Postup vyřazení certifikačního úřadu rozlehlé sítě systému Windows a všechny související objekty odebrat ze systému Windows Server 2003 a Windows Server 2000

Překlady článku Překlady článku
ID článku: 889250 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Při odinstalaci certifikační autority jsou obvykle stále vynikající certifikáty vystavené Certifikačním úřadem. Pokud jsou zpracovány nevyřízené certifikáty různých klientských počítačů infrastrukturu veřejného klíče, ověření se nezdaří a nebudou použity tyto certifikáty.

Tento článek popisuje, jak odvolat certifikáty vynikající a jak provést různé úkoly potřebné pro úspěšné odinstalování certifikačního úřadu. Kromě toho tento článek popisuje několik nástrojů, které můžete použít pomáhá odstranit objekty certifikační Autority z vaší domény.

ÚVOD

Tento článek popisuje, jak vyřadit z provozu Certifikační Autoritu rozlehlé sítě systému Microsoft Windows a odebrání všech souvisejících objektů Adresářová služba Active Directory.

Krok 1: Odvolat všechny aktivní certifikáty vydává certifikační Autoritu rozlehlé sítě.

  1. Klepněte na tlačítko Spustit, přejděte na příkazNástroje pro správua klepněte na tlačítko Certifikace Orgán.
  2. Rozbalte certifikační Autority a poté klepněte Vydal Certifikáty složka.
  3. V pravém podokně klepněte na jeden z vystavených certifikátů a stiskněte kombinaci kláves CTRL + A vyberte všechny vystavené certifikáty.
  4. Klepněte pravým tlačítkem myši na vybrané certifikáty, klepněte na tlačítko Všechny Úkoly a potom klepněte na tlačítko Odvolat certifikát.
  5. V Odvolání certifikátu Dialogové okno Klepnutím vyberte Ukončení provádění operací jako důvod odvolání a klepněte na tlačítko OK.

Krok 2: Zvyšte interval publikování seznamu CRL

  1. V konzola Microsoft Management Console certifikačního úřadu (MMC) modulu snap-in klepněte pravým tlačítkem myši Odvolané certifikáty složky, a potom klepněte na tlačítko Vlastnosti.
  2. V Interval publikování seznamu CRL Napište: vhodně dlouhou hodnotu a klepněte na OK.
Poznámka: By měla být doba platnosti tohoto seznamu odvolaných certifikátů (CRL) delší než doba, která zůstává certifikátů, které byly odvolán.

Krok 3: Publikovat nový seznam CRL

  1. V modulu snap-in MMC certifikačního úřadu, klepněte pravým tlačítkem myšiOdvolané certifikáty složka.
  2. Klepněte na tlačítko Všechny úkolya klepněte na tlačítkoPublikovat.
  3. V Publikování seznamu CRL Dialogové okno, klepněte na tlačítkoNový seznam CRLa klepněte na tlačítko OK.

Krok 4: Zamítnout všechny žádosti čekající na vyřízení

Ve výchozím nastavení neukládá CÚ rozlehlé žádosti o certifikát. Správce však může změnit toto výchozí chování. Žádné nevyřízené Odepřít žádosti o certifikát, postupujte takto:
  1. V modulu snap-in MMC certifikačního úřadu, klepněte Složka požadavky čekající na vyřízení.
  2. V pravém podokně klepněte na jednu z žádosti čekající na vyřízení a stiskněte kombinaci kláves CTRL + A vyberte všechny čekající certifikáty.
  3. Klepněte pravým tlačítkem myši na vybrané žádosti, klepněte na tlačítko Všechny Úkolya klepněte na tlačítko Zamítnutí žádosti.

Krok 5: Odinstalace služby Certificate Services ze serveru

  1. Ukončení Certifikační služby, klepněte na tlačítko Spustit, Klepněte na tlačítko Spustit, typ cmda potomOK.
  2. Na příkazovém řádku zadejte následující příkaz: certutil -vypnutí, a stiskněte klávesu ENTER.
  3. Seznam všechna úložiště klíčů v místním počítači, zadejte:certutil-klíč na příkazovém řádku. Tento příkaz bude zobrazte názvy všech nainstalovaných zprostředkovatelů kryptografických služeb (CSP) a klíče obchody, které jsou spojeny s každého zprostředkovatele. Mezi uvedená klíče obchody, zobrazí se název certifikační Autority uvedeny vícekrát, jak je uvedeno v Následující příklad.
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Odstraníte privátní klíč, který je spojen s certifikačním úřadem. Chcete-li to provést, zadejte na příkazový řádek následující:
    certutil - delkey CertificateAuthorityName
    Poznámka: Pokud název certifikačního úřadu obsahuje mezery, uzavřete název do nabídky značky.

