Respaldando las Llaves Privadas de una CA Windows Server 2008
Le dejo este post porque ahora sespaldar una entidad certificadora (ADCS) Windows Server 2008 o Windows Server 2008 R2 incluye unos pasos extra si lo comparamos con versiones anteriores de Windows. Server 2008 incorpora cambios en como el almacén de las llaves privadas es mantenido y relacionado con el sistema de archivos. Ahora la llave privada se almacena en la carpeta escondida “%systemdrive%\ProgramData\Microsoft\Crypto\Keys” la cual esta accesible vía “%systemdrive%\users\all users\microsoft\crypto\keys”, es por ello como resultado un respaldo del “System State” ya no incluye las llaves privadas de un CA.
Se recomienda entonces que las llaves de privadas de una CA sean resguardadas para que así la entidad pueda ser apropiadamente recuperada o migrada a un nuevo servidor.Ahora además delos respaldos regulares del System State se recomienda usar uno de los siguientes métodos para proteger la llave privada:
- Desde una línea de comando en la CA, correr el siguiente comando certutil –backupKey, se solicitara la definición de contraseña para asignar al archivo p12.
- Usando la consola de administración de la entidad certificadora, hacer un click derecho en el nombre de la CA, dirigirse a Todas las Tareas > Respaldar CA. Un ayudante solicitara indicar la llave privada a resguardar y la contraseña a asignar. En este caso, el archivo p12 creado es las esencia de la organización de PKI y deberá ser protegido de forma adecuada ya que su uso no autorizado permitiría a un usuario crear y utilizar certificados validos que se podrán usar en el ambiente.
Este tipo de respaldo deberá realizarse cada vez que la llave privada sea renovada o re-emitida.