Πώς να decommission μια εταιρική αρχή έκδοσης πιστοποιητικών των Windows και πώς να καταργήσετε όλα τα σχετικά αντικείμενα από το Windows Server 2003 και Windows Server 2000

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 889250 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Όταν απεγκαθιστάτε μια αρχή έκδοσης πιστοποιητικών (CA), τα πιστοποιητικά που εκδόθηκαν από την αρχή έκδοσης Πιστοποιητικών είναι συνήθως εξακολουθεί να εκκρεμεί. Εάν τα πιστοποιητικά που εκκρεμούν γίνεται από διάφορους υπολογιστές-πελάτες υποδομή δημόσιου κλειδιού, θα αποτύχει η επικύρωση και αυτά τα πιστοποιητικά δεν θα χρησιμοποιηθεί.

Αυτό το άρθρο περιγράφει πώς να ανακαλέσει τα πιστοποιητικά που εκκρεμούν και πώς μπορείτε να ολοκληρώσετε διάφορες άλλες εργασίες που απαιτούνται για να απεγκαταστήσετε με επιτυχία μια αρχή έκδοσης Πιστοποιητικών. Επιπλέον, αυτό το άρθρο περιγράφει διάφορα βοηθητικά προγράμματα που μπορείτε να χρησιμοποιήσετε για να διαγράψετε αντικείμενα αρχής έκδοσης Πιστοποιητικών από τον τομέα.

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο βήμα προς βήμα περιγράφει τον τρόπο decommission σε Microsoft Windows εταιρική αρχή έκδοσης Πιστοποιητικών, καθώς και τον τρόπο κατάργησης όλων των σχετικών αντικειμένων από την υπηρεσία καταλόγου Active Directory.

Βήμα 1: Ανάκληση όλα τα ενεργά πιστοποιητικά που εκδίδονται από την εταιρική αρχή έκδοσης Πιστοποιητικών

  1. Κάντε κλικStart, τοποθετήστε το δείκτηΕργαλεία διαχείρισης, και στη συνέχεια κάντε κλικ στο κουμπίΑρχή έκδοσης πιστοποιητικών.
  2. Αναπτύξτε την αρχή έκδοσης Πιστοποιητικών και, στη συνέχεια, κάντε κλικ στοΈχει εκδοθεί πιστοποιητικάΦάκελος.
  3. Στο δεξιό τμήμα του παραθύρου, κάντε κλικ σε ένα από τα πιστοποιητικά που εκδόθηκε και, στη συνέχεια, πατήστε CTRL + A για να επιλέξετε όλα τα εκδοθέντα πιστοποιητικά.
  4. Κάντε δεξιό κλικ σε επιλεγμένα πιστοποιητικά, κάντε κλικ στο κουμπίΌλες οι εργασίεςκαι, στη συνέχεια, κάντε κλικ στο κουμπίΑνάκληση πιστοποιητικού.
  5. ΣτοΑνάκλησης πιστοποιητικούπαράθυρο διαλόγου, κάντε κλικ για να επιλέξετεΠαύση της λειτουργίαςως την αιτία ανάκλησης και στη συνέχεια κάντε κλικOk.

Βήμα 2: Αύξηση του διαστήματος δημοσίευσης της CRL

  1. Στην κονσόλα διαχείρισης της Microsoft αρχής έκδοσης πιστοποιητικών (MMC) συμπληρωματικό πρόγραμμα, κάντε δεξί κλικ στοΠιστοποιητικά που έχουν ανακληθείτο φάκελο και στη συνέχεια κάντε κλικΙδιότητες (Properties).
  2. ΣτοΧρονικό διάστημα δημοσίευσης της CRLπλαίσιο, πληκτρολογήστε μια τιμή suitably μεγάλο και, στη συνέχεια, κάντε κλικ στο κουμπίOk.
ΣΗΜΕΙΩΣΗΗ χρονική διάρκεια της λίστας ανάκλησης πιστοποιητικών (CRL) πρέπει να είναι μεγαλύτερη από τη διάρκεια ζωής που απομένει για πιστοποιητικά που έχουν ανακληθεί.