    V tomto příkladuCertificateAuthorityName je Windows2000 Enterprise Kořenový certifikační úřad. Příkaz v tomto příkladu je tedy následující:
    certutil - delkey "Windows2000 podnikový kořenový certifikační úřad"
  5. Ověřte, zda klíče obchody seznam soukromý klíč pro certifikační úřad byl odstraněn.
  6. Odstranit privátní klíč certifikační autority, odinstalujte Certifikační služby. Postupujte takto:
    1. Ukončete modul snap-in MMC certifikačního úřadu, pokud je přesto otevřete.
    2. Klepněte na tlačítko Spustit, přejděte na příkaz Ovládací prvek Panela klepněte na tlačítko Přidání nebo odebrání Programy.
    3. Klepněte na tlačítko Přidat nebo odebrat systém Windows Součásti.
    4. V Součásti Zrušte zaškrtnutí pole na Certifikační služby políčko, klepněte na tlačítko Dalšía potom postupujte podle pokynů Systém Windows Průvodce součástmi Dokončete odebrání certifikátu Služby.

Krok 6: Odebrat objekty certifikační Autority ze služby Active Directory

Při instalaci certifikační služby společnosti Microsoft na serveru, je členem domény, vytvořeno několik objektů v konfiguraci kontejner služby Active Directory.

Tyto objekty jsou následující:
  • objekt certificateAuthority
    • V KN = AIA, CN = veřejný klíč Services, CN = Services, CN = Configuration, DC =Kořenová_doména_struktury.
    • Obsahuje certifikát pro certifikační úřad.
    • Publikované přístup k informacím úřadu (AIA) umístění.
  • objekt crlDistributionPoint
    • V CN =Název_serveruCN = CDP, CN = Public Key Service, CN = Services, CN = Configuration, DC =Doménu struktury ForestRootDC = com.
    • Obsahuje seznam CRL pravidelně zveřejní CERTIFIKAČNÍ ÚŘAD.
    • Publikované distribuční bod seznamu CRL (CDP) umístění
  • objekt certificationAuthority
    • V KN certifikačních úřadů, CN = = veřejný klíč Services, CN = Services, CN = Configuration, DC =Doménu struktury ForestRootDC = com.
    • Obsahuje certifikát pro certifikační úřad.
  • objekt pKIEnrollmentService
    • V CN = zápis Services, CN = veřejný klíč Services, CN = Services, CN = Configuration, DC =Doménu struktury ForestRootDC = com.
    • Vytvořit certifikační Autoritu rozlehlé sítě.
    • Obsahuje informace o typech certifikátů certifikační úřad nakonfigurován k problému. Oprávnění pro tento objekt můžete řídit. které objekty zabezpečení můžete zapsat proti tomuto CÚ.
Při odinstalování certifikačního úřadu pouze objekt pKIEnrollmentService je odebrána. To zabrání klientům proti zápisu odebraným certifikačního úřadu. Ostatní objekty zachován, protože jsou certifikáty vydán Certifikačním úřadem, jsou pravděpodobně stále vynikající. Tyto certifikáty musí být odvoláno postupem v "krok 1: zrušení všech aktivních certifikáty vydává certifikační Autoritu rozlehlé sítě"části.

Pro Veřejné infrastruktury klíčů (PKI) klientské počítače úspěšně zpracovat tyto vynikající certifikáty počítačů musí najít informace o úřadu Přístup (AIA) a CRL distribuční bod cesty ve službě Active Directory. Je zboží zrušit všechny nevyřízené certifikáty vhodné prodloužit životnost seznamu CRL a publikovat seznam odvolaných certifikátů ve službě Active Directory. Pokud jsou vynikající certifikáty zpracovány různé klienty PKI, ověření se nezdaří a ty certifikáty nebudou použity.

Pokud není prioritou zachování distribuční bod seznamu CRL a AIA v adresáři Active Directory, můžete odebrat tyto objekty. Neodebírejte tyto objekty, pokud očekáváte zpracovat jeden nebo více dříve aktivní digitální certifikáty.

