Cómo dar de baja una entidad de certificación empresarial de Windows y quitar todos los objetos relacionados

Seleccione idioma Seleccione idioma
Id. de artículo: 889250 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Al desinstalar una entidad emisora de certificados (CA), los certificados emitidos por la entidad emisora de certificados normalmente están pendientes. Si los certificados pendientes son procesados por los distintos equipos de cliente de infraestructura de claves públicas, se producirá un error de validación y no se utilizarán los certificados.

Este artículo describe cómo revocar certificados pendientes y cómo completar otras tareas que se requieren para desinstalar correctamente un CA. Además, este artículo describen diversas herramientas que puede utilizar para ayudar a quitar objetos de entidad emisora de certificados de su dominio.

INTRODUCCIÓN

En este artículo paso a paso se describe cómo dar de baja una entidad emisora de certificados de empresa de Microsoft Windows y cómo quitar todos los objetos relacionados con el servicio de directorio de Active Directory.

Paso 1: Revocar todos los certificados activos emitidos por la entidad emisora de certificados de empresa

  1. Haga clic en Inicio, seleccioneHerramientas administrativasy, a continuación, haga clic en CertificationAuthority.
  2. Expanda la entidad emisora de certificados y, a continuación, haga clic en la carpeta IssuedCertificates .
  3. En el panel derecho, haga clic en uno de los certificados emitidos y, a continuación, presione CTRL+A para seleccionar los certificados emitidos todos.
  4. Haga clic en los certificados seleccionados, haga clic en AllTasks y, a continuación, haga clic en Revocar certificado.
  5. En el cuadro de diálogo de Revocación de certificados , haga clic para seleccionar Dejen de operación como el motivo forrevocation y, a continuación, haga clic en Aceptar.

Paso 2: Aumente el intervalo de publicación de CRL

  1. En el complemento entidad emisora de certificados Microsoft Management Console (MMC), haga clic en la carpeta Certificados revocados y, a continuación, haga clic en Propiedades.
  2. En el cuadro Intervalo de publicación CRL , typea convenientemente mucho valor y, a continuación, haga clic en Aceptar.
Nota La duración de la lista de revocación de certificados (CRL) debe tener más de la duración que permanece para los certificados que han sido revocados.

Paso 3: Publicar una lista CRL nueva

  1. En el complemento MMC de entidad emisora, haga clic en la carpetaCertificados revocados .
  2. Haga clic en Todas las tareasy, a continuación, haga clic enPublicar.
  3. En el cuadro de diálogo Publicar CRL , haga clic enNueva lista CRLy, a continuación, haga clic en Aceptar.

Paso 4: Denegar cualquier solicitud pendiente

De manera predeterminada, una CA de empresa no almacena las solicitudes de certificados. Sin embargo, un administrador puede cambiar este comportamiento predeterminado. Para denegar las solicitudes de certificado pendiente, siga estos pasos:
  1. En el complemento MMC de entidad emisora, haga clic en carpeta de solicitudes thePending.
  2. En el panel derecho, haga clic en una de las solicitudes pendientes, y luego presione CTRL+A para seleccionar todos los certificados pendientes.
  3. Haga las solicitudes seleccionadas, haga clic en AllTasksy, a continuación, haga clic en Denegar la solicitud.

Paso 5: Desinstalar los servicios de Certificate Server desde el servidor

  1. Para detener los servicios de Certificate Server, haga clic en Inicio, haga clic en Ejecutar, tipo cmdy, a continuación, haga clic en Aceptar.
  2. En el símbolo del sistema, escriba certutil-apagado, y, a continuación, presione ENTRAR.
  3. En el símbolo del sistema, escribacertutil-clave, y, a continuación, presione ENTRAR. Este comando mostrará los nombres de todos los proveedores instalados los servicios de cifrado (CSP) y los almacenes de claves que están asociados con cada proveedor. Aparecerá la lista de los almacenes de claves enumerados será el nombre de la entidad emisora de certificados. El nombre aparecerá varias veces, como se muestra en el ejemplo siguiente:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Eliminar la clave privada asociada a la entidad emisora de certificados. Para ello, en el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
    certutil - delkey CertificateAuthorityName
    Nota Si el nombre de la entidad emisora de certificados contiene espacios, encerrar el nombre entre comillas.

