Renovando Certificado de CA

A CA não serve somente para gerar certificados para outras máquinas/usuários, mas ela também necessita de um certificado próprio. Normalmente, a vigência desse certificado é maior do que os emitidos por ela, ainda mais que no momento em que o certificado dela expirar, todos os certificados emitidos por ela, perderão a validade também. Pode chegar um momento onde seja necessário fazer a solicitação de um novo. Caso esse momento chegue, o procedimento é, um tanto quanto simples.

No caso de um CA Enterprise, a publicação é feita diretamente no AD. Começamos então com o procedimento de renovação:

1 – No console da CA, após clicar com o botão direito na CA, há a opção de Renew CA Certificate

CA1

2 – Será solicitado que o serviço de ADCS seja parado;

3 – Após há a opção de criar um novo par de chaves ou manter o existente:

CA2

4 – Após o OK, o novo certificado será gerado e o serviço será iniciado novamente.

Caso o novo certificado seja criado com sucesso, ele pode ser visto aqui:

CA3

Após esse procedimento, 3 novos certificados são gerados para a CA, 2 de transição (CAName(0-1) e CAName(1-0)) e o definitivo (CAName(1)). Eles fazem referência as CRLs (Certificate Revocation Lists) e podem ser encontrados no seguinte caminho: C:WindowsSystem32CertSrvCertEnroll

CA4

O evento 101 nos eventos do Active Directory Certificate Services, são referentes a essa transição.
Com a renovação, as CRLs devem ser atualizadas também. Já que para a emissão de novos certificados, dependem das CRLs. Caso a CA não consiga verificar um CRL válida, o certificado não é emitido. O endereço das CRLs podem ser verificados com o “pkiview.msc” ou abrindo o Snap-In de “Enterprise PKI” via MMC.

CA5

É possível verificar que ao lado do nome da CA, há a versão da mesma, indicando quantas vezes o certificado já foi renovado. Como nesse caso, ela foi renovada uma vez, a versão já passou de 0.0 para 1.1, assim como há 2 nomes de cada Location.

Tendo ao menos uma das opções de CRL com o status “OK”, a CA será capaz de emitir um certificado, mas é bom manter todas as opções de CRL disponíveis. Caso as CRLs não estejam publicadas corretamente, há a opção do reboot do servidor, para que elas sejam republicadas automaticamente, ou então, utilizando o comando certutil:

– Com um CMD executado com elevação, o seguinte comando força a publicação da CRL no AD:
certutil -dspublish -f “caminho da CRL” “nome do servidor”  “nome da CA”

Por hoje é só pessoal!

Artigo Originalmente escrito por Jonathan Schirmer

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s