Ein Windows-Organisationszertifizierungsstelle außer Betrieb genommen und zum Entfernen aller zugehörigen Objekte von Windows Server 2003 und Windows 2000 Server

Wenn Sie eine Zertifizierungsstelle (CA) deinstallieren, sind die Zertifikate, die von der Zertifizierungsstelle ausgestellt wurden in der Regel noch ausstehenden. Wenn ausstehende Zertifikate von den verschiedenen Public Key Infrastructure Client-Computern verarbeitet werden, Validierung schlägt fehl, und diese Zertifikate werden nicht verwendet.

Dieser Artikel beschreibt, wie ausstehende Zertifikate sperren und verschiedene andere Aufgaben ausgeführt, die erfolgreich deinstallieren eine Zertifizierungsstelle erforderlich sind. Dieser Artikel beschreibt außerdem, verschiedene Dienstprogramme, die Sie verwenden können, um CA-Objekte aus der Domäne entfernen.

Dieser schrittweise aufgebaute Artikel beschreibt die Außerbetriebnahme einer Microsoft Windows-Unternehmenszertifizierungsstelle und entfernen Sie alle verknüpften Objekte aus der Active Directory-Verzeichnisdienst.

Schritt 1: Widerrufen Sie alle aktiven Zertifikate, die von der Organisationszertifizierungsstelle ausgestellt werden

1. Klicken Sie auf Start, zeigen Sie aufVerwaltung, und klicken Sie dann auf Zertifizierung Behörde.
2. Erweitern Sie Ihre Zertifizierungsstelle, und klicken Sie dann auf die Ausgestellt Zertifikate Ordner.
3. Klicken Sie im rechten Bereich auf eine der ausgestellten Zertifikate, und drücken Sie STRG + A alle ausgestellten Zertifikate auswählen.
4. Maustaste auf die ausgewählten Zertifikate, und klicken Sie auf Alle Aufgaben, , und klicken Sie dann auf Zertifikat sperren.
5. In der Das Sperren von Zertifikaten Klicken Sie im Dialogfeld Klicken Sie auf Vorgangsende als Grund für das Sperrung, und klicken Sie dann auf OK.

Schritt 2: Erhöhen Sie das Veröffentlichungsintervall

1. In der Microsoft-Verwaltungskonsole (MMC)-Snap-in mit der rechten Maustaste die Gesperrte Zertifikate Ordner, , und klicken Sie dann auf Eigenschaften.
2. In der Veröffentlichungsintervall Geben Sie im Feld eine entsprechend long-Wert, und klicken Sie dann auf OK.

Hinweis Sollte die Lebensdauer Zertifikatssperrliste (Certificate Revocation List, CRL) länger als der bleibt die Gültigkeitsdauer für Zertifikate, die wurden widerrufen.

Schritt 3: Veröffentlichen einer neuen CRL

1. Im Zertifizierungsstellen-MMC-Snap-in mit der rechten Maustaste dieGesperrte Zertifikate Ordner.
2. Klicken Sie auf Alle Aufgaben, und klicken Sie dann aufVeröffentlichen.
3. In der Zertifikatssperrliste veröffentlichen Klicken Sie im Dialogfeld klicken Sie aufNeue Sperrliste, und klicken Sie dann auf OK.

Schritt 4: Verweigern Sie ausstehender Anforderungen

Standardmäßig speichert eine Unternehmenszertifizierungsstelle nicht Zertifikatanforderungen. Allerdings kann ein Administrator dieses Standardverhalten ändern. Alle ausstehenden verweigern Zertifikatanforderungen, gehen Sie folgendermaßen vor:

1. Klicken Sie in der Zertifizierungsstellen-MMC-Snap-in auf der Ordner Ausstehende Anforderungen.
2. Klicken Sie im rechten Bereich auf eine der ausstehenden Anforderungen und Drücken Sie STRG + A alle ausstehenden Zertifikate auswählen.
3. Maustaste auf die ausgewählten Anforderungen ab, und klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Anforderung verweigern.