Odebrat všechny certifikační Objekty služby Active Directory

Poznámka: Šablony certifikátů by neměla odebrat ze služby Active Directory do, po odebrání všech objektů CA v doménové struktuře služby Active Directory.

Chcete-li odebrat všechny certifikační Objekty služby Active Directory, postupujte takto:
  1. Určete CACommonName certifikačního úřadu. Postupujte takto:
    1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ cmd v Otevřít pole a klepněte na tlačítko OK.
    2. Typ certutil, a stiskněte klávesu ENTER.
    3. Poznamenejte si Název hodnota, která patří do certifikační Autority. Pro pozdější kroky tohoto postupu je třeba CACommonName.
  2. Klepněte na tlačítko Spustit, přejděte na příkazNástroje pro správua klepněte na tlačítko Služba Active Directory Sítě a služby.
  3. V Zobrazení nabídky, klepněte na tlačítkoZobrazit uzel služeb.
  4. Rozbalit Služby, rozbalte položku Veřejný klíč Službya klepněte AIA složka.
  5. V pravém podokně klepněte pravým tlačítkem myšiCertificationAuthority objekt pro certifikační úřad, klepněte na tlačítkoOdstranita klepněte na tlačítko Ano.
  6. V levém podokně serverů služby Active Directory a služby MMC modul snap-in klepněte CDP složka.
  7. V pravém podokně vyhledejte objekt kontejneru pro Server, kde je certifikační služba nainstalována. Klepněte pravým tlačítkem myši na kontejner Klepněte na tlačítko Odstranita klepněte na tlačítko Ano dvakrát.
  8. V levém podokně serverů služby Active Directory a služby MMC modul snap-in klepněte Certifikační úřadyuzel.
  9. V pravém podokně klepněte pravým tlačítkem myšiCertificationAuthority objekt pro certifikační úřad, klepněte na tlačítkoOdstranita klepněte na tlačítko Ano.
  10. V levém podokně serverů služby Active Directory a služby MMC modul snap-in klepněte Služby zápisu uzel.
  11. V pravém podokně ověřte, zda pKIEnrollmentService objekt pro certifikační úřad byla odebrána při certifikační služby byla odinstalována. Pokud objekt není odstraněn, klepněte pravým tlačítkem myši na objekt, klepněte na tlačítkoOdstranita klepněte na tlačítko Ano.
  12. Pokud všechny objekty nenašel, některé objekty mohou zůstat ve službě Active Directory po provedení těchto kroků. Vyčistit po certifikační úřad, který může opustily objekty služby Active Directory, postupujte takto zjistit, zda zůstanou všechny objekty AD:
    1. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
      ldifde - r "cn =CACommonName"-d" CN = Public Key Services, CN = Services, CN = Configuration, DC =Doménu struktury ForestRootDC = com "-f output.ldf
      V tomto příkazu CACommonName představuje Název hodnota, kterou jste zjistili v kroku 1. Například pokud Název hodnota je "Výjimka CA1 Contoso", zadejte následující příkaz:
      ldifde - r "cn = Contoso Výjimka CA1" -d "cn = public key services, cn = services, cn = configuration, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. V programu Poznámkový blok otevřete soubor remainingCAobjects.ldf. Nahradit termín "changetype: Přidat" s "changetype: odstranit." Ověřte, zda jsou legitimní, objekty služby Active Directory, které budou odstraněny.
    3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER odstraňte zbývající objekty certifikační Autority ze služby Active Directory:
      ldifde -i -f remainingCAobjects.ldf
  13. Odstraníte šablony certifikátů, pokud jste si jisti, že všechny certifikační úřady, které byly odstraněny. Opakujte krok k určení, zda zůstanou všechny objekty AD 12.

