Copia de seguridad de entidad de certificación y restauración de Windows PowerShell
Autor: Justin Turner, ingeniero sénior de escalación de soporte técnico con el grupo de Windows
Nota
Este contenido está escrito por un ingeniero de asistencia al cliente de Microsoft y está destinado a los arquitectos de sistemas y administradores con experiencia que están buscando explicaciones técnicas más detalladas de características y soluciones de Windows Server 2012 R2 que los temas que se suelen proporcionar en TechNet. Sin embargo, no ha experimentado los mismos pasos de edición, por lo que parte del lenguaje puede parecer menos perfeccionado de lo que se encuentra normalmente en TechNet.
Información general
El módulo ADCSAdministration Windows PowerShell se introdujo en Window Server 2012. Se agregaron dos nuevos cmdlets a este módulo en Window Server 2012 R2 para admitir la copia de seguridad y restauración de una entidad de certificación.
Backup-CARoleService
Restore-CARoleService
Backup-CARoleService
Cmdlet ADCSAdministration: Backup-CARoleService
| Argumentos: los argumentos en negrita son obligatorios. | Descripción |
|---|---|
| -Path | - Cadena: ubicación para guardar la copia de seguridad - Este es el único parámetro sin nombre - parámetros posicionales Ejemplo: Backup-CARoleService.-Path c:\adcsbackup1 Backup-CARoleService c:\adcsbackup2 |
| -KeyOnly | - Copia de seguridad del certificado de entidad de certificación sin la base de datos Ejemplo: Backup-CARoleService c:\adcsbackup3 -KeyOnly |
| -Password | - Especifica la contraseña para proteger los certificados de entidad de certificación y las claves privadas - Debe ser una cadena segura - No es válido con el parámetro -DatabaseOnly Ejemplo: Backup-CARoleService c:\adcsbackup4 -Password (Read-Host -prompt "Password:" -AsSecureString) Backup-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force) |
| -DatabaseOnly | - Copia de seguridad de la base de datos sin el certificado de entidad de certificación Backup-CARoleService c:\adcsbackup6 -DatabaseOnly |
| -Force | 1. Permite sobrescribir la copia de seguridad que existe previamente en la ubicación especificada en el parámetro -Path Backup-CARoleService c:\adcsbackup1 -Force |
| - Incremental | - Realización de una copia de seguridad incremental Backup-CARoleService c:\adcsbackup7 -Incremental |
| -KeepLog | 1. Indica al comando que mantenga los archivos de registro. Si no se especifica el cambio, los archivos de registro se truncan de forma predeterminada, excepto en el escenario incremental Backup-CARoleService c:\adcsbackup7 -KeepLog |
-Password <cadena segura>
Si se usa el parámetro -Password, la contraseña proporcionada debe ser una cadena segura. Use el cmdlet Read-Host para iniciar una solicitud interactiva de entrada de contraseña segura o use el cmdlet ConvertTo-SecureString para especificar la contraseña en línea.
Revise los ejemplos siguientes:
Especificar una cadena segura para el parámetro Password mediante Read-Host
Backup-CARoleService c:\adcsbackup4 -Password (Read-Host -prompt "Password:" -AsSecureString)
Especificar una cadena segura para el parámetro Password mediante ConvertTo-SecureString
Backup-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force)
Restore-CARoleService
ADCSAdministration Cmdlet: Restore-CARoleService
| Argumentos: los argumentos en negrita son obligatorios. | Descripción |
|---|---|
| -Path | - Cadena: ubicación desde la que restaurar la copia de seguridad - Este es el único parámetro sin nombre - parámetros posicionales Ejemplo: Restore-CARoleService.-Path c:\adcsbackup1 -Force Restore-CARoleService c:\adcsbackup2 -Force |
| -KeyOnly | - Restauración del certificado de entidad de certificación sin la base de datos - Debe especificarse si la copia de seguridad se realizó con la opción -KeyOnly Ejemplo: Restore-CARoleService c:\adcsbackup3 -KeyOnly -Force |
| -Password | - Especifica la contraseña de los certificados de entidad de certificación y las claves privadas - Debe ser una cadena segura Ejemplo: Restore-CARoleService c:\adcsbackup4 -Password (read-host -prompt "Password:" -AsSecureString) -Force Restore-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force) -Force |
| -DatabaseOnly | - Restauración de la base de datos sin el certificado de entidad de certificación Restore-CARoleService c:\adcsbackup6 -DatabaseOnly |
| -Force | - Permite sobrescribir las claves preexistentes. - Es un parámetro opcional, pero al restaurar en contexto, es probable que sea necesario. Restore-CARoleService c:\adcsbackup1 -Force |
Issues
Se realiza una copia de seguridad protegida sin contraseña si se produce un error en la función ConvertTo-SecureString mientras se usa Backup-CARoleService con el parámetro -Password.
Errores comunes
| Acción | Error | Comentario |
|---|---|---|
| Restore-CARoleService C:\ADCSBackup | Restore-CARoleService: el proceso no puede acceder al archivo porque está siendo utilizado en otro proceso. (Excepción de HRESULT: 0x80070020) |
Detenga el servicio Servicios de certificados de Active Directory antes de ejecutar el cmdlet Restore-CARoleService |
| Restore-CARoleService C:\ADCSBackup | Restore-CARoleService: el directorio no está vacío. (Excepción de HRESULT: 0x80070091) | Uso del parámetro -Force para sobrescribir las claves preexistentes |
| Backup-CARoleService C:\ADCSBackup -Password (Read-Host -Prompt "Password:" -AsSecureString) -DatabaseOnly | Backup-CARoleService: el conjunto de parámetros no se puede resolver con los parámetros con nombre especificados. | El parámetro -Password solo se usa para proteger las claves privadas con contraseña y, por tanto, no es válido cuando no se realiza una copia de seguridad de ellas |
| Restore-CARoleService C:\ADCSBack15 -Password (Read-Host -Prompt "Password:" -AsSecureString) -DatabaseOnly | Restore-CARoleService: el conjunto de parámetros no se puede resolver con los parámetros con nombre especificados. | El parámetro -Password solo se usa para proteger las claves privadas y, por tanto, no es válido cuando no se restauran |
| Restore-CARoleService C:\ADCSBack14 -Password (Read-Host -Prompt "Password:" -AsSecureString) | Restore-CARoleService: el sistema no puede encontrar el archivo especificado. (Excepción de HRESULT: 0x80070002) | La ruta de acceso especificada no contiene una copia de seguridad de base de datos válida. ¿Es posible que la ruta de acceso no sea válida o se haya realizado la copia de seguridad con la opción -KeysOnly? |
Recursos adicionales
Guía de migración de los Servicios de certificados de Active Directory
Hacer una copia de seguridad de una base de datos y clave privada de CA
Restaurar la base de datos y configuración de CA en el servidor de destino
Pruebe lo siguiente: realice una copia de seguridad de la entidad de certificación en el laboratorio mediante Windows PowerShell
Use los comandos de esta lección para realizar una copia de seguridad de la base de datos de la entidad de certificación y la clave privada protegidas con una contraseña.
Mantenga desactivada la restauración de la entidad de certificación en este momento.