Schritt 5: Deinstallieren Sie Certificate Services vom Server.

1. Um die Zertifikatsdienste beenden möchten, klicken Sie auf Start, Klicken Sie auf Ausführen, Typ cmd, und dann aufOK.
2. Geben Sie an der Eingabeaufforderung certutil -Herunterfahren, und drücken Sie dann die EINGABETASTE.
3. Um alle Schlüsselspeicher für den lokalen Computer aufzulisten, geben SieCertutil-Schlüssel an der Eingabeaufforderung. Mit diesem Befehl wird die Namen aller installierten Kryptografiedienstanbieter (CSP) anzeigen und die wichtigen Geschäfte, die jeder Anbieter zugeordnet sind. Unter den aufgelisteten Schlüssel speichert, werden den Namen der Zertifizierungsstelle mehrere Male auf, wie in gezeigt aufgeführt sehen die folgenden Beispiel.

   (1)Microsoft Base Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
   
   (5)Microsoft Enhanced Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

4. Löschen Sie den privaten Schlüssel, der die Zertifizierungsstelle zugeordnet ist. An Dies tun, geben Sie Folgendes an einer Eingabeaufforderung ein:
   Certutil - delkey CertificateAuthorityName
   Hinweis Wenn der Name der Zertifizierungsstelle Leerzeichen enthält, schließen Sie den Namen in Anführungszeichen markiert.
   
   In diesem Beispiel wird dieCertificateAuthorityName ist Windows 2000-Unternehmen Stamm-CA. Aus diesem Grund ist die Befehlszeile in diesem Beispiel die folgenden:
   Certutil - Delkey "Windows 2000 Enterprise Root CA"
5. Auflisten der Schlüsselspeicher erneut, um sicherzustellen, dass des privaten Schlüssels für die Zertifizierungsstelle wurde gelöscht.
6. Nachdem Sie den privaten Schlüssel für die Zertifizierungsstelle löschen, deinstallieren Die Zertifikatsdienste. Gehen Sie hierzu folgendermaßen vor:
   1. Schließen Sie das Zertifizierungsstellen-MMC-Snap-in ist dies noch offen.
   2. Klicken Sie auf Start, zeigen Sie auf Steuerelement Bedienfeld, und klicken Sie dann auf Hinzufügen oder entfernen Programme.
   3. Klicken Sie auf Hinzufügen oder Entfernen von Windows Komponenten.
   4. In der Komponenten Deaktivieren Sie im Feld Das Dialogfeld Zertifikatsdienste Kontrollkästchen Sie das, klicken Sie auf Weiter, und folgen dann den Anweisungen in der Windows Komponentenassistenten um das Entfernen des Zertifikats abzuschließen Dienste.

Schritt 6: Entfernen Sie CA-Objekte aus Active Directory

Wenn Microsoft Zertifikatsdienste auf einem Server installiert wird, ist ein Mitglied einer Domäne werden mehrere Objekte in der Konfiguration erstellt Container in Active Directory.

Diese Objekte sind die folgenden:

• CertificateAuthority-Objekt
  • Befindet sich im CN = AIA, CN = Public Key Dienste, CN = Services, CN = Configuration, DC =Stammdomäne der Gesamtstruktur.
  • Enthält das CA-Zertifikat der Zertifizierungsstelle.
  • Zugriff auf Stelleninformationen (AIA) veröffentlicht Speicherort.
• CrlDistributionPoint Objekt
  • Befindet sich im CN =ServerNameCN = CDP, CN = Public Key Service, CN = Services, CN = Configuration, DC ="Forestroot"DC = com.
  • Enthält die Zertifikatssperrliste veröffentlicht in regelmäßigen Abständen von der CA.
  • Veröffentlichten CRL-Verteilungspunkt (CDP) Verzeichnispfad
• CertificationAuthority-Objekt
  • Befindet sich im CN = Zertifizierungsstellen, CN = Public Key Dienste, CN = Services, CN = Configuration, DC ="Forestroot"DC = com.
  • Enthält das CA-Zertifikat der Zertifizierungsstelle.
• pKIEnrollmentService-Objekt
  • Befindet sich im CN = Registrierungs-Services, CN = Public Key Dienste, CN = Services, CN = Configuration, DC ="Forestroot"DC = com.
  • Erstellt von der Zertifizierungsstelle der Organisation.
  • Enthält Informationen über die Arten von Zertifikaten die Zertifizierungsstelle konfiguriert wurde, das Problem. Steuern die Berechtigungen für dieses Objekt welche Sicherheitsprinzipale können für diese Zertifizierungsstelle zu registrieren.

