Canviar Entitat Certificadora arrel de Windows
EspañolCada cop és més habitual i necessari disposar d’una infraestructura PKI (Public Key Infrastructure) pròpia per protegir els serveis de la nostra xarxa empresarial.
En aquesta entrada no aprofundiré sobre la infraestructura PKI. Estic preparant una entrada explicativa sobre l’ús dels certificats en la nostra infraestructura, ja sigui per a servidors com per a usuaris, per intentar aportar una mica de llum a tot plegat.
L’objectiu d’aquesta entrada és canviar una entitat certificadora arrel integrada en Active Directory en Microsoft Windows 2012 a un altre servidor Microsoft Windows 2012 R2. Mantenint els certificats emesos, és clar.
Què passa quan el servidor on resideix aquesta entitat arrel s’ha d’actualitzar o canviar?
L’Entitat Certificadora és un servei més que corre a la nostra xarxa i del que ens recordem d’ell quan s’ha de crear un nou certificat o ha caducat el d’un servei. Per la seva naturalesa és un servei crític en temes de seguretat, ja què d’ell depèn el xifrat de molts serveis que s’utilitzen diàriament, i com a tal, no és trivial fer una actuació sobre la mateixa. Vaja, que no hi ha una fórmula de copiar i enganxar l’entitat en un altre servidor.
Còpia de seguretat de l’Entitat Certificadora
El primer que cal fer és una còpia de seguretat de l’actual Entitat Certificadora. Per fer-ho, cal anar a Eines Administratives > Entitat de certificació.
Accedint a la gestió de l’Entitat Certificadora, botó dret damunt la mateixa, seleccionar Todas las tareas > Realizar copia de seguridad de la entidad de certificación
S’inicia un assistent per fer la còpia de seguretat de l’Entitat Certificadora. Clicar Siguiente.
Seleccionar els elements a fer la còpia de seguretat. Com que es vol canviar de servidor l’Entitat Certificadora, seleccionar-ho tot i indicar la ruta del fitxer de còpia de seguretat. Clicar Siguiente.
Indicar una contrasenya pel fitxer de còpia de seguretat. Clicar Siguiente.
Resum de les accions a dur a terme. Clicar Finalizar.
Esperar a que faci la còpia de seguretat.
També és molt important exportar la clau de registre de l’Entitat Certificadora. Obrir l’editor de registre: INICI > Executar > regedit
Acceptar que l’aplicació tingui permisos per fer canvis en l’equip. Clicar Si.
Localitzar la clau de registre de l’Entitat Certificadora:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSrv\Configuration\
Nom de l’entitat certificadora
Botó dret damunt la carpeta amb el nom de l’entitat certificadora, seleccionar Exportar.
Indicar la ruta i el nom del fitxer on guardar la configuració
Copiar els tres fitxers que s’han generat: còpia de seguretat de l’Entitat Certificadora (carpeta Database), còpia del certificat de l’Entitat Certificadora (extensió .p12) i la còpia del registre; al nou servidor.
Eliminar l’Entitat Certificadora
Amb la còpia de seguretat en un lloc segur, es pot procedir a destruir l’actual Entitat Certificadora (No, no poden coexistir les dues i per tant, cal anar amb peus de plom per fer aquesta operació).
Des de l’Administrador del servidor, seleccionar el menú Administrar > Quitar roles y funciones.
Marcar Seleccionar un servidor del grupo de servidores. Clicar Siguiente.
Desmarcar del rol Servicios de certificados de Active Directory, l’opció Inscripción web de entidad de certificación. Clicar Siguiente.
A característiques no cal tocar res, clicar Siguiente.
Resum de les operacions, clicar Quitar.
Amb el rol de inscripció Web desinstal·lat, tornem a repetir el procés ara per desmarcar del rol de Servicios de certificados de Active Directory, l’opció Entitat de certificació. Acceptar eliminar les eines d’administració. Clicar Siguiente.
A característiques no cal tocar res, clicar Siguiente.
En el resum, clicar Quitar.
Reiniciar el servidor per completar l’eliminació del rol.
Reiniciat el servidor, accedir a l’Administrador del servidor, al menú Herramientas, comprovar que ja no es disposa de la consola d’administració de l’Entitat Certificadora.
Un altre dels mètodes per comprovar que el sistema estigui net de l’Entitat Certificadora, és intentar generar un certificat de domini amb l’Internet Information Server. A l’intentar seleccionar l’Entitat Certificadora del domini, el botó queda en gris sense permetre l’operació.
Crear l’Entitat Certificadora.
Anar al servidor on es vol donar d’alta l’Entitat Certificadora arrel. A l’Administrador del servidor, clicar a Agregar roles y características.
S’inicia l’assistent, es pot obviar la primera pantalla. Clicar Siguiente.
Marcar Instalación basada en características o en roles. Clicar Siguiente.
Marcar Seleccionar un servidor del grupo de servidores. Seleccionar el servidor i clicar Siguiente.
Marcar l’opció Servicios de certificados de Active Directory. Acceptar l’opció d’afegir les eines administratives. Clicar Siguiente.
No s’han de marcar característiques addicionals, clicar Siguiente.