Βήμα 3: Δημοσίευση μιας νέας CRL

  1. Στο συμπληρωματικό πρόγραμμα MMC αρχής έκδοσης πιστοποιητικών, κάντε δεξιό κλικ στοΠιστοποιητικά που έχουν ανακληθείΦάκελος.
  2. Κάντε κλικΌλες οι εργασίες, και στη συνέχεια κάντε κλικ στο κουμπίΔημοσίευση.
  3. ΣτοΔημοσίευση CRLπαράθυρο διαλόγου, κάντε κλικ στο κουμπίΝέα λίστα CRL, και στη συνέχεια κάντε κλικ στο κουμπίOk.

Βήμα 4: Χωρίς οποιαδήποτε εκκρεμών αιτήσεων

Από προεπιλογή, μια εταιρική αρχή έκδοσης Πιστοποιητικών δεν αποθηκεύει αιτήσεις πιστοποιητικών. Ωστόσο, ένας διαχειριστής μπορεί να αλλάξει αυτή την προεπιλεγμένη συμπεριφορά. Για να απορρίψετε οποιεσδήποτε εκκρεμείς αιτήσεις πιστοποιητικών, ακολουθήστε τα εξής βήματα:
  1. Στο συμπληρωματικό πρόγραμμα MMC αρχής έκδοσης πιστοποιητικών, κάντε κλικ στο φάκελο αιτήσεις σε εκκρεμότητα.
  2. Στο δεξιό τμήμα του παραθύρου, κάντε κλικ σε μία από τις εκκρεμείς αιτήσεις και, στη συνέχεια, πατήστε CTRL + A για να επιλέξετε όλα τα πιστοποιητικά που εκκρεμούν.
  3. Κάντε δεξιό κλικ στο επιλεγμένο αιτήσεις, κάντε κλικ στο κουμπίΌλες οι εργασίες, και στη συνέχεια κάντε κλικ στο κουμπίΑπόρριψη αίτησης.

Βήμα 5: Κατάργηση εγκατάστασης υπηρεσιών πιστοποιητικού από το διακομιστή

  1. Για να διακόψετε τις υπηρεσίες πιστοποιητικών, κάντε κλικ στο κουμπίStartΚάντε κλικΕκτέλεσηTYPECmd, και κάντε κλικOk.
  2. Στη γραμμή εντολών, πληκτρολογήστεcertutil - τερματισμούκαι κατόπιν πατήστε το πλήκτρο ENTER.
  3. Για μια λίστα όλων των χώρων αποθήκευσης κλειδιών για τον τοπικό υπολογιστή, πληκτρολογήστε:certutil - κλειδιούστη γραμμή εντολών. Αυτή η εντολή θα εμφανίσει τα ονόματα των όλες τις εγκατεστημένες υπηρεσίες παροχής κρυπτογράφησης (CSP) και τα καταστήματα κλειδιών που σχετίζονται με κάθε υπηρεσία παροχής. Μεταξύ λίστας πλήκτρων καταστήματα, θα δείτε το όνομα από την αρχή έκδοσης Πιστοποιητικών που αναφέρονται πολλές φορές, όπως φαίνεται στο παρακάτω παράδειγμα.
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Η διαγραφή του ιδιωτικού κλειδιού που σχετίζεται με την αρχή έκδοσης Πιστοποιητικών. Για να το κάνετε αυτό, πληκτρολογήστε τα ακόλουθα σε μια γραμμή εντολών:
    certutil - delkeyCertificateAuthorityName
    ΣΗΜΕΙΩΣΗΕάν το όνομα της αρχής έκδοσης Πιστοποιητικών σας περιέχει κενά διαστήματα, περικλείστε το όνομα σε εισαγωγικά.