Wenn die Zertifizierungsstelle deinstalliert wird, das pKIEnrollmentService-Objekt wird entfernt. Dadurch wird verhindert, dass Clients zu registrieren versuchen die Zertifizierungsstelle außer Betrieb zu nehmen. Die anderen Objekte werden beibehalten, da Zertifikate sind von der Zertifizierungsstelle ausgestellt sind wahrscheinlich noch offen. Diese Zertifikate werden müssen widerrufen, indem Sie die Schritte in den "Schritt 1: widerrufen Sie alle aktiven Zertifikate, die von der Organisationszertifizierungsstelle ausgestellt werden"Abschnitt.

Für Public Key Infrastructure (PKI) Clientcomputer diese verarbeiten ausstehende Zertifikate müssen die Computer Daten der Zertifizierungsstelle suchen AIA- und Zugriff (auf Stelleninformationen AIA) zeigen die Pfade in Active Directory. Es ist eine gute Die Idee, alle ausstehenden Zertifikate widerrufen, erweitern die Gültigkeitsdauer der Zertifikatsperrliste, und veröffentlichen die Zertifikatssperrliste in Active Directory. Wenn die ausstehende Zertifikate von den verschiedenen PKI-Clients verarbeitet, die Überprüfung schlägt fehl, und diese Zertifikate werden nicht verwendet werden.

Wenn es keine Priorität zu verwalten ist. die CRL-Verteilungspunkt und AIA in Active Directory, können Sie diese entfernen Objekte. Entfernen Sie diese Objekte nicht, wenn Sie erwarten, dass eine oder mehrere der verarbeiten die zuvor aktive digitale Zertifikate.

Entfernen Sie alle Zertifizierung Services-Objekte aus Active Directory

Hinweis Sie sollten nicht Zertifikatvorlagen aus Active Directory erst entfernen, nachdem alle CA-Objekte in Active Directory-Gesamtstruktur zu entfernen.

So entfernen alle Zertifizierung Services-Objekte aus Active Directory, gehen Sie folgendermaßen vor:

