none
Mover CA a servidor con DISTINTO nombre RRS feed

  • Pregunta

  • Buenos días, me gustaría saber si es posible en un entorno Windows 2003 Server R2 mover la Certificaction Authority de un servidor a otro. He encontrado documentación sobre moverla a otro servidor con el mismo nombre pero en mi caso es absolutamente necesario que el nombre del nuevo servidor sea diferente. Alguien sabe si existe esa posibilidad?? Muchas gracias.-
    martes, 9 de agosto de 2011 11:07

Respuestas

  • Es la pega de las CA, que están asociadas al nombre de la máquina. Personalmente creo que no debería ser así, de tal forma que la migración de una CA sería mucho más sencilla, pero por desgracia así es como está implementado.

    Al menos para tu caso no es problema eliminar la existente y crear una nueva en un servidor con distinto nombre.


    Saludos
    José Antonio Quílez
    Mi Blog
    • Propuesto como respuesta Ismael Borche viernes, 12 de agosto de 2011 21:37
    • Marcado como respuesta Ismael Borche lunes, 15 de agosto de 2011 15:54
    jueves, 11 de agosto de 2011 17:09
    Moderador

Todas las respuestas

  • Aquí tienes el procedimiento para pasarlo a un nuevo servidor, aunque al final pasa a tener el mismo nombre que tenía el original. No he visto procedimiento para mover la CA a un servidor que se quede con otro nombre. En este caso, deberías instalar la nueva CA raíz y regenerar todos los certificados, así como volver a reinstalar las CA subordinadas.

    http://support.microsoft.com/kb/555012/en-us


    Saludos
    José Antonio Quílez
    Mi Blog
    martes, 9 de agosto de 2011 17:09
    Moderador
  • Esa opción ya la había visto por eso he puesto el matiz de que el nombre es distinto.
    Y existe forma de desinstalar y volver a instalar de nuevo, no es problema revocar certificados porque nolos uso, es decir he establecido una CA porque al instalar OWA me obliga creo recordar. Luego tengo unos cinco usuarios móviles que no se conectan por SSL con lo que es un hecho que los certidficados no los uso. Por ello me bastaría desinstalar TODO y volver a instalarlo de nuevo en el otro servidor pero me he encontrado un par de artículos y no lo tengo muy claro...
    Un saludo y gracias
    martes, 9 de agosto de 2011 21:23
  • Hola, Juan:

    No acabo de comprender exactamente el concepto que señalas de "cambiar el nombre", ya que podría interpretarlo como cambiar el nombre al servidor CA raíz, o por el contrario, te refieres a que quieres cambiar el CA raíz por otro perteneciente a otro sufijo de dominio distinto..

    La primera opción no es viable de forma directa, lo siento. Es mucho más eficiente generar y almacenar los agentes de recuperación de los certificados emitidos actualmente, degradar el CA del dominio (eliminando los servicios de certificación, por supuesto) y una vez ajustado el nuevo nombre, volver a aregarlo al dominio e implementar los servicios, junto con los agentes de recuperación anteriores para los clientes que tuvieran datos cifrados.

    La segunda opción es bastante más sencilla, pero sólo podría ser viable a partir de un certificado que admitiera 2 nombres de dominio diferentes, que por lo general sólo puedes adquirirlos desde una emisora CA global (como puede ser Comodo, Verisign.. etc) que te lo ofrecerá a un precio.. importante. Los CA raíz corporativos son autoritarios, y no admiten emisión de certificados que no sean para el dominio (o como mucho, subdominio) al que pertenecen. Quizá la opción de protocolos de confianza entre dominios podría ser factible en éste caso concreto, pero siendo sincero, yo nunca lo he hecho, y no puedo darte un resultado certero, lo siento..


    Espero haberte servido de ayuda Un saludo ------------------------------------------ Desiderio Ondo | Computer systems engineer MCSE certified | ITIL certified
    miércoles, 10 de agosto de 2011 8:33
  • Es la pega de las CA, que están asociadas al nombre de la máquina. Personalmente creo que no debería ser así, de tal forma que la migración de una CA sería mucho más sencilla, pero por desgracia así es como está implementado.

    Al menos para tu caso no es problema eliminar la existente y crear una nueva en un servidor con distinto nombre.


    Saludos
    José Antonio Quílez
    Mi Blog
    • Propuesto como respuesta Ismael Borche viernes, 12 de agosto de 2011 21:37
    • Marcado como respuesta Ismael Borche lunes, 15 de agosto de 2011 15:54
    jueves, 11 de agosto de 2011 17:09
    Moderador