidad Certificadora (carpeta Database), copia del certificado de la Entidad Certificadora (extensión .p12) y la copia del registro; al nuevo servidor.

Entitat Certificadora

Eliminar la Entidad Certificadora

Con la copia de seguridad en un sitio seguro, se puede proceder a destruir la actual Entidad Certificadora (No, no pueden coexistir las dos y por lo tanto, hay que ir con pies de plomo para hacer esta operación). Desde el Administrador del servidor, seleccionar el menú Administrar > Quitar roles y funciones.

Entitat Certificadora

Marcar Seleccionar un servidor del grupo de servidores. Hacer clic en Siguiente.

Entitat Certificadora

Desmarcar del rol Servicios de certificados de Active Directory, la opción Inscripción web de entidad de certificación. Hacer clic en Siguiente.

Entitat Certificadora

En características no hay que tocar nada, hacer clic en Siguiente.

Entitat Certificadora

Resumen de las operaciones, hacer clic en Quitar.

Entitat Certificadora Entitat Certificadora

Con el rol de inscripción Web desinstalado, volvemos a repetir el proceso ahora para desmarcar del rol de Servicios de certificados de Active Directory, la opción Entidad de certificación. Aceptar eliminar las herramientas de administración. Hacer clic en Siguiente.

Entitat Certificadora

En características no hay que tocar nada, hacer clic en Siguiente.

Entitat Certificadora

En el resumen, hacer clic en Quitar.

Entitat Certificadora

Reiniciar el servidor para completar la eliminación del rol.

Entitat Certificadora Entitat Certificadora

Reiniciado el servidor, acceder al Administrador del servidor, al menú Herramientas, comprobar que ya no se dispone de la consola de administración de la Entidad Certificadora.

Entitat Certificadora

Otro método para comprobar que el sistema esté limpio de la Entidad Certificadora, es intentar generar un certificado de dominio con el Internet Information Server. Al intentar seleccionar la Entidad Certificadora del dominio, el botón queda en gris sin permitir la operación.

Entitat Certificadora

Crear la Entidad Certificadora.

Ir al servidor donde se quiere dar de alta la Entidad Certificadora raíz. En el Administrador del servidor, hacer clic en Agregar roles y características.

Entitat Certificadora - Afegir rols

Se inicia el asistente, se puede obviar la primera pantalla. Hacer clic en Siguiente.

Entitat Certificadora

Marcar Instalación basada en características o en roles. Hacer clic en Siguiente.

Entitat Certificadora

Marcar Seleccionar un servidor del grupo de servidores. Seleccionar el servidor y hacer clic en Siguiente.

Entitat Certificadora

Marcar la opción Servicios de certificados de Active Directory. Aceptar la opción de añadir las herramientas administrativas. Hacer clic en Siguiente.

Entitat Certificadora

No se tienen que marcar características adicionales, hacer clic en Siguiente.

Entitat Certificadora

Se inicia el asistente de configuración de la Entidad Certificadora.

¡Alerta a los pasos para su configuración!

Hacer clic en Siguiente.

Entitat Certificadora

Seleccionar Entidad de certificación. Más adelante añadiremos los otros que podamos necesitar. Hacer clic en Siguiente.

Entitat Certificadora

Resumen de la instalación, hacer clic en Instalar.

Entitat Certificadora

Al terminar indica que hay que continuar con la configuración del servicio. Hacer clic en el enlace Configurar Servicios de certificados de Active Directory en el servidor de destino.

Entitat Certificadora

Se inicia el asistente para la configuración. Indicar las credenciales de un usuario administrador. Hacer clic en Siguiente.

Entitat Certificadora

Marcar como servicios a configurar: Entidad de Certificación. Hacer clic en Siguiente.

Entitat Certificadora

Indicar el tipo de entidad certificadora: CA empresarial para enlazarla con el Active Directory. Hacer clic en Siguiente.

Entitat Certificadora

Tipo de CA, estamos desplegando la primera, por lo tanto CA raíz. Hacer clic en Siguiente.

Entitat Certificadora

Clave privada. Se tiene que introducir la que tenemos guardada de la copia de seguridad ya que queremos crear la misma entidad certificadora. Seleccionar Usar clave privada existente y Seleccionar un certificado y usar su clave privada asociada. Hacer clic en Siguiente.

Entitat Certificadora

Importar el certificado de la copia de seguridad de la entidad certificadora. Indicar la contraseña con el que se ha generado el certificado. Si todo es correcto tiene que aparecer el certificado en la lista y por lo tanto se puede seleccionar. La opción de interacción la dejamos  para marcar. Hacer clic en Siguiente.

Entitat Certificadora

Indicar donde guardar los archivos de la base de datos de certificados. Escoger según cada uno. Hacer clic en Siguiente.

