Cambiar Entidad Certificadora raíz de Windows
CatalàCada vez es más habitual y necesario disponer de una infraestructura PKI (Public Key Infrastructure) propia para proteger los servicios de nuestra red empresarial.
En esta entrada no profundizaré sobre la infraestructura PKI. Estoy preparando una entrada explicativa sobre el uso de los certificados en nuestra infraestructura, ya sea para servidores como para usuarios, para intentar aportar un poco de luz a todo esto.
El objetivo de esta entrada es cambiar una entidad certificadora raíz integrada en Active Directory en Microsoft Windows 2012 a otro servidor Microsoft Windows 2012 R2. Manteniendo los certificados emitidos, por supuesto.
Qué pasa cuando el servidor donde reside esta entidad raíz se tiene que actualizar o cambiar?
La Entidad Certificadora es un servicio más que corre por nuestra red y que nos acordamos de él cuando debe crearse un nuevo certificado o ha caducado el de un servicio. Por su naturaleza es un servicio crítico en temas de seguridad, ya que de él depende el cifrado de muchos servicios que se utilizan diariamente, y como tal, no es trivial hacer una actuación sobre la misma. Vaya, que no hay una fórmula de copiar y pegar la entidad en otro servidor.
Copia de seguridad de la Entidad Certificadora
Lo primero que hay que hacer es una copia de seguridad de la actual Entidad Certificadora. Para ello, hay que ir a Herramientas Administrativas > Entidad de certificación.
Accediendo a la gestión de la Entidad Certificadora, botón derecho sobre la misma, seleccionar Todas las tareas > Realizar copia de seguridad de la entidad de certificación
Se inicia un asistente para hacer la copia de seguridad de la Entidad Certificadora. Hacer clic en Siguiente.
Seleccionar los elementos a hacer la copia de seguridad. Como que se quiere cambiar de servidor la Entidad Certificadora, seleccionarlo todo y indicar la ruta del fichero de copia de seguridad. Hacer clic en Siguiente.
Indicar una contraseña para el archivo de copia de seguridad. Hacer clic en Siguiente.
Resumen de las acciones a llevar a cabo. Hacer clic en Finalizar.
Esperar a que haga la copia de seguridad.
También es muy importante exportar la clave de registro de la Entidad Certificadora. Abrir el editor de registro: INICIO > Ejecutar > regedit
Aceptar que la aplicación tenga permisos para hacer cambios en el equipo. Hacer clic en Si.
Localizar la clave de registro de la Entidad Certificadora:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSrv\Configuration\
Nombre de la entidad certificadora
Botón derecho sobre la carpeta con el nombre de la entidad certificadora, seleccionar Exportar.
Indicar la ruta y el nombre del archivo donde guardar la configuración.
Copiar los tres archivos que se han generado: copia de seguridad de la Entidad Certificadora (carpeta Database), copia del certificado de la Entidad Certificadora (extensión .p12) y la copia del registro; al nuevo servidor.
Eliminar la Entidad Certificadora
Con la copia de seguridad en un sitio seguro, se puede proceder a destruir la actual Entidad Certificadora (No, no pueden coexistir las dos y por lo tanto, hay que ir con pies de plomo para hacer esta operación). Desde el Administrador del servidor, seleccionar el menú Administrar > Quitar roles y funciones.
Marcar Seleccionar un servidor del grupo de servidores. Hacer clic en Siguiente.
Desmarcar del rol Servicios de certificados de Active Directory, la opción Inscripción web de entidad de certificación. Hacer clic en Siguiente.
En características no hay que tocar nada, hacer clic en Siguiente.
Resumen de las operaciones, hacer clic en Quitar.
Con el rol de inscripción Web desinstalado, volvemos a repetir el proceso ahora para desmarcar del rol de Servicios de certificados de Active Directory, la opción Entidad de certificación. Aceptar eliminar las herramientas de administración. Hacer clic en Siguiente.
En características no hay que tocar nada, hacer clic en Siguiente.
En el resumen, hacer clic en Quitar.
Reiniciar el servidor para completar la eliminación del rol.
Reiniciado el servidor, acceder al Administrador del servidor, al menú Herramientas, comprobar que ya no se dispone de la consola de administración de la Entidad Certificadora.