1. Bestimmen Sie die CACommonName der Zertifizierungsstelle. Gehen Sie hierzu folgendermaßen vor:
   1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ cmd Klicken Sie im Dialogfeld Öffnen ein, und klicken Sie dann auf OK.
   2. Typ certutil, und drücken Sie dann die EINGABETASTE.
   3. Notieren Sie die Name Wert, der an die Zertifizierungsstelle gehört. Für spätere Schritte dieses Verfahrens benötigen Sie die CACommonName.
2. Klicken Sie auf Start, zeigen Sie aufVerwaltung, und klicken Sie dann auf Active Directory -Standorte und-Dienste.
3. Auf der Ansicht Menü, klicken Sie aufDienstknoten anzeigen.
4. Erweitern Sie Dienste, erweitern Sie Öffentlicher Schlüssel Dienste, und klicken Sie dann auf die AIA Ordner.
5. Im rechten Bereich mit der rechten Maustaste dieCertificationAuthority Objekt für die Zertifizierungsstelle, klicken Sie aufLöschen, und klicken Sie dann auf "Ja".
6. Im linken Bereich des Active Directory-Standorte und Dienste MMC-Snap-in auf der CDP Ordner.
7. Suchen Sie im rechten Bereich das Containerobjekt für die Server, auf dem Zertifikatsdienste installiert ist. Mit der rechten Maustaste in des Containers, Klicken Sie auf Löschen, und klicken Sie dann auf "Ja" zwei Mal.
8. Im linken Bereich des Active Directory-Standorte und Dienste MMC-Snap-in auf der ZertifizierungsstellenKnoten.
9. Im rechten Bereich mit der rechten Maustaste dieCertificationAuthority Objekt für die Zertifizierungsstelle, klicken Sie aufLöschen, und klicken Sie dann auf "Ja".
10. Im linken Bereich des Active Directory-Standorte und Dienste MMC-Snap-in auf der Registrierungsdienste Knoten.
11. Stellen Sie sicher, dass im rechten Bereich der pKIEnrollmentService Objekt für die Zertifizierungsstelle wurde entfernt, wenn Certificate Services deinstalliert wurde. If das Objekt wird nicht gelöscht, mit der rechten Maustaste des Objekts, klicken Sie aufLöschen, und klicken Sie dann auf "Ja".
12. Wenn Sie nicht alle Objekte gefunden, können einige Objekte in Active Directory gelassen werden, nachdem Sie diese Schritte ausführen. Um nach einer Zertifizierungsstelle bereinigen, die Objekte in Active Directory gelassen haben könnte, um festzustellen, ob alle AD-Objekte behalten ihre folgendermaßen Sie vor:
    1. Geben Sie den folgenden Befehl an einer Eingabeaufforderung, und drücken Sie dann die EINGABETASTE:
       LDIFDE - R "Cn =CACommonName"-d" CN = Public Key Services, CN = Services, CN = Configuration, DC ="Forestroot"DC = com "-f bei
       In diesem Befehl CACommonName Stellt die Name Wert, den Sie in Schritt 1 ermittelt. Angenommen, wenn die Name Wert ist "Zertifizierungsstelle 1 Contoso", geben Sie Folgendes:
       LDIFDE - R "Cn = CA1 Contoso" -d "Cn = public Key Services, Cn = Services, Cn = Configuration, dc = Contoso, dc = com" -f-remainingCAobjects.ldf
    2. Öffnen Sie die remainingCAobjects.ldf-Datei in Editor. Ersetzen Sie den Begriff "Changetype: Hinzufügen" mit "Changetype: löschen." Vergewissern Sie sich, ob Active Directory-Objekte, die Sie löschen werden legitim sind.
    3. Geben Sie folgenden Befehl an einer Eingabeaufforderung, und drücken Sie dann die EINGABETASTE, um die restlichen CA-Objekte aus Active Directory zu löschen:
       LDIFDE ? i ? f remainingCAobjects.ldf
13. Löschen Sie die Zertifikatvorlagen, wenn Sie sicher sind, dass alle Zertifizierungsstellen gelöscht wurden. Wiederholen Sie Schritt 12 durch, um festzustellen, ob alle AD-Objekte bleiben.
    
    Wichtig Die Zertifikatvorlagen müssen nicht gelöscht werden, es sei denn, die Zertifizierungsstellen gelöscht wurden. Wenn die Vorlagen versehentlich gelöscht wurden, gehen Sie folgendermaßen vor:
    1. Stellen Sie sicher, dass Sie sind an einen Server mit Zertifikatdienste als Unternehmen angemeldet Administrator.
    2. Geben Sie folgenden Befehl an einer Eingabeaufforderung, und drücken Sie dann die EINGABETASTE:
       CD %Windir%\System32
    3. Geben Sie folgenden Befehl, und drücken Sie dann die EINGABETASTE:
       regsvr32 /i:i/n/s "certcli.dll"
       Diese Aktion wird neu erstellt, die Zertifikatvorlagen in Active Directory.
       
    Gehen Sie folgendermaßen vor, um Zertifikatvorlagen zu löschen.
    1. Im linken Bereich von "Active Directory Sites und Services" MMC-Snap-in, klicken Sie auf die Zertifikatvorlagen Ordner.
    2. Klicken Sie im rechten Bereich auf eine Zertifikatvorlage, und klicken Sie dann Drücken Sie STRG + A alle Vorlagen auswählen. Maustaste auf die ausgewählten Vorlagen, und klicken Sie aufLöschen, und klicken Sie dann auf "Ja".