Entitat Certificadora

Resumen de la configuración. Si todo es correcto, hacer clic en Configurar.

Entitat Certificadora

Volviendo a comprobar que todo acabe bien. Hacer clic en Cerrar.

Entitat Certificadora

En el punto donde nos encontramos tenemos una Entidad Certificadora completamente nueva con la clave privada de la entidad certificadora anterior. Si accedemos a la consola de administración: Herramientas Administrativas > Entidad Certificadora.

Entitat Certificadora

Si comprobamos los almacenes no encontraremos ningún certificado.

Entitat Certificadora

Botón derecho sobre el nombre de la Entidad Certificadora, Todas las tareas > Restaurar la entidad de certificación.

Entitat Certificadora

Mensaje de advertencia que hay que apagar los servicios de la Entidad Certificadora. Hacer clic en Aceptar.

Entitat Certificadora

Se inicia el asistente de restauración de la Entidad Certificadora. Hacer clic en Siguiente.

Entitat Certificadora

Indicar los elementos a recuperar. Como que la clave privada y el certificado ya los hemos recuperado, solo hay que marcar Base de datos y registro. Indicar la ruta donde se encuentra la carpeta DataBase de la copia de seguridad y hacer clic en Siguiente.

Entitat Certificadora

Preparado para la recuperación, hacer clic en Finalizar.

Entitat Certificadora

Mensaje de recuperación completada y que hay que iniciar los servicios de certificación. Hacer clic en Si.

Entitat Certificadora

Ahora si ya aparece el listado de todos los certificados revocados, emitidos, etc…

Entitat Certificadora

Parar el servicio de la Entidad de Certificación para hacer la importación del apartado del registro de Windows. Botón derecho sobre el nombre de la Entidad de Certificación > Todas las tareas > Detener servicio.

Entitat Certificadora

Localizar la copia de seguridad del registro de la Entidad Certificadora anterior y fusionarlo haciendo un doble clic. Aceptar los cuadros de diálogo que aparecen de confirmación.

Entitat Certificadora

Antes de arrancar hay que hacer una modificación en el registro, abrir el editor de registro con INICIO > Ejecutar > Regedit. Localizar la clave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSrv\Configuration\ nombre de la entidad

Entitat Certificadora

Localizar el parámetro CAServerName y asegurar que tenga el nombre de servidor correcto.

Entitat Certificadora

Iniciar el servicio de la Entidad Certificadora. Botón derecho sobre el nombre de la entidad > Todas las tareas > Iniciar servicio.

Entitat Certificadora

Permisos de publicación de certificados en el Active Directory

Desde el Administrador del Servidor > Menú Herramientas > Sitios y servicios de Active Directory.

Entitat Certificadora

Habilitar, si no lo está, el nodo de servicios. Botón derecho sobre Sitios y servicios de Active Directory > Ver > Mostrar el nodo de servicios.

Entitat Certificadora

Desplegar el nodo de servicios hasta localizar Public Key Services.

Entitat Certificadora - Public Key Infrastructure

Asignar el permiso de control total al nombre del equipo con la nueva Entidad Certificadora al objeto de la Entidad Certificadora del interior de las carpetas AIA y CDP. Botón derecho sobre el nombre del objeto, seleccionar Propiedades.

Entitat-Certificadora-64

Hacer clic en la pestaña Seguridad.

Entitat-Certificadora-65

Añadir la cuenta del nuevo equipo con permiso de control total.

Entitat Certificadora - Permisos nou servidor control total

Repetir el proceso con las carpetes CDP. Reiniciar el servidor para aplicar los cambios de permisos. Abrir la consola de PKI. INICIO > Ejecutar > pkiview.msc para comprobar que todos los puntos de publicación sean correctos. En caso contrario, hay que ponerle remedio en cada caso.

Entitat-Certificadora-67

Sí, hay que asegurar los puntos de distribución de las listas de revocación de los certificados para que todo sea correcto

¿Te ha gustado el articulo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

 

2 comentaris per a
“Cambiar Entidad Certificadora raíz de Windows”

  1. Buenod dias Amigo.
    estoy en un problema.
    mi certificado vence el proximo 1 de abril de 2019 el cual esta distribuido en las de 1000 clientes.
    como hago para que la renovacion de este sea automatica y ademas necesito migrar la entidad certificadora de un dominio a otro.
    la entidad raiz esta fuera de dominio y se encuentra con problemas.
    gracias infinitas por tu pronta respuesta.
    Saludos y bendiciones

     
    1. Hola Edson,

      con la GPO de certificado que tienes creada y que añadiendo la nueva clave pública, en cinco minutos la tendrás desplegada a todos los equipos que esten conectados en la red. Para los que estan apagados, una vez accedan al dominio también se les traspasará de forma automática.

       

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.