    Σε αυτό το παράδειγμα, τοCertificateAuthorityNameείναι Windows2000 εταιρική αρχή έκδοσης Πιστοποιητικών ρίζας. Συνεπώς, η γραμμή εντολών σε αυτό το παράδειγμα είναι τα εξής:
    certutil - delkey "CA ρίζας Windows2000 εταιρείας"
  5. List the key stores again to verify that the private key for your CA has been deleted.
  6. After you delete the private key for your CA, uninstall Certificate Services. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα: (Use the tools in the Windows Recovery Environment to repair Windows Vista. To do this, follow these steps:):
    1. Close the Certification Authority MMC snap-in if it is still open.
    2. Κάντε κλικStart, τοποθετήστε το δείκτηΣτοιχείο ελέγχου πίνακα, και στη συνέχεια κάντε κλικ στο κουμπίAdd or Remove Programs.
    3. Κάντε κλικAdd/Remove Windows Components.
    4. Στοτου ValuPackbox, click to clear theCertificate Servicesπλαίσιο ελέγχου, κάντε κλικ στο κουμπίΕπόμενο, and then follow the instructions in theWindows Components Wizardto complete the removal of Certificate Services.

Step 6: Remove CA objects from Active Directory

When Microsoft Certificate Services is installed on a server that is a member of a domain, several objects are created in the configuration container in Active Directory.

These objects are the following:
  • certificateAuthority object
    • Located in CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
    • Contains the CA certificate for the CA.
    • Published Authority Information Access (AIA) location.
  • crlDistributionPoint object
    • Located in CN=ΟΝΟΜΑ_ΔΙΑΚΟΜΙΣΤΗ,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contains the CRL periodically published by the CA.
    • Published CRL Distribution Point (CDP) location
  • certificationAuthority object
    • Located in CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contains the CA certificate for the CA.
  • pKIEnrollmentService object
    • Located in CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Created by the enterprise CA.
    • Contains information about the types of certificates the CA has been configured to issue. Permissions on this object can control which security principals can enroll against this CA.
When the CA is uninstalled, only the pKIEnrollmentService object is removed. This prevents clients from trying to enroll against the decommissioned CA. The other objects are retained because certificates that are issued by the CA are probably still outstanding. These certificates must be revoked by following the procedure in the "Step 1: Revoke all active certificates that are issued by the enterprise CA" section.

For Public Key Infrastructure (PKI) client computers to successfully process these outstanding certificates, the computers must locate the Authority Information Access (AIA) and CRL distribution point paths in Active Directory. It is a good idea to revoke all outstanding certificates, extend the lifetime of the CRL, and publish the CRL in Active Directory. If the outstanding certificates are processed by the various PKI clients, validation will fail, and those certificates will not be used.

If it is not a priority to maintain the CRL distribution point and AIA in Active Directory, you can remove these objects. Do not remove these objects if you expect to process one or more of the formerly active digital certificates.

Remove all Certification Services objects from Active Directory

ΣΗΜΕΙΩΣΗYou should not remove certificate templates from Active Directory until after you remove all CA objects in the Active Directory forest.

