none
Mover entidad emisora de certificados RRS feed

  • Pregunta

  • Buenas tardes,

    Os comento el problema que tengo y que no se como afrontar. Tengo un DC con 2003 y OCS 2007 montado sobre el mismo. Queria despromocionarlo como DC, para que solo se quedara con el rol de OCS, pero al lanzar el dcpromo, me daba un error, diciendo que este servidor es Entidad emisora de certificados. Efectivamente lo es, y es donde tienen montado el certificado para OCS.

    El resto de DCS que tengo son 2008, ya se acaban de migrar de 2003 a 2008, y la despromocion de OCS como DC era el ultimo paso para dejarlo limpio. Entiendo que tendre que mover la entidad certificadora de 2003 a 2008. No entiendo mucho de entidades emisoras de certificados. ¿Tiene que estar sobre un DC montada?

    He visto este enlace de Microsoft:

    http://support.microsoft.com/kb/298138

    Esto se puede hacer desde un 2003 a un 2008?? La verdad como desconozco del tema no se que efectos podria tener, ya que el servidor de OCS 2007 no se apagaria, por lo que entiendo que tendria que sacar el backup de la entidad y de la BBDD y luego parar el servicio o desistalar la consola para montar la nueva entidad emisora sobre el DC en 2008. ¿Y OCS veria esto sin problemas??

    No se si me explique bien, agradeceria vuestra ayuda, muchas gracias de antemano.

    lunes, 4 de abril de 2011 14:34

Respuestas

  • Como mencioné antes. Yo probaría usar el procedimiento del artículo de la KB primero en un ambiente de laboratorio, ya sea con los pasos mencionados en el mismo, o viendo qué hay que cambiar en el caso de W2008. Estar seguro que todo se puede hacer sin problemas, y recién entonces trabajando en ambiente productivo moverla a otro servidor.

    Luego ya puedes despromover el Controlador de Dominio

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Tropoglar martes, 5 de abril de 2011 18:36
    martes, 5 de abril de 2011 17:43
    Moderador

Todas las respuestas

  • No te podría dar toda la respuesta, pero si de alguna de las preguntas.

    Realmente no sé si aplicará también para un W2008, habría que probar en ambiente de laboratorio. Lo que sí debes tener en cuenta es la versión. Si es Standard a Standard, pero si es Enterprise a Enterprise, ya que la fomra de manejar la CA es diferente.

    Un CA no necesita estar en un DC, esto es seguro

    Depende de la configuración de la CA, pero no estoy seguro que sea solamente mover la base, recuerda que está además la CRL que consultan los clientes.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 4 de abril de 2011 18:44
    Moderador
  • Gracias por contestar Guillermo,

    Pues la cuestion, esque al final, sin mi consentimiento claro esta, han optado por desistalar el complemente de entidad certificadora, hecho esto han podido despromocionar el controlador, y luego han querido instalar la entidad de nuevo, pero claro ya se habia perdido la configuracion. Se habia hecho antes una copia de la entidad y se ha probado a restaurarla, pero da un error de clave. La cuestion esque al instalar de nuevo la consola de entidad emisora de certificados, le han puesto el mismo nombre, y el sistema reconocia una igual y se ve que se ha machacado la anterior, y incluso restaurando la copia da este error. Tal vez sea, de la entrada del registro que tb se haya cambiado al machacarla.

    Asi que ahora no funciona OCS, y bueno parece que habra que empezar de cero con la entidad certificadora y volver a desplegar los certificados por los clientes...

    Gracias de todas formas por contestar Guillermo...

    lunes, 4 de abril de 2011 18:57
  • Feo feo lo que han hecho.

    No sirve para nada que le pongan el mismo nombre de la anterior, al contrario va a complicar mucho más el restablecimiento de la autoridad certificadora :-(

    En un esquema de clave pública, cada ente posee dos claves, una marcada como Pública, y otra como Privada. Estas dos claves son diferentes pero complementarias, esto es, si se cifra con una se des-cifra con la otra.
    Y este par de claves son generadas en forma aleatoria durante la creación de la CA

    Cada vez que se crea una CA, se genera su propio par de claves (pública y privada)

    Además, si se va a cambiar de autoridad certificadora, es importante previamente revocar los certificados extendidos.

    Si llegan a poner el mismo nombre a la nueva CA ¿puedes imaginar la "galleta" que se va a producir?

    Por lo menos que creen una CA con nombre fácilmente diferenciable.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 4 de abril de 2011 21:07
    Moderador
  • Ok Guillermo,

    Suponiendo que consigamos estar en el mismo caso anterior a la actuacion. Tenemos un DC que es entidad certificadora, y queremos despromocionar el DC, pero que siga siendo entidad certificadora. Para despromocionarlo tenemos que quitar la consola de entidad certificadora. ¿Cuales crees que serian los pasos que habria que dar, para despromocionarlo con éxito y luego volver a montar la entidad certificadora y que funcione como antes??

    Muchas gracias de antemano.

    • Marcado como respuesta Tropoglar martes, 5 de abril de 2011 18:36
    • Desmarcado como respuesta Tropoglar martes, 5 de abril de 2011 18:36
    martes, 5 de abril de 2011 8:20
  • Como mencioné antes. Yo probaría usar el procedimiento del artículo de la KB primero en un ambiente de laboratorio, ya sea con los pasos mencionados en el mismo, o viendo qué hay que cambiar en el caso de W2008. Estar seguro que todo se puede hacer sin problemas, y recién entonces trabajando en ambiente productivo moverla a otro servidor.

    Luego ya puedes despromover el Controlador de Dominio

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Tropoglar martes, 5 de abril de 2011 18:36
    martes, 5 de abril de 2011 17:43
    Moderador
  • Efectivamente, aunque no se trata de otro servidor, parece que en un entorno virtual ha funcionado. asi que ahora habra que llevarlo a produccion. Muchas gracias Guillermo por tus consejos.
    martes, 5 de abril de 2011 18:36