S’inicia l’assistent de configuració de l’Entitat Certificadora.
Alerta als passos per la seva configuració!
Clicar Siguiente.
Seleccionar Entidad de certificación. Més endavant afegirem els altres que puguem necessitar. Clicar Siguiente.
Resum de la instal·lació, clicar Instalar.
A l’acabar indica que cal continuar amb la configuració del servei. Clicar a l’enllaç Configurar Servicios de certificados de Active Directory en el servidor de destino.
S’inicia l’assistent per la configuració. Indicar les credencials d’un usuari administrador. Clicar Siguiente.
Marcar com a serveis a configurar: Entidad de Certificación. Clicar Siguiente.
Indicar el tipus d’entitat certificadora: CA empresarial per enllaçar-la amb l’Active Directory. Clicar Siguiente.
Tipus de CA, estem desplegant la primera, per tant CA raíz. Clicar Siguiente.
Clau privada. S’ha d’introduir la que tenim guardada de la còpia de seguretat ja que volem crear la mateixa entitat certificadora. Seleccionar Usar clave privada existente i Seleccionar un certificado y usar su clave privada asociada. Clicar Siguiente.
Importar el certificat de la còpia de seguretat de l’entitat certificadora. Indicar la contrasenya amb el què s’ha generat el certificat. Si tot es correcte ha d’aparèixer el certificat a la llista i per tant es pot seleccionar. L’opció de interacció la deixem per marcar. Clicar Siguiente.
Indicar on guardar els fitxers de la base de dades de certificats. Escollir segons cadascú. Clicar Siguiente.
Resum de la configuració. Si tot és correcte, clicar Configurar.
Tornant a comprovar que tot acabi bé. Clicar Cerrar.
En el punt on ens trobem tenim una Entitat Certificadora completament nova amb la clau privada de l’entitat certificadora anterior. Si accedim a la consola d’administració: Eines Administratives > Entitat Certificadora.
Si comprovem els magatzems no trobarem cap certificat.
Botó dret damunt el nom de l’Entitat Certificadora, Todas las tareas > Restaurar la entidad de certificación.
Missatge d’advertència que s’han d’apagar els serveis de l’Entitat Certificadora. Clicar Aceptar.
S’inicia l’assistent de restauració de l’Entitat Certificadora. Clicar Siguiente.
Indicar els elements a recuperar. Com que la clau privada i el certificat ja els hem recuperat, només cal marcar Base de dades i registre. Indicar la ruta on es troba la carpeta DataBase de la còpia de seguretat i clicar Siguiente.
Preparat per la recuperació, clicar Finalizar.
Missatge de recuperació completada i que cal iniciar els serveis de certificació. Clicar Si.
Ara si ja apareix el llistat de tots els certificats revocats, emesos, etc…
Parar el servei de l’Entitat de Certificació per fer la importació de l’apartat del registre de Windows. Botó dret damunt el nom de l’Entitat de Certificació > Todas las tareas > Detener servicio.
Localitzar la còpia de seguretat del registre de l’Entitat Certificadora anterior i fusionar-lo fent un doble clic. Acceptar els quadres de diàleg que apareixen de confirmació.
Abans d’engegar cal fer una modificació al registre, obrir l’editor de registre amb INICIO > Ejecutar > Regedit. Localitzar la clau de registre:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSrv\Configuration\ nom de l'entitat
Localitzar el paràmetre CAServerName i assegurar que tingui el nom de servidor correcte.
Iniciar el servei de l’Entitat Certificadora. Botó dret damunt el nom de l’entitat > Todas las tareas > Iniciar servicio.
Permisos de publicació de certificats a l’Active Directory
Des de l’Administrador del Servidor > Menú Eines > Sitios y servicios de Active Directory.
Habilitar, si no ho està, el node de serveis. Botó dret damunt de Sitios y servicios de Active Directory > Ver > Mostrar el nodo de servicios.
Desplegar el node de serveis fins a localitzar Public Key Services.
Assignar el permís de control total al nom de l’equip amb la nova Entitat Certificadora a l’objecte de l’Entitat Certificadora de dins les carpetes AIA i CDP. Botó dret damunt el nom de l’objecte, seleccionar Propiedades.
Clicar a la pestanya Seguridad.
Afegir el compte del nou equip amb permís de control total.
Repetir el procés amb les carpetes CDP.
Reiniciar el servidor per aplicar els canvis de permisos.
Obrir la consola de PKI. INICI > Executar > pkiview.msc per comprovar que tots els punts de publicació siguin correctes. En cas contrari, cal posar-hi remei a cada cas.
Sí, cal assegurar els punts de distribució de les llistes de revocació dels certificats perquè tot sigui correcte.
T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!
Similar Posts by The Author:
- Microsoft SQL Server con SMB3
- Microsoft SQL Server amb SMB3
- Containers en Linux
- Containers amb Linux
- Migrar el servidor de archivos a Windows Server 2019
- Migrar el servidor de fitxers a Windows Server 2019
- Puerta enlace a Azure en el Windows Admin Center
- Porta enllaç a Azure en el Windows Admin Center
- Hola mundo! WordPress 5 y Gutenberg
- Hola món! WordPress 5 i Gutenberg