Emisor CA A menudo es necesario desmantelarlo por diversas razones, como por ejemplo:

El sistema operativo está llegando al final de su vida útil.
CA podría estar comprometida
CA está teniendo problemas operativos y es demasiado complicado solucionarlo.

Sea cual sea el motivo, migrar a una nueva CA emisora puede parecer sencillo. Sin embargo, puede conllevar nuevos desafíos, como mitigar riesgos, minimizar el impacto operativo, etc.

Al migrar las CA emisoras, debemos asegurarnos de que:

Los certificados actuales que se emiten permanecen operativos hasta que expire su validez.
La antigua CA emisora no debería emitir más certificados.
Podemos movernos a otros puntos CDP/AIA según los cambios requeridos, pero la CA emisora tendría una operación mínima y ningún impacto en el Infraestructura PKI.

Requisitos previos

Antes de comenzar, necesita un nuevo servidor que actúe como la nueva CA emisora. El servidor debe estar configurado y la CA emisora debe estar instalada.

Pasos para migrar

Estos pasos ayudarán a las organizaciones a migrar a una nueva CA emisora.

Si no se cambian los puntos CDP/AIA, los pasos 2, 4 y 5 son opcionales y no deben seguirse.

Inicie sesión en la antigua CA emisora
Identificar los puntos de distribución de CDP/AIA (opcional)
1. Abrir el símbolo del sistema
2. Escribe el comando
  
  certutil -getreg CA\URLs de publicación de certificados CA
3. Documentar los puntos HTTP AIA. Ignorar LDAP y C:\%windir%
  
  Según la captura de pantalla, el punto AIA es http://pki.encon.com/CertEnroll/%1_%3%4.crt
  
  %1 se refiere a ServerDNSName
  
  %3 se refiere a CaName
  
  %4 se refiere al nombre del certificado
  
  URL real: http://pki.encon.com/CertEnroll/iCA2016.encon.com_iCA2016.crt
4. Escribe el comando
  
  certutil -getreg CA\CRLPublicationURLs
5. Documente los puntos CDP HTTP. Ignore LDAP y C:\%windir%
  
  Según la captura de pantalla, el punto CDP es http://pki.encon.com/CertEnroll/%3%8%9.crl
  
  %3 se refiere a CaName
  
  %8 se refiere a CRLNameSuffix
  
  %9 se refiere a DeltaCRLAllowed
  
  URL real: http://pki.encon.com/CertEnroll/iCA2016.crl

Deshabilitar la CRL Delta y emitir una nueva larga Lista de revocación de certificados (CRL)
1. Abrir la consola de la autoridad de certificación
2. Haga clic derecho en Certificados revocados y luego haga clic en Propiedades
3. Desmarque “Publicar Delta CRL”
4. Editar el “Intervalo de publicación de CRL” a 99 años
  
  haga clic en Aceptar
5. Abra el símbolo del sistema como administrador
6. Escriba el siguiente comando
  
  certutil-crl
Copiar los archivos de certificado (crt) y lista de revocación de certificados (CRL) de la antigua CA a los nuevos puntos CDP/AIA (opcional)
1. Navegue a %windir%\System32\CertSrv\CertEnroll
2. Copiar los archivos crt y CRL de la antigua CA a los nuevos puntos CDP/AIA
Redirigir los puntos AIA y CDP de la antigua CA a la nueva ubicación

Esto se puede hacer usando un
1. Redirección de IIS, o
2. DNS CNAME
  redirigiendo la AIA y CRL de la antigua Autoridad de Certificación.
Documentar todas las plantillas de certificado y detener la publicación de certificados en la antigua CA emisora
1. Abra la línea de comandos con privilegios elevados
2. Ejecutar
  
  Certutil -catemplates > c:\catemplates.txt
  
  y documentar todas las plantillas de certificado publicadas en la antigua Autoridad de Certificación
  
  En total, plantillas de certificado están presentes.
3. Iniciar la consola de la autoridad de certificación
4. Vaya a “Plantillas de certificado”
5. Resalte todas las plantillas en el panel derecho, haga clic derecho y luego haga clic en "Eliminar".
  