To remove all Certification Services objects from Active Directory, follow these steps:
  1. Determine the CACommonName of the CA. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα: (Use the tools in the Windows Recovery Environment to repair Windows Vista. To do this, follow these steps:):
    1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPECmdΣτοOpenπλαίσιο και στη συνέχεια κάντε κλικOk.
    2. TYPEcertutilκαι κατόπιν πατήστε το πλήκτρο ENTER.
    3. Σημειώστε τοNAMEη τιμή που ανήκει σε σας αρχή έκδοσης Πιστοποιητικών. Θα χρειαστείτε το CACommonName για τα επόμενα βήματα αυτής της διαδικασίας.
  2. Κάντε κλικStart, τοποθετήστε το δείκτηΕργαλεία διαχείρισης, και στη συνέχεια κάντε κλικ στο κουμπίΤοποθεσίες και υπηρεσίες της υπηρεσίας καταλόγου Active Directory.
  3. Στο διακομιστήViewμενού, κάντε κλικ στο κουμπίΕμφάνιση κόμβου υπηρεσιών.
  4. expandSERVICESexpandΔημόσιο κλειδί υπηρεσιών, και στη συνέχεια κάντε κλικ στοAIAΦάκελος.
  5. Στο δεξιό τμήμα του παραθύρου, κάντε δεξιό κλικ στοCertificationAuthorityαντικείμενο για την αρχή έκδοσης Πιστοποιητικών, κάντε κλικ στο κουμπίDelete, και στη συνέχεια κάντε κλικ στο κουμπίYES.
  6. Στο αριστερό τμήμα παραθύρου της υπηρεσίας Active Directory Sites and Services-συμπληρωματικό πρόγραμμα MMC, κάντε κλικ στοCDPΦάκελος.
  7. Στο δεξιό τμήμα του παραθύρου, εντοπίστε το αντικείμενο κοντέινερ για το διακομιστή όπου είναι εγκατεστημένες οι υπηρεσίες πιστοποιητικών. Κάντε δεξιό κλικ στο κοντέινερ, κάντε κλικ στο κουμπίDelete, και στη συνέχεια κάντε κλικ στο κουμπίYESδύο φορές.
  8. Στο αριστερό τμήμα παραθύρου της υπηρεσίας Active Directory Sites and Services-συμπληρωματικό πρόγραμμα MMC, κάντε κλικ στοΟι αρχές έκδοσης πιστοποιητικώνκόμβος.
  9. Στο δεξιό τμήμα του παραθύρου, κάντε δεξιό κλικ στοCertificationAuthorityαντικείμενο για την αρχή έκδοσης Πιστοποιητικών, κάντε κλικ στο κουμπίDelete, και στη συνέχεια κάντε κλικ στο κουμπίYES.
  10. Στο αριστερό τμήμα παραθύρου της υπηρεσίας Active Directory Sites and Services-συμπληρωματικό πρόγραμμα MMC, κάντε κλικ στοΥπηρεσίες εγγραφήςκόμβος.
  11. Στο δεξιό τμήμα του παραθύρου, βεβαιωθείτε ότι το αντικείμενο pKIEnrollmentService για την αρχή έκδοσης Πιστοποιητικών έχει καταργηθεί όταν υπηρεσιών πιστοποιητικού καταργήθηκε. Εάν δεν διαγράφεται το αντικείμενο, κάντε δεξιό κλικ στο αντικείμενο, κάντε κλικ στο κουμπίDelete, και στη συνέχεια κάντε κλικ στο κουμπίYES.
  12. Εάν δεν εντόπισε όλα τα αντικείμενα, ορισμένα αντικείμενα ενδέχεται να παραμείνει στην υπηρεσία καταλόγου Active Directory μετά την εκτέλεση αυτών των βημάτων. Για να κάνετε εκκαθάριση έπειτα από μια αρχή έκδοσης Πιστοποιητικών που μπορεί να έχουν απομείνει αντικείμενα στην υπηρεσία καταλόγου Active Directory, ακολουθήστε τα εξής βήματα για να προσδιορίσετε αν οποιαδήποτε αντικείμενα AD παραμένουν:
    1. Πληκτρολογήστε την ακόλουθη εντολή σε μια γραμμή εντολών και κατόπιν πιέστε το πλήκτρο ENTER:
      ldifde -r "cn=CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com" -f output.ldf
      Στην εντολή αυτή, ηCACommonNamerepresents theNAMEvalue that you determined in step 1. For example, if theNAMEvalue is "CA1 Contoso," type the following:
      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com” -f remainingCAobjects.ldf
    2. Open the remainingCAobjects.ldf file in Notepad. Replace the term "changetype: add" with "changetype: delete." Then, verify whether the Active Directory objects that you will delete are legitimate.
    3. At a command prompt, type the following command, and then press ENTER to delete the remaining CA objects from Active Directory:
      ldifde -i -f remainingCAobjects.ldf
  13. Delete the certificate templates if you are sure that all of the certificate authorities have been deleted. Repeat step 12 to determine whether any AD objects remain.

