Migrar una Entidad emisora de certificados o CA de Windows 2000 a Windows 2003

En este procedimiento se explica como migrar una CA de un servidor a otro. Si tenemos una CA en un MS Windows 2000 Server, la única manera para migrar esa CA a un MS Windows 2003, es actualizando el servidor, para que haga los cambios oportunos, y una vez migrado ese servidor, movieríamos la CA a otro servidor basado en 2003 mediante las siguientes explicaciones.

Una vez migrado si es que fuera necesario el servidor basado en MS Windows 2000 a MS Windows 2003, abriíamos la consola de la CA, para ello: “Inicio” > “Programas” > “Herramientas administrativas” > “Entidad emisora de certificados”. Todo esto es para exportar las configuraciones a un fichero y después poder recuperarlo en otro servidor.

Sobre el servidor del que queremos realizar el backup, botón derecho > “Todas las tareas” > “Realizar copia de seguridad de la entidad emisora de certificados…”

“Siguiente”

Marcamos los dos checks y metemos un PATH para que nos guarde ahi toda la info necesaria para migrar la CA a otro server.

Metemos una clave por si alguien intenta restaurar la CA donde no deba ser y se haga con nuestros certificados.

Finalizar

…esperamos mientras hace el backup…

Vale, vemos que nos genera un fichero y una serie de directorios en el PATH de backup

Ahora a parte de eso, hay que exportar una rama del registro, para ello, abrimos el registro, “Inicio” > “Ejecutar” > ‘regedit’ y “Aceptar”

Buscamos esta ruta (y sobre ella, botón derecho y “Exportar”):
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvcConfiguration

Le indicamos un nombre por ejemplo “CAregister.reg”

Vale, ahora ya tenemos los datos necesarios copiados, ahora nos olvidamos del servidor viejo y lo desconectamos de la red, metemos el nuevo y restauraremos en él todo lo generado anteriormente.

Vale, pues lo dicho, vamos a “Panel de Control”, a “Agregar o quitar programas” y luego a la derecha a “Agregar o quitar componentes de Windows”, seleccionamos el componente de la CA “Servicios de Certificate Server” y damos a “Siguiente”.

Seleccionamos la primera opción, “Entidad emisora raíz de la empresa” y continuamos,

Le damos un nombre a la CA, a la Entidad emisora de certificados, lo más normal es poner el nombre de la empresa, y le damos una validez a los certificados, lo más normal uno, dos o un máximo de 5 años, más podría resultar peligroso por si nos roban algún certificado sin darnos cuenta, Siguiente. Aunque realmente todo esto nos da igual pq luego restauraremos las copias que tenemos y lo machacará. Siguiente.

Vale, estos son los PATH’s donde nos almacenará la BD de los certificados y los registros, continuamos.

Esperamos…

Finalizar,

Y ahora, una vez instalada la nueva CA en el nuevo servidor, toca parar los servicios del CA para poder restaurar todos los backups anteriores, así que para detener el servicio de la CA, vamos a los servicios: “Inicio” > “Ejecutar” > ‘services.msc’ y “Aceptar”.

Buscamos el “Servicios de Certificate Server” y sobre él, con el botón derecho > “Detener”.

Esperamos…

Y una vez que el servicio está parado, vamos a restaurar las configuraciones, primero, sobre el archivo de registro de backup, que teniamos antes (CAregister.reg), botón derecho y “Combinar”.

Sí para que nos meta la informacion de ese fichero a nuestro disco.

Aceptar

Vale, y ahora, abrimos la consola de la CA (“Inicio” > “Programas” > “Herramientas administrativas” > “Entidad emisora de certificados); sobre el servidor CA, botón derecho > “Todas las tareas” > “Restaurar la entidad emisora de certificados…”

Siguiente

Marcamos los dos checks, y seleccionamos el PATH donde está el backup que hemos realizado antes sobre el otro servidor de CA (nuestro original), y continuamos.

Metemos la clave que hemos generado antes para que nadie nos robe los certificados…

Finalizar

Vale, todo perfecto, sin problemas, le decimos que sí, que ya puede iniciarnos los servicios de la CA.

Una vez iniciados, todo debería de funcionar como antes, ya tendríamos todos los certificados movidos a una nueva CA dentro del mismo dominio.