    En este ejemplo, el nombre de la autoridad de certificados es "CA de raíz de empresa de Windows 2000". Por lo tanto, la línea de comandos en este ejemplo es el siguiente:
    certutil - delkey "Windows2000 CA raíz de empresa"
  5. Lista de los almacenes de claves para comprobar que se ha eliminado la clave privada de la entidad emisora de certificados.
  6. Después de eliminar la clave privada de la entidad emisora de certificados, desinstalar los servicios de Certificate Server. Para ello, siga estos pasos, dependiendo de la versión de Windows Server que esté ejecutando.

    Windows Server 2003
    1. Cierre el complemento MMC de entidad emisora si todavía está abierto.
    2. Haga clic en Inicio, seleccione Panel de Controly, a continuación, haga clic en Agregar o quitar programas.
    3. Haga clic en Agregar o quitar componentes de Windows.
    4. En el cuadro componentes , haga clic para desactivar la casilla de verificación Servicios de Certificate Server , haga clic en siguientey, a continuación, siga las instrucciones del Asistente para componentes de Windows para completar la eliminación de servicios de Certificate Server.
    Windows Server 2008 y versiones posteriores

    Si va a desinstalar una CA de empresa, pertenencia al grupo Administradores de organización o el equivalente, es lo mínimo que se necesita para completar este procedimiento. Para obtener más información, vea Implementación de la administración basada en funciones.

    Para desinstalar una entidad emisora de certificados, siga estos pasos:
    1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Administrador de servidores.
    2. En Resumen de Roles, haga clic en Quitar Roles para iniciar al Asistente para quitar Roles y, a continuación, haga clic en siguiente.
    3. Haga clic para desactivar la casilla de verificación Servicios de Certificate Server de Active Directory y, a continuación, haga clic en siguiente.
    4. En la página Confirmar opciones de eliminación , revise la información y, a continuación, haga clic en Quitar.
    5. Si está ejecutando servicios de Internet Information Server (IIS) y se le pide que detenga el servicio antes de continuar con el proceso de desinstalación, haga clic en Aceptar.
    6. Después de finalizar el Asistente para quitar Roles, reinicie el servidor. Esto completa el proceso de desinstalación.
    El procedimiento es ligeramente diferente si dispone de varios servicios de rol de servicios de certificados de Active Directory (AD CS) instalados en un único servidor. Para desinstalar una CA y conservar otros servicios de rol de AD CS, siga estos pasos.

    NotaDebe iniciar sesión con los mismos permisos que el usuario que instaló la CA para completar este procedimiento. Si va a desinstalar una CA de empresa, pertenencia al grupo Administradores de organización o el equivalente, es lo mínimo que se necesita para completar este procedimiento. Para obtener más información, vea Implementación de la administración basada en funciones.
    1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Administrador de servidores.
    2. En Resumen de Roles, haga clic en Servicios de Certificate Server de Active Directory.
    3. En Servicios, haga clic en Quitar servicios de rol.
    4. Haga clic para desactivar la casilla de verificación de la Entidad emisora de certificados y, a continuación, haga clic en siguiente.
    5. En la página Confirmar opciones de eliminación , revise la información y, a continuación, haga clic en Quitar.
    6. Si está ejecutando IIS y se le pide que detenga el servicio antes de continuar con el proceso de desinstalación, haga clic en Aceptar.
    7. Después de finalizar el Asistente para quitar Roles, debe reiniciar el servidor. Esto completa el proceso de desinstalación.
    Si los restantes servicios de rol, como el servicio Respondedor en línea, se han configurado para usar los datos de la entidad emisora de certificados instalada, debe volver a configurar estos servicios de apoyo a una entidad emisora distinta. Después de desinstala una CA, la siguiente información permanece en el servidor:
    • La base de datos de la entidad emisora de certificados
    • Las claves públicas y privadas de entidad emisora de certificados
    • Certificados de la CA en el almacén Personal
    • Certificados de la CA en la carpeta compartida, si se especificó una carpeta compartida durante la instalación de AD CS
    • Certificado de raíz de la cadena de CA en el almacén de entidades emisoras de certificados raíz de confianza
    • Certificados intermedios de la cadena de CA en el almacén de entidades emisoras de certificados intermedias
    • CRL de la entidad emisora de certificados
    De manera predeterminada, esta información se guarda en el servidor en caso de que desinstale y vuelva a instalar la entidad emisora de certificados. Por ejemplo, puede desinstalar y volver a instalar la CA si desea cambiar una CA independiente a una CA de empresa.