    ΣημαντικόYou must not delete the certificate templates unless all the certificate authorities have been deleted. If the templates are accidentally deleted, follow these steps:
    1. Make sure that you are logged on to a server that is running Certificate Services as Enterprise administrator.
    2. At a command prompt, type the following command, and then press ENTER:
      cd %windir%\system32
    3. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
      regsvr32 /i:i /n /s certcli.dll
      This action re-creates the certificate templates in Active Directory.
    To delete the certificate templates, follow these steps.
    1. In the left pane of the "Active Directory Sites and Services" MMC snap-in, click the Certificate Templates folder.
    2. In the right pane, click a certificate template, and then press CTRL+A to select all templates. Right-click the selected templates, clickDelete, και στη συνέχεια κάντε κλικ στο κουμπίYES.

Step 7: Delete certificates published to the NtAuthCertificates object

After you delete the CA objects, you have to delete the CA certificates that are published to theNtAuthCertificatesObject. Use either of the following commands to delete certificates from within the NTAuthCertificates store:
certutil -viewdelstore ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority

certutil -viewdelstore ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService
ΣΗΜΕΙΩΣΗYou must have Enterprise Administrator permissions to perform this task.
Για να-viewdelstoreaction invokes the certificate selection UI on the set of certificates in the specified attibute. You can view the certificate details. You can cancel out of the selection dialog to make no changes. If you select a certificate, that certificate is deleted when the UI closes and the command is fully executed.

Use the following command to see the full LDAP path to theNtAuthCertificatesobject in your Active Directory:
certutil store -? | findstr "CN=NTAuth"

Step 8: Delete the CA database

When Certification Services is uninstalled, the CA database is left intact so that the CA can be re-created on another server.

To remove the CA database, delete the %systemroot%\System32\Certlog folder.

Step 9: Clean up domain controllers

After the CA is uninstalled, the certificates that were issued to domain controllers must be removed.

To remove certificates that were issued to the Windows Server 2000 domain controllers, use the Dsstore.exe utility from the Microsoft Windows 2000 Resource Kit.

To remove certificates that have been issued to the Windows Server 2000 domain controllers, follow these steps:
  1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPECmdκαι κατόπιν πατήστε το πλήκτρο ENTER.
  2. On a domain controller, typedsstore -dcmonστη γραμμή εντολών και στη συνέχεια πιέστε το πλήκτρο ENTER.
  3. TYPE3και κατόπιν πατήστε το πλήκτρο ENTER. This action deletes all certificates on all domain controllers.

    ΣΗΜΕΙΩΣΗThe Dsstore.exe utility will try to validate domain controller certificates that are issued to each domain controller. Certificates that do not validate are removed from their respective domain controller.
To remove certificates that were issued to the Windows Server 2003 domain controllers, follow these steps.

ΣημαντικόDo not use this procedure if you are using certificates that are based on version 1 domain controller templates.
  1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPECmdκαι κατόπιν πατήστε το πλήκτρο ENTER.
  2. At the command prompt on a domain controller, typecertutil -dcinfo deleteBad.
Certutil.exe tries to validate all the DC certificates that are issued to the domain controllers. Certificates that do not validate are removed.

To force application of the security policy, follow these steps:
  1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPECmdΣτοOpenπλαίσιο και, στη συνέχεια, πιέστε το πλήκτρο ENTER.
  2. At a command prompt, type the appropriate command for the corresponding version of the operating system, and then press ENTER:
    • For Windows Server 2000:secedit /refreshpolicy machine_policy /enforce
    • For Windows Server 2003:GPUpdate /Force

Ιδιότητες

Αναγν. άρθρου: 889250 - Τελευταία αναθεώρηση: Πέμπτη, 23 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Λέξεις-κλειδιά: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:889250

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com