Otro método para comprobar que el sistema esté limpio de la Entidad Certificadora, es intentar generar un certificado de dominio con el Internet Information Server. Al intentar seleccionar la Entidad Certificadora del dominio, el botón queda en gris sin permitir la operación.
Crear la Entidad Certificadora.
Ir al servidor donde se quiere dar de alta la Entidad Certificadora raíz. En el Administrador del servidor, hacer clic en Agregar roles y características.
Se inicia el asistente, se puede obviar la primera pantalla. Hacer clic en Siguiente.
Marcar Instalación basada en características o en roles. Hacer clic en Siguiente.
Marcar Seleccionar un servidor del grupo de servidores. Seleccionar el servidor y hacer clic en Siguiente.
Marcar la opción Servicios de certificados de Active Directory. Aceptar la opción de añadir las herramientas administrativas. Hacer clic en Siguiente.
No se tienen que marcar características adicionales, hacer clic en Siguiente.
Se inicia el asistente de configuración de la Entidad Certificadora.
¡Alerta a los pasos para su configuración!
Hacer clic en Siguiente.
Seleccionar Entidad de certificación. Más adelante añadiremos los otros que podamos necesitar. Hacer clic en Siguiente.
Resumen de la instalación, hacer clic en Instalar.
Al terminar indica que hay que continuar con la configuración del servicio. Hacer clic en el enlace Configurar Servicios de certificados de Active Directory en el servidor de destino.
Se inicia el asistente para la configuración. Indicar las credenciales de un usuario administrador. Hacer clic en Siguiente.
Marcar como servicios a configurar: Entidad de Certificación. Hacer clic en Siguiente.
Indicar el tipo de entidad certificadora: CA empresarial para enlazarla con el Active Directory. Hacer clic en Siguiente.
Tipo de CA, estamos desplegando la primera, por lo tanto CA raíz. Hacer clic en Siguiente.
Clave privada. Se tiene que introducir la que tenemos guardada de la copia de seguridad ya que queremos crear la misma entidad certificadora. Seleccionar Usar clave privada existente y Seleccionar un certificado y usar su clave privada asociada. Hacer clic en Siguiente.
Importar el certificado de la copia de seguridad de la entidad certificadora. Indicar la contraseña con el que se ha generado el certificado. Si todo es correcto tiene que aparecer el certificado en la lista y por lo tanto se puede seleccionar. La opción de interacción la dejamos para marcar. Hacer clic en Siguiente.
Indicar donde guardar los archivos de la base de datos de certificados. Escoger según cada uno. Hacer clic en Siguiente.
Resumen de la configuración. Si todo es correcto, hacer clic en Configurar.
Volviendo a comprobar que todo acabe bien. Hacer clic en Cerrar.
En el punto donde nos encontramos tenemos una Entidad Certificadora completamente nueva con la clave privada de la entidad certificadora anterior. Si accedemos a la consola de administración: Herramientas Administrativas > Entidad Certificadora.
Si comprobamos los almacenes no encontraremos ningún certificado.
Botón derecho sobre el nombre de la Entidad Certificadora, Todas las tareas > Restaurar la entidad de certificación.
Mensaje de advertencia que hay que apagar los servicios de la Entidad Certificadora. Hacer clic en Aceptar.
Se inicia el asistente de restauración de la Entidad Certificadora. Hacer clic en Siguiente.
Indicar los elementos a recuperar. Como que la clave privada y el certificado ya los hemos recuperado, solo hay que marcar Base de datos y registro. Indicar la ruta donde se encuentra la carpeta DataBase de la copia de seguridad y hacer clic en Siguiente.
Preparado para la recuperación, hacer clic en Finalizar.
Mensaje de recuperación completada y que hay que iniciar los servicios de certificación. Hacer clic en Si.
Ahora si ya aparece el listado de todos los certificados revocados, emitidos, etc…
Parar el servicio de la Entidad de Certificación para hacer la importación del apartado del registro de Windows. Botón derecho sobre el nombre de la Entidad de Certificación > Todas las tareas > Detener servicio.
Localizar la copia de seguridad del registro de la Entidad Certificadora anterior y fusionarlo haciendo un doble clic. Aceptar los cuadros de diálogo que aparecen de confirmación.