Paso 6: Quitar objetos de entidad emisora de certificados de Active Directory

Cuando se instala Servicios de Microsoft Certificate Server en un servidor que sea miembro de un dominio, se crean varios objetos en el contenedor Configuración de Active Directory.

Estos objetos son los siguientes:
  • objeto de la Autoridad decertificación
    • Ubicado en CN = AIA, CN = Public Key Services, CN = Servicios, CN = Configuración, DC =ForestRootDomain.
    • Contiene el certificado de entidad emisora de certificados de la entidad emisora de certificados.
    • Ubicación de acceso de la información de entidad emisora (AIA) publicada.
  • objeto crlDistributionPoint
    • Ubicado en CN =NombreDeServidorCN = CDP, CN = Servicios de clave pública, CN = Servicios, CN = Configuración, DC =ForestRootDC = com.
    • Contiene la CRL publicada periódicamente por la entidad emisora de certificados.
    • Ubicación de punto de distribución CRL (CDP) publicada
  • objeto certificationAuthority
    • Ubicado en CN = entidades emisoras de certificados, CN = Public Key Services, CN = Servicios, CN = Configuración, DC =ForestRootDC = com.
    • Contiene el certificado de entidad emisora de certificados de la entidad emisora de certificados.
  • objeto pKIEnrollmentService
    • Ubicado en CN = Servicios de inscripción, CN = Public Key Services, CN = Servicios, CN = Configuración, DC =ForestRootDC = com.
    • Creado por la entidad emisora de certificados de empresa.
    • Contiene información acerca de los tipos de certificados que la entidad emisora de certificados se ha configurado para el problema. Permisos para este objeto pueden controlar qué principales pueden inscribirse en esta entidad emisora de certificados de seguridad.
Cuando la entidad emisora de certificados se desinstala, se quita sólo el objeto pKIEnrollmentService. Esto evita que a los clientes intentando inscribirse en la entidad emisora de certificados fuera de servicio. Los demás objetos se conservan porque probablemente están pendientes los certificados emitidos por la entidad emisora de certificados. Estos certificados deben revocarse siguiendo el procedimiento descrito en el "paso 1: revocar todos los certificados activos emitidos por la entidad emisora de certificados de empresa" sección.

Para que equipos cliente de la infraestructura de claves públicas (PKI) procesar correctamente los certificados pendientes, los equipos deben encontrar las rutas de punto de distribución de acceso a información de entidad emisora (AIA) y CRL en Active Directory. Es una buena idea para revocar todos los certificados pendientes, extender la duración de la CRL y publicar la CRL en Active Directory. Si los certificados pendientes son procesados por los distintos clientes PKI, se producirá un error de validación y no se utilizarán los certificados.

Si no es una prioridad para mantener el punto de distribución CRL y AIA en Active Directory, puede quitar estos objetos. No quite estos objetos si espera procesar uno o más de los certificados digitales anteriormente activos.

Quitar todos los objetos de servicios de certificados de Active Directory

Nota No debe quitar las plantillas de certificados de Active Directory hasta después de quitar todos los objetos de entidad emisora de certificados en el bosque de Active Directory.

