Upgrade CA (Certification Authority) para o Windows Server 2008

Este artigo aborda, em linhas gerais, o processo de upgrade de um servidor de certificados na versão Windows Server 2003 (Certification Authority) para o Windows Server 2008 RC0 (Active Directory Certificate Services). Vale ressaltar que um whitepaper oficial será lançado em breve, incluindo as recomendações de atualização para a versão final do Windows Server 2008.

As etapas listadas abaixo foram consideradas para o cenário de Enterprise CA (sem hierarquia) em Windows Server 2003 SP2, sem o uso de: HSM (Hardware Security Module) para as chaves; modelos (templates) de certificado adicionais, e arquivamento de chave.

Pré-requisitos

· Fazer um backup do system state;

· Se você usa um HSM, confirme com o fabricante sobre a compatibilidade com o Windows Server 2008;

· Para garantir a disponibilidade da CRL (Certificate Revocation List) no caso de o upgrade levar mais tempo do que o esperado, publique uma CRL de longa vida antes deste processo.

Para isso, realize as tarefas abaixo:

1. Desabilite CRLs delta:

certutil -setreg CA\CRLDeltaPeriodUnits 0

2. Modifique o período de publicação da CRL para, pelo menos, 1 semana:

certutil -setreg CA\CRLPeriod Days

certutil -setreg CA\CRLPeriodUnits 7

3. Clique com o botão direito em "Revoked Certificate". Devem ser exibidas as novas configurações.

4. Publique uma nova CRL base:

certutil -CRL

5. Verifique que a nova CRL está publicada, e assegure que o valor “NextUpdate” mostra a data daqui 1 semana.

· Os passos abaixo são opcionais, mas devem ser realizados caso você decida fazer uma migração, ao invés do upgrade.

1. Faça um backup da base de dados da Certification Authority (disponível pelo snap-in).

2. Exporte o certificado e as chaves da CA (o que pode requer passos adicionais, se você estiver usando um HSM).

3. Exporte a configuração de registro da chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\

4. Registre quais templates estão atribuídos à CA.

Processo de upgrade

· Faça a atualização do sistema operacional do Windows Server 2003 para o Windows Server 2008 RC0.

· Confirme que a opção “Active Directory Certificates Services” está disponível pelo Server Manager, e que o serviço está funcionando conforme o esperado.

Após a atualização, caso você queira usar os novos modelos do Windows Server 2008, abra a “certtmpl.msc” para instalar os templates no Active Directory (requer permissão de Enterprise Admins).

 

Mais informações:

Windows Server Active Directory Certificate Services Step-by-Step Guide

 

Active Directory Certificate Services Technical Library