Schritt 7: Löschen von Zertifikaten im NtAuthCertificates-Objekt

Nachdem Sie die CA-Objekte zu löschen, müssen Sie die CA-Zertifikate zu löschen, die dem NtAuthCertificates -Objekt veröffentlicht werden. Verwenden Sie einen der folgenden Befehle, um Zertifikate in den Speicher NTAuthCertificates löschen:Die Aktion - Viewdelstore Ruft die Zertifikatsauswahl UI auf die Gruppe der Zertifikate in der angegebenen Standardtitel. Sie können die Zertifikatdetails anzeigen. Sie können das Dialogfeld Auswahl keine Änderungen abbrechen. Wenn Sie ein Zertifikat auswählen, wird dieses Zertifikat gelöscht, wenn das UI schließt und der Befehl vollständig ausgeführt wird.

Verwenden Sie den folgenden Befehl, um den vollständigen LDAP-Pfad für das NtAuthCertificates -Objekt in Active Directory finden Sie unter:

Schritt 8: Löschen der Datenbank der Zertifizierungsstelle

Wenn Zertifizierungsdienste deinstalliert wird, wird die Datenbank der Zertifizierungsstelle intakt gelassen, so dass die Zertifizierungsstelle auf einem anderen Server neu erstellt werden kann.

An Entfernen Sie die CA-Datenbank, löschen Sie die %systemroot%\System32\Certlog Ordner.

Schritt 9: Bereinigen von Domänencontrollern

Nach der Deinstallation von der Zertifizierungsstelle müssen die Zertifikate, die auf Domänencontroller ausgestellt wurden entfernt.

Verwenden Sie das Dienstprogramm "Dsstore.exe" von Microsoft Windows 2000 Resource Kit, um Zertifikate zu entfernen, die für die Windows Server 2000-Domänencontroller ausgestellt wurden.

Um Zertifikate zu entfernen, die auf Windows Server 2000-Domänencontroller ausgestellt wurden, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ cmd, und drücken Sie dann die EINGABETASTE.
2. Geben Sie auf einem Domänencontroller Dsstore - dcmon an der Eingabeaufforderung, und drücken Sie dann die EINGABETASTE.
3. Typ 3, und drücken Sie dann die EINGABETASTE. Diese Aktion löscht alle Zertifikate auf allen Domänencontrollern.
   
   Hinweis Das Dienstprogramm Dsstore.exe versucht, Domänencontroller-Zertifikate überprüfen, die auf jeden Domänencontroller ausgegeben werden. Zertifikate, die nicht überprüft werden, werden von ihren jeweiligen Domänencontroller entfernt.

Gehen Sie folgendermaßen vor, um Zertifikate zu entfernen, die auf der Windows Server 2003-Domänencontrollern ausgegeben wurden.

Wichtig Verwenden Sie dieses Verfahren nicht, wenn Sie Zertifikate verwenden, die auf Vorlagen von Version 1 Domain Controller basieren.

1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ cmd, und drücken Sie dann die EINGABETASTE.
2. Geben Sie an der Eingabeaufforderung den Befehl auf einem Domänencontroller Certutil - Dcinfo deleteBad.

Certutil.exe versucht, die Domänencontrollerzertifikate zu überprüfen, die auf den Domänencontrollern ausgegeben werden. Zertifikate, die nicht überprüft werden, werden entfernt.

Anwendung der Sicherheitsrichtlinie zu erzwingen Gehen Sie folgendermaßen vor:

1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ cmd Klicken Sie im Dialogfeld Öffnen das Feld, und drücken Sie dann die EINGABETASTE.
2. Geben Sie den entsprechenden Befehl für die entsprechende Version des Betriebssystems an einer Eingabeaufforderung, und drücken Sie dann die EINGABETASTE:
   • Für Windows 2000 Server: Secedit/refreshpolicy Machine_policy / enforce
   • Für WindowsServer 2003: Gpupdate/force