Para quitar todos los objetos de servicios de certificados de Active Directory, siga estos pasos:
  1. Determinar la CACommonName de la entidad emisora de certificados. Para ello, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, tipo cmd en el cuadro Abrir y a continuación, haga clic en Aceptar.
    2. Tipo certutil, y, a continuación, presione ENTRAR.
    3. Anote el nombre del valor que pertenece a la entidad emisora de certificados. El CACommonName tendrá en pasos posteriores de este procedimiento.
  2. Haga clic en Inicio, seleccioneHerramientas administrativasy, a continuación, haga clic en DirectorySites de activos y servicios.
  3. En el menú Ver , haga clic enMostrar el nodo de servicios.
  4. Expanda Servicios, expanda KeyServices públicasy, a continuación, haga clic en la carpeta AIA .
  5. En el panel derecho, haga clic en elCertificationAuthority objeto de la entidad emisora de certificados, haga clic enEliminary, a continuación, haga clic en .
  6. En el panel izquierdo del complemento ServicesMMC y de sitios de Active Directory, haga clic en el CDP carpeta.
  7. En el panel derecho, busque el objeto contenedor de servidor donde está instalado servicios de Certificate Server. Haga clic en el contenedor, haga clic en Eliminary, a continuación, haga clic dos veces en .
  8. En el panel izquierdo de sitios de Active Directory y ServicesMMC, haga clic en el nodo de Entidades emisoras de certificados.
  9. En el panel derecho, haga clic en elCertificationAuthority objeto de la entidad emisora de certificados, haga clic enEliminary, a continuación, haga clic en .
  10. En el panel izquierdo de sitios de Active Directory y ServicesMMC, haga clic en el nodo Servicios de inscripción .
  11. En el panel derecho, compruebe que se ha quitado el pKIEnrollmentServiceobject de la entidad emisora de certificados cuando se ha desinstalado servicios de Certificate Server. No se elimina el objeto Siel, haga clic en el objeto, haga clic enEliminary, a continuación, haga clic en .
  12. Si no encontró todos los objetos, pueden dejarse algunos objetos en Active Directory después de realizar estos pasos. Para limpiar después de una entidad emisora de certificados que pueda haber dejado objetos en Active Directory, siga estos pasos para determinar si permanecerán los objetos de Active Directory:
    1. Escriba el siguiente comando en una línea de comandos y, a continuación, presione ENTRAR:
      LDIFDE - r "cn =CACommonName"-d" CN = Public Key Services, CN = Servicios, CN = Configuración, DC =ForestRootDC = com "-f output.ldf
      En este comando, CACommonName representa el valor de nombre que determinó en el paso 1. Por ejemplo, si el valor del nombre es "Contoso CA1", escriba lo siguiente:
      LDIFDE - r "cn = Contoso CA1" -d "cn = Servicios de claves públicas, cn = servicios, cn = configuration, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Abra el archivo remainingCAobjects.ldf en el Bloc de notas. Sustituir el término "changetype: agregar" con "changetype: eliminar."A continuación, compruebe si los objetos de Active Directory que eliminará son legítimos.
    3. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR para eliminar los objetos restantes de la entidad emisora de certificados de Active Directory:
      LDIFDE -i remainingCAobjects.ldf -f
  13. Eliminar las plantillas de certificado si está seguro de que se han eliminado todas las entidades de certificación. Repita el paso 12 para determinar si permanecerán los objetos de Active Directory.

    Importante: No debe eliminar las plantillas de certificado a menos que se han eliminado todas las entidades emisoras de certificados. Si las plantillas se eliminan accidentalmente, siga estos pasos:
    1. Asegúrese de arelogged en un servidor que ejecuta Servicios de Certificate Server como Enterpriseadministrator.
    2. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
      CD%windir%\System32
    3. Escriba el comando siguiente y, a continuación, presione ENTRAR:
      regsvr32 /i:i /n /scertcli.dll
      Esta acción vuelve a crea plantillas de certificado en Active Directory.
    Para eliminar las plantillas de certificado, siga estos pasos.
    1. En el panel izquierdo de la MMC de "Sitios y servicios de Active Directory", haga clic en el Templatesfolder de certificado.
    2. En el panel derecho, haga clic en una plantilla de certificado y CTRL + A para seleccionar todas las plantillas de thenpress. Haga las plantillas seleccionadas, haga clic enEliminary, a continuación, haga clic en .