Antes de arrancar hay que hacer una modificación en el registro, abrir el editor de registro con INICIO > Ejecutar > Regedit. Localizar la clave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSrv\Configuration\ nombre de la entidad
Localizar el parámetro CAServerName y asegurar que tenga el nombre de servidor correcto.
Iniciar el servicio de la Entidad Certificadora. Botón derecho sobre el nombre de la entidad > Todas las tareas > Iniciar servicio.
Permisos de publicación de certificados en el Active Directory
Desde el Administrador del Servidor > Menú Herramientas > Sitios y servicios de Active Directory.
Habilitar, si no lo está, el nodo de servicios. Botón derecho sobre Sitios y servicios de Active Directory > Ver > Mostrar el nodo de servicios.
Desplegar el nodo de servicios hasta localizar Public Key Services.
Asignar el permiso de control total al nombre del equipo con la nueva Entidad Certificadora al objeto de la Entidad Certificadora del interior de las carpetas AIA y CDP. Botón derecho sobre el nombre del objeto, seleccionar Propiedades.
Hacer clic en la pestaña Seguridad.
Añadir la cuenta del nuevo equipo con permiso de control total.
Repetir el proceso con las carpetes CDP. Reiniciar el servidor para aplicar los cambios de permisos. Abrir la consola de PKI. INICIO > Ejecutar > pkiview.msc para comprobar que todos los puntos de publicación sean correctos. En caso contrario, hay que ponerle remedio en cada caso.
Sí, hay que asegurar los puntos de distribución de las listas de revocación de los certificados para que todo sea correcto
¿Te ha gustado el articulo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!
Similar Posts by The Author:
- Microsoft SQL Server con SMB3
- Microsoft SQL Server amb SMB3
- Containers en Linux
- Containers amb Linux
- Migrar el servidor de archivos a Windows Server 2019
- Migrar el servidor de fitxers a Windows Server 2019
- Puerta enlace a Azure en el Windows Admin Center
- Porta enllaç a Azure en el Windows Admin Center
- Hola mundo! WordPress 5 y Gutenberg
- Hola món! WordPress 5 i Gutenberg
Buenod dias Amigo.
estoy en un problema.
mi certificado vence el proximo 1 de abril de 2019 el cual esta distribuido en las de 1000 clientes.
como hago para que la renovacion de este sea automatica y ademas necesito migrar la entidad certificadora de un dominio a otro.
la entidad raiz esta fuera de dominio y se encuentra con problemas.
gracias infinitas por tu pronta respuesta.
Saludos y bendiciones
Hola Edson,
con la GPO de certificado que tienes creada y que añadiendo la nueva clave pública, en cinco minutos la tendrás desplegada a todos los equipos que esten conectados en la red. Para los que estan apagados, una vez accedan al dominio también se les traspasará de forma automática.
Me ha servido de gran ayuda !!!
Hola Josep, he leído tu articulo sobre el reemplazo de la entidad certificadora, tenemos un problema con la infraestructura de PKI, dado que hemos perdido la maquina que ejerce el rol de entidad certificadora raíz
agradezco tu ayuda para saber que implicaciones tiene y si existe otro procedimiento para tal situación
muchas Gracias
Oscar Pinzón
Hola Josep, tengo un ambiente que fue actualizado a WServer 2012 x64, pero la Entidad Certificadora quedo en WServer 2003 x86 (32bits) este procedimiento que aqui muestras puede funcionar para migrar esta Esta entidad certificadora ?
Hola Jose, quiero cambiar mi entidad certificadora a otro servidor ya que el actual tiene problemas en el Disco.
Me surge una duda, es necesario que el servidor nuevo, deba tener como Hostname el mismo que el servidor actual para poder
hacer la migración ??
Hola Buen dia amigo,
Tengo un detallle, elimine el servidor donde instale la herramienta de entidad de certificacion, como ese servidor lo pegue al directorio activo, exporte su CA y lo puse en la GPO del directorio activo, en teoría pensé que al eliminar el server, el certificado dejaria de existir, pero eso no paso, quite el CA importado en la GPO del directorio activo, y aunque ya no se encuentre el CA, se sigue agregando en los nuevos servidores que agrego al directorio activo.
¿Cómo podría hacer para que deje de aparecer ese CA(si ya esta desinstalado de los GPO’s), al agregar los servidores al directorio activo?