Migración de Microsoft CA a EJBCA
A continuación, se proporciona información sobre la migración de una CA de Microsoft a EJBCA utilizando los mismos métodos genéricos para importar claves y certificados de CA, así como todos los certificados de usuario emitidos. Tras una migración completa, la CA anterior puede ser desmantelada. Asegúrese de mantener registros de auditoría para habilitar un registro de auditoría completo durante toda la vida útil de la CA.
Tenga en cuenta que los comandos EJBCA y MS pueden haber cambiado a medida que se lanzaron nuevas versiones.
Exportar clave MS CA e importar a EJBCA
Para exportar la clave de la entidad de certificación de Microsoft e importarla a EJBCA, utilice la función integrada para crear una copia de seguridad de una entidad de certificación de Microsoft. Para obtener más información, consulte la documentación de Microsoft sobre cómo trasladar una entidad de certificación a otro servidor .
Esto proporciona un PKCS#12 que se puede importar a EJBCA.
Inicie un nuevo "mmc" y agregue el complemento "Entidad de certificación". Haga clic con el botón derecho en la CA que desea exportar > Todas las tareas > Realizar copia de seguridad de la CA.
Siga el asistente y seleccione la clave privada y el certificado CA , la ubicación para almacenar el archivo p12 y una contraseña.
Copie el archivo p12 a la máquina EJBCA.
Ejecutar: $EJBCA_HOME/bin/ejbca.sh ca importca "MS CA v1" /path/mscakey.p12
La CA ahora debería aparecer en la GUI de administración de EJBCA.
Importar certificados existentes a EJBCA
Para importar certificados existentes en EJBCA, puede importar los certificados uno a uno si solo tiene unos pocos certificados o puede optar por importar la base de datos de certificados completa.
Importar certificados uno a la vez
Importar certificados uno a uno es adecuado si tiene varios certificados.
Los certificados se pueden exportar desde el complemento CA abriendo cada certificado y haciendo clic en "copiar a archivo".
Convierta el certificado al formato PEM con openssl: openssl x509 -in certificate.crt -inform DER -out certificate.pem -outform PEM
Importar a EJBCA con: $EJBCA_HOME/bin/ejbca.sh ca importcert nombre de usuario contraseña "MS CA v1" estado certificado.pem EndEntityProfile CertProfile
Importar toda la base de datos de certificados
La base de datos completa de certificados se almacena en \window\system32\CertLog\CA-name.edb.
El archivo Certutil.exe proporcionado por el servidor Microsoft se puede utilizar para volcar las diferentes publicaciones de la base de datos y las siguientes listas contienen nombres de posibles columnas para volcar:
certutil -schemaPara volcar todos los certificados con su UPN, nombre de plantilla, disposición (emitido, revocado) y el certificado codificado en PEM, ejecute lo siguiente:
certutil -view -restrict "GeneralFlags>0" /out "UPN,CertificateTemplate,Disposition,RawCertificate" > certdump.txtDespués de exportar los datos con certutil, impórtelos a EJBCA usando el script ejbca.sh:
./ejbca.sh ca importcertsms --help Emitir certificados para inicio de sesión con tarjeta inteligente, DC, EFS, etc.
Para obtener más información sobre EJBCA y el inicio de sesión con tarjeta inteligente, consulte Inicio de sesión con tarjeta inteligente de Microsoft .
La inscripción automática se realiza mediante un componente proxy independiente. Para más información, contacte con PrimeKey .