Centro de orientações de segurança

Como Configurar o Backup do Banco de Dados da CA de Emissão

Atualizado em: 18 de Maio de 2004
Nesta página
ObjetivosObjetivos
AplicaçãoAplicação
Como usar este móduloComo usar este módulo
ResumoResumo
Configurar o backup do banco de dados da CA de emissãoConfigurar o backup do banco de dados da CA de emissão

Objetivos

Use este módulo para:

Configurar o backup do banco de dados da CA (Autoridade de Certificação) de emissão.

Início da páginaInício da página

Aplicação

Este módulo aplica–se aos produtos e às tecnologias a seguir:

Microsoft® Windows® Server™ 2003

Serviços de certificados Microsoft

Serviços de diretório do Microsoft Active Directory®

Início da páginaInício da página

Como usar este módulo

Este módulo descreve as etapas necessárias para configurar o backup do banco de dados da CA de emissão para sua PKI (Infra–estrutura de Chave Pública). As orientações do módulo podem ser usadas em sua PKI existente.

Para aproveitar ao máximo este módulo, leia primeiro o módulo, "Implementando a Infra–estrutura de Chave Pública" em Solução Microsoft para Proteção de LANs Sem Fio Guia de Criação. Ele irá proporcionar a você uma compreensão mais abrangente da construção de uma PKI.

Início da páginaInício da página

Resumo

Este módulo descreve um procedimento de gerenciamento para ser usado com a PKI (Infra–estrutura de Chave Pública), implementado como parte de uma solução segura para a WLAN (LAN sem Fio).

O objetivo dessa tarefa é fazer backup de uma cópia das chaves particulares e dos certificados da CA, do Banco de dados de certificados e de informações sobre a Configuração dos serviços de certificados. As informações sobre a Configuração dos serviços de certificados incluem qualquer configuração do sistema operacional e outras informações de estado das quais a CA depende.

Início da páginaInício da página

Configurar o backup do banco de dados da CA de emissão

Este procedimento configura uma tarefa agendada para executar um backup noturno do estado do sistema do servidor da CA. O backup da CA pressupõe que você tenha um sistema de backup do servidor corporativo devidamente instalado. Isso ocorre porque o sistema de backup corporativo fará backup do arquivo de backup criado por esse procedimento. O backup pode ser em rede ou de dispositivo local. A solução também pressupõe que o sistema de backup do servidor corporativo seja executado à noite para fazer backup dos discos do servidor da CA.

Observação: se você estiver usando um HSM (Hardware Security Module), esse procedimento poderá fazer backup do material da chave criptografada (dependendo de como o HSM funcionar), mas geralmente ele será inutilizável em um computador restaurado sem um HSM idêntico e as chaves de acesso do HSM. Siga as instruções do fornecedor do HSM para fazer backup e proteger o material da chave e as chaves de acesso.

Para configurar um backup da CA

1.

Crie um diretório para armazenar os arquivos temporários de backup — C:\CABackup, por padrão —. e proteja o diretório por meio da execução do comando a seguir:

cacls c:\CABackup /G system:F administrators:F "Backup Operators":C"CA Backup Operators":C

Observação: esse é um comando de linha única, mostrado em linhas separadas para facilitar a leitura.

2.

Se você escolher uma pasta diferente para armazenar o arquivo de backup, será preciso atualizar a configuração relacionada no script pkiparams.vbs. Altere o caminho mostrado na linha a seguir, quando necessário.

CONST SYSSTATE_BACKUP_PATH = "C:\CABackup"   ' path used by NTBackup

Observação: a mesma função de script é usada para fazer backup de CAs offline e online. Isso significa que devem ser feitas cópias separadas dos scripts, caso sejam usados caminhos diferentes para CAs diferentes.

3.

Agende o trabalho de backup para ser executado à noite por meio da execução do comando a seguir. Esse comando define o trabalho para ser executado às 2h toda noite.

SCHTASKS /Create /RU system /SC Daily /TN "CA Backup" /TR "cscript.exe  
// job:BackupCADatabase \"C:\MSSScripts\ca_operations.wsf\"" /ST 02:00

Observação: esse comando é mostrado em várias linhas na impressão. Digite–o em uma única linha.

Além disso, as barras invertidas mostradas nos dois lados do nome do script C:\MSSScripts\ca_operations.wsf, são necessárias somente quando há espaços no nome do caminho. Elas podem ser omitidas quando não há espaços no nome do caminho.

4.

Configure seu sistema de backup do servidor corporativo para fazer backup do conteúdo da pasta temporária de backup (C:\CABackup) toda noite em uma mídia removível. Se possível, defina um script de pré–requisito para verificar o arquivo de bloqueio (BackupRunning.lck, armazenado na pasta temporária de backup) que é criado pelo arquivo de script de backup enquanto ele é executado. Se esse arquivo existir, isso significa que o backup anterior falhou ou ainda está sendo executado. Uma outra opção é fazer com que o sistema de backup corporativo execute o script de backup da CA como um trabalho de pré–execução.

Observação: o script de backup, BackupCADatabase, verifica o arquivo de bloqueio e, se ele existir, o script grava um evento de erro no log do aplicativo:

Source: CA Operations 
Event ID: 30 
Event Type: Error

O backup da CA não pôde ser iniciado porque o arquivo de bloqueio C:\CABackup\BackupRunning.lck de um trabalho anterior ainda está presente. Isso pode significar que o backup anterior ainda está sendo executado.

Se o sistema de backup do servidor corporativo não tiver a capacidade de executar verificações de pré–requisito ou de executar os scripts, agende o servidor de backup para começar em um horário adequado depois que o backup do estado do sistema tiver sido iniciado. Para estimar o tempo necessário, execute um backup do estado do sistema (com verificação ativada) no servidor com o serviço Serviços de certificado desligado. (Ao fechar a CA, você evitará que os logs da CA fiquem truncados para a execução do backup desse teste.) Ele fará backup de cerca de 500 MB (Megabytes) de dados do estado do sistema. Cronometre esse backup e use o resultado para calcular o tempo aproximado para um backup do banco de dados da CA e do estado do sistema:

Ttotal = TSomenteDoEstadoDoSistema x (500 + NUsuários) / 500

Se o tempo para fazer backup somente do estado do sistema for de 10 minutos, reserve 70 minutos para uma CA com 3.000 usuários (pressupondo que existam cinco certificados por usuário e computador, por ano, armazenados por cinco anos). Isso é apenas um guia preliminar. Adicione a ele uma quantidade para o banco de dados de certificados — 1 GB (Gigabyte) para cada 50.000 certificados.

5.

Armazene a mídia de backup adequadamente.

Cuidado: esses dados de backup são altamente confidenciais porque contêm o material da chave particular da própria CA. É preciso transportá–los e armazená–los com a mesma atenção e segurança dada à CA. Armazene os dados de backup em um local físico diferente do da CA. Isso permitirá que você recupere a CA caso todos os equipamentos de computação do local sejam destruídos ou fiquem inacessíveis.


Início da páginaInício da página