Paso 7: Eliminar certificados publicados al objeto NtAuthCertificates

Después de eliminar los objetos de entidad emisora de certificados, debe eliminar los certificados de entidad emisora de certificados que se publican en el objeto NtAuthCertificates . Utilice cualquiera de los siguientes comandos para eliminar certificados desde dentro del almacén de NTAuthCertificates:
certutil - viewdelstore "" ldap: / / / CN = NtAuthCertificates, CN = Public Key
Servicios,..., DC = ForestRoot, DC = com? cACertificate? base? objectclass = certificationAuthority"

certutil - viewdelstore "" ldap: / / / CN = NtAuthCertificates, CN = Public Key
Servicios,..., DC = ForestRoot, DC = com? cACertificate? base? objectclass = pKIEnrollmentService "
Nota Debe tener permisos de administrador de organización para realizar esta tarea.
La acción viewdelstore - invoca la interfaz de usuario de selección de certificado en el conjunto de certificados en el atributo especificado. Puede ver los detalles del certificado. Puede cancelar el cuadro de diálogo de selección para no realizar ningún cambio. Si selecciona un certificado, dicho certificado se elimina cuando se cierra la interfaz de usuario y el comando se ejecuta completamente.

Utilice el siguiente comando para ver la ruta de acceso completa de LDAP para el objeto NtAuthCertificates en Active Directory:
almacén de certutil-? | Findstr "CN = NTAuth"

Paso 8: Eliminar la base de datos de la entidad emisora de certificados

Cuando se desinstala los servicios de certificación, se conserva la base de datos de la entidad emisora de certificados para que la entidad emisora de certificados puede volver a crear en otro servidor.

Para quitar la base de datos de la entidad emisora de certificados, elimine la carpeta %systemroot%\System32\Certlog.

Paso 9: Limpiar los controladores de dominio

Después de desinstala la CA, deben quitar los certificados emitidos a los controladores de dominio.

Para quitar los certificados emitidos a los controladores de dominio de Windows Server 2000, utilice la utilidad Dsstore.exe del Kit de recursos de Microsoft Windows 2000.

Para quitar los certificados que se han emitido a los controladores de dominio de Windows Server 2000, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo cmd, y, a continuación, presione ENTRAR.
  2. En un controlador de dominio, escriba: dsstore - dcmon en el símbolo del sistema y presione ENTRAR.
  3. Tipo 3, y, a continuación, presione ENTRAR. Esta acción elimina todos los certificados en todos los controladores de dominio.

    Nota La utilidad Dsstore.exe intentará validar certificados de controlador de dominio que se emiten para cada controlador de dominio. Se quitarán los certificados que no se validan de su controlador de dominio correspondiente.
Para quitar los certificados emitidos a los controladores de dominio de Windows Server 2003, siga estos pasos.

Importante: No utilice este procedimiento si está utilizando certificados basados en plantillas de versión 1 dominio controladores.
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo cmd, y, a continuación, presione ENTRAR.
  2. En el símbolo del sistema en un controlador de dominio, escriba: certutil - dcinfo deleteBad.
Certutil.exe intenta validar todos los certificados de controlador de dominio que se emiten para los controladores de dominio. Se quitarán los certificados que no se validan.

Para forzar la aplicación de la directiva de seguridad, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo cmd en el cuadro Abrir y, a continuación, presione ENTRAR.
  2. En el símbolo del sistema, escriba el comando adecuado para la versión del sistema operativo correspondiente y, a continuación, presione ENTRAR:
    • Para Windows Server 2000: secedit /refreshpolicy machine_policy /enforce
    • Gpupdate /force para Windows Server 2003:

Propiedades

Id. de artículo: 889250 - Última revisión: viernes, 25 de octubre de 2013 - Versión: 3.0
La información de este artículo se refiere a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
Palabras clave: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 889250

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com