  La antigua autoridad de certificación no puede emitir certificados y todas sus AIA y CRL se redirigen a un nuevo punto de distribución de CRL. Los siguientes pasos detallarán cómo los usuarios pueden documentar las plantillas de certificados publicadas en la antigua CA emisora y cómo ponerlas a disposición de la nueva CA emisora.
Ordenar la base de datos de la autoridad de certificación, identificar y documentar todos los certificados emitidos según las plantillas de certificados
1. Abrir la consola de autoridad de certificación.
2. Resaltar certificados emitidos.
3. Muévase hacia la derecha y ordene por “Plantillas de certificado”.
4. Identificar los certificados que son emitidos por tipos de plantillas de certificado predeterminados.
5. Documentar los certificados emitidos por plantillas de certificado personalizadas, es decir, cualquier plantilla que no sean las plantillas de certificado predeterminadas.

Certificados de documentos basados en tipos de plantillas de certificado predeterminados
1. Abrir el símbolo del sistema con privilegios elevados
2. Ejecutar
  
  Certutil -view -restrict “Plantilla de certificado=Plantilla" -out “Número de serie,No después,Nombre distinguido,Nombre común”> c:\TemplateType.txt
  
  Nota: Reemplace la plantilla con el nombre de plantilla correcto
3. Revise la salida en TemplateType.txt y documente todos los certificados que necesitan una acción inmediata (requiriendo la emisión de la nueva infraestructura de CA si es necesario, como el Certificado de servidor web)
4. Consulte con los administradores de aplicaciones que utilizan los certificados para determinar el mejor enfoque para reemplazar los certificados si es necesario
Certificados de documentos basados en tipos de certificados personalizados
1. Consola de autoridad de certificación abierta
2. Haga clic derecho en Plantillas de certificado y Haga clic en Administrar
3. Haga doble clic en la plantilla de certificado y haga clic en la pestaña “Extensiones”
4. Haga clic en “Información de la plantilla de certificado”
5. Copie el número de Identificador de objeto (OID): el número se verá similar a
  1.3.6.1.4.1.311.21.8.5363900.15781253.12798358.11444918.12080715.141.12736713.11129372
6. Abra el símbolo del sistema con privilegios elevados
7. Ejecutar
  
  Certutil -view -restrict “Plantilla de certificado= 1.3.6.1.4.1.311.21.8.5363900.15781253.12798358.11444918.12080715.141.12736713.11129372 " -out “Número de serie,No después,Nombre distinguido,Nombre común”> c:\CustomTemplateType.txt
  
  Nota: Reemplace el número OID con el número identificado en el paso 5
8. Examinar la salida de c:\Tipo de plantilla personalizada.txt y documentar todos los certificados que necesitan una acción inmediata (requiriendo la emisión de la nueva infraestructura de CA si es necesario, como certificados SSL personalizados).
9. Consulte con el administrador de la aplicación que utiliza los certificados para determinar el mejor enfoque para reemplazar los certificados si es necesario.
Habilite las plantillas de certificado necesarias en los resultados de los pasos 7 a 9 en la nueva CA emisora
1. Iniciar sesión en la nueva CA emisora.
2. Haga clic derecho en “Plantillas de certificado”, haga clic en Nuevo y haga clic en “Plantillas de certificado para emitir”.
3. Seleccione todas las plantillas de certificado necesarias en la ventana “Habilitar plantillas de certificado” y haga clic en >Está bien.

Conclusión

Con estos pasos, las organizaciones pueden migrar a la nueva CA emisora mientras desmantelan la antigua. Dado que Windows 2012 finaliza en octubre de 2023, las organizaciones necesitan una solución que les ayude a migrar a sistemas operativos más nuevos con un impacto mínimo.

Si su organización necesita ayuda con esta migración, no dude en enviarnos un correo electrónico a info@encryptionconsulting.comy nos aseguraremos de que su migración se realice de la forma más fluida posible.