    Důležité Šablony certifikátů nesmí odstranit, pokud byly odstraněny všechny certifikační úřady. Pokud omylem odstraněny šablony, postupujte takto:
    1. Ujistěte se, že jsou přihlášení k serveru, který běží jako podnikové certifikační služby správce.
    2. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
      CD %windir%\System32
    3. Zadejte následující příkaz a stiskněte klávesu ENTER:
      regsvr32 /i:i /n /s certcli.dll
      Tato akce znovu vytvoří šablony certifikátů ve službě Active Directory.
    Šablony certifikátů odstranit, postupujte takto.
    1. V levém podokně "Aktivní adresář webů a služeb" MMC modul snap-in, klepněte na položku šablony certifikátů složka.
    2. V pravém podokně klepněte na šablonu certifikátu a potom Stisknutím kláves CTRL + A vyberte všechny šablony. Klepněte pravým tlačítkem myši na vybrané šablony, klepněte na tlačítkoOdstranita klepněte na tlačítko Ano.

Krok 7: Odstranit certifikáty publikovány NtAuthCertificates objektu

Po odstranění objekty certifikační Autority, je nutné odstranit certifikáty certifikační Autority, které jsou publikovány na objekt NtAuthCertificates . Odstranit certifikáty v úložišti NTAuthCertificates použijte jeden z následujících příkazů:
certutil - viewdelstore ldap: / / / CN = NtAuthCertificates, CN = Public Key
Služby,..., DC =Doménu struktury ForestRootDC = com? cACertificate? základní? objectclass = certificationAuthority

certutil - viewdelstore ldap: / / / CN = NtAuthCertificates, CN = Public Key
Služby,..., DC =Doménu struktury ForestRootDC = com? cACertificate? základní? objectclass = pKIEnrollmentService
Poznámka: Musíte mít oprávnění správce rozlehlé sítě pro provedení tohoto úkolu.
Akce - viewdelstore vyvolá výběr certifikátu uživatelského rozhraní sady certifikáty v zadaném attibute. Můžete zobrazit podrobnosti o certifikátu. Můžete zrušit dialogové okno Výběr provádět žádné změny. Pokud vyberete certifikát, osvědčení se zrušuje zavře uživatelského rozhraní a plně je příkaz spuštěn.

Zobrazit úplnou cestu LDAP NtAuthCertificates objektu v Active Directory použijte následující příkaz:
certutil store-? | findstr "CN = NTAuth"

Krok 8: Odstranění databáze CÚ

Při odinstalování certifikační služby je databáze CÚ ponechán beze změny tak, aby certifikační úřad na jiném serveru znovu vytvořit.

Chcete-li Odebrat databázi CÚ, odstranění %systemroot%\System32\Certlog složka.

Krok 9: Vyčistit řadiče domény

Po odinstalování certifikačního úřadu certifikáty vystavené na řadiče domény musí být odstraněny.

Odebrat certifikáty vystavené na řadiče domény systému Windows 2000 Server, pomocí nástroje Dsstore.exe ze společnosti Microsoft Windows 2000 Resource Kit.

Odebrání certifikátů vydaných řadiče domény systému Windows 2000 Server, postupujte takto:
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ cmd, a stiskněte klávesu ENTER.
  2. V řadiči domény zadejte: dsstore - dcmon na příkazovém řádku a stiskněte klávesu ENTER.
  3. Typ 3, a stiskněte klávesu ENTER. Tato akce odstraní všechny certifikáty na všech řadičích domény.

    Poznámka: Dsstore.exe nástroj se pokusí ověřit certifikáty řadič domény, vydané na každém řadiči domény. Certifikáty, které ověřují budou odebrány z jejich příslušného řadiče domény.
Odebrat certifikáty vystavené řadiče domény systému Windows Server 2003, postupujte takto.

Důležité Tento postup nepoužívejte, pokud používáte certifikáty založené na šablonách řadič domény 1 verze.
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ cmd, a stiskněte klávesu ENTER.
  2. Zadejte na příkazovém řádku na řadiči domény certutil - dcinfo deleteBad.
Certutil.exe se pokusí ověřit všechny DC certifikáty vydané na řadiče domény. Certifikáty, které ověřují budou odebrány.

Chcete-li vynutit použití zásady zabezpečení postupujte takto:
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, Zadejte tento příkaz cmd v Otevřít pole a stiskněte klávesu ENTER.
  2. Na příkazovém řádku zadejte příslušný příkaz pro odpovídající verzi operačního systému a stiskněte klávesu ENTER:
    • Server Windows 2000: secedit/refreshpolicy machine_policy / enforce
    • V systému Windows Server 2003: gpupdate/force

Vlastnosti

ID článku: 889250 - Poslední aktualizace: 18. srpna 2012 - Revize: 11.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Klíčová slova: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku: 889250

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com