Cómo dar de baja una entidad emisora de certificados de Windows y cómo quitar todos los objetos relacionados de Windows Server 2003 y Windows Server 2000

Al desinstalar una entidad emisora de certificados (CA), los certificados emitidos por la entidad emisora de certificados normalmente están aún pendientes. Si los certificados pendientes se procesan los distintos equipos cliente de infraestructura de claves públicas, se producirá un error de validación y no se utilizará esos certificados.

Este artículo describe cómo revocar certificados pendientes y cómo completar otras tareas diversas que son necesarios para desinstalar correctamente una entidad emisora de certificados. Además, este artículo describe varias utilidades que puede utilizar para ayudar a quitar objetos de entidad emisora de certificados de su dominio.

Este artículo paso a paso describe cómo dar de baja un CA de empresa de Microsoft Windows y cómo quitar todos los objetos relacionados de la Servicio de directorio de Active Directory.

Paso 1: Revocar todos los certificados activos emitidos por la entidad emisora de certificados de empresa

1. Haga clic en Inicio, seleccioneHerramientas administrativasy, a continuación, haga clic en Emisora de certificados Autoridad.
2. Expanda entidad emisora de certificados y, a continuación, haga clic en el Emitido Certificados carpeta.
3. En el panel derecho, haga clic en uno de los certificados emitidos, y, a continuación, presione CTRL+A para seleccionar los certificados emitidos todos.
4. (Ratón) en los certificados seleccionados, haga clic en Todos los Tareas, y, a continuación, haga clic en Revocar certificados.
5. En el Revocación de certificados cuadro de diálogo, Haga clic para seleccionar Cese de operación como el motivo de revocación y, a continuación, haga clic en ACEPTAR.

Paso 2: Aumente el intervalo de publicación de CRL

1. En la consola de administración de Microsoft de entidad emisora de certificados El botón secundario snap-in, (MMC) el Certificados revocados carpeta, y, a continuación, haga clic en Propiedades.
2. En el Intervalo de publicación de CRL cuadro, escriba un valor de tipo long adecuadamente y, a continuación, haga clic en ACEPTAR.

Nota Debe ser la duración de la lista de revocación de certificados (CRL) más de la vigencia que sigue siendo de certificados que han sido revocado.

Paso 3: Publicar una CRL nueva

1. En el complemento MMC de entidad emisora de certificados, haga clic en elCertificados revocados carpeta.
2. Haga clic en Todas las tareasy, a continuación, haga clic enPublicar.
3. En el Publicar CRL cuadro de diálogo, haga clic enNueva lista CRLy, a continuación, haga clic en ACEPTAR.

Paso 4: Denegar solicitudes pendientes

De forma predeterminada, una CA de empresa no almacena las solicitudes de certificados. Sin embargo, un administrador puede cambiar este comportamiento predeterminado. Para denegar cualquier pendiente solicitudes de certificado, siga estos pasos:

1. En el complemento MMC de entidad emisora de certificados, haga clic en el Carpeta peticiones pendiente.
2. En el panel derecho, haga clic en una de las solicitudes pendientes, y a continuación, presione CTRL+A para seleccionar todos los certificados pendientes.
3. (Ratón) en las solicitudes seleccionadas, haga clic en Todos los Tareasy, a continuación, haga clic en Denegar la solicitud.

Paso 5: Desinstalar servicios de Certificate Server desde el servidor

1. Para detener servicios de Certificate Server, haga clic en Inicio, Haga clic en Ejecutar, tipo cmd, haga clic enACEPTAR.
2. En el símbolo del sistema, escriba certutil -apagado, y, a continuación, presione ENTRAR.
3. Para obtener una lista de todos los almacenes de claves para el equipo local, escribacertutil-clave en el símbolo del sistema. Este comando será Mostrar los nombres de todos los proveedores instalados servicios criptográficos (CSP) y los almacenes de claves que están asociados con cada proveedor. Entre la clave enumerada almacenes, verá el nombre de la entidad emisora de certificados aparece varias veces, como se muestra en la ejemplo siguiente.

   (1)Microsoft Base Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
   
   (5)Microsoft Enhanced Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

4. Eliminar la clave privada asociada con la entidad emisora de certificados. Para Para ello, escriba lo siguiente en un símbolo del sistema:
   Certutil - delkey CertificateAuthorityName
   Nota Si el nombre de entidad emisora de certificados contiene espacios, encierre el nombre en el presupuesto marcas.
   
   En este ejemplo, elCertificateAuthorityName es de empresa de Windows 2000 Entidad emisora de certificados raíz. Por lo tanto, la línea de comandos en este ejemplo es la siguiente:
   Certutil - delkey "Windows2000 CA raíz de empresa"
5. Lista de los almacenes de claves para comprobar la clave privada para la entidad emisora de certificados se ha eliminado.
6. Después de eliminar la clave privada para su entidad emisora de certificados, desinstalar Servicios de Certificate Server. Para ello, siga estos pasos:
   1. Cierre el complemento MMC de entidad emisora de certificados si está sigue sin abrir.
   2. Haga clic en Inicio, seleccione Control Panely, a continuación, haga clic en Agregar o quitar Programas.
   3. Haga clic en Agregar o quitar Windows Componentes.
   4. En el Componentes cuadro, haga clic en Borrar el Servicios de Certificate Server casilla de verificación, haga clic en Siguientey, a continuación, siga las instrucciones que aparecen en el Windows Asistente para componentes para completar la eliminación del certificado Servicios.

Paso 6: Quitar objetos de entidad emisora de certificados de Active Directory

Cuando está instalado Servicios de Microsoft Certificate Server en un servidor que es un miembro de un dominio, se crean varios objetos en la configuración contenedor de Active Directory.

Estos objetos son los siguientes:

• objeto de la Autoridad decertificación
  • Ubicado en CN = AIA, CN = clave pública Servicios, CN = Servicios, CN = Configuration, DC =ForestRootDomain.
  • Contiene el certificado de entidad emisora de certificados para la entidad emisora de certificados.
  • Publicado el acceso a información de entidad emisora (AIA) ubicación.
• objeto crlDistributionPoint
  • Ubicado en CN =Nombre del servidorCN = CDP, CN = clave pública Servicios, CN = Servicios, CN = Configuration, DC =ForestRootDC = com.
  • Contiene la CRL publicada periódicamente por el ENTIDAD EMISORA DE CERTIFICADOS.
  • Punto de distribución de CRL publicada (CDP) ubicación
• objeto certificationAuthority
  • Ubicado en CN = entidades emisoras de certificados, CN = clave pública Servicios, CN = Servicios, CN = Configuration, DC =ForestRootDC = com.
  • Contiene el certificado de entidad emisora de certificados para la entidad emisora de certificados.
• objeto pKIEnrollmentService
  • Ubicado en CN = Servicios de inscripción, CN = clave pública Servicios, CN = Servicios, CN = Configuration, DC =ForestRootDC = com.
  • Creado por la entidad emisora de certificados de empresa.
  • Contiene información acerca de los tipos de certificados la entidad emisora de certificados se ha configurado para el problema. Pueden controlar los permisos de este objeto qué entidades de seguridad pueden inscribir contra esta entidad emisora de certificados.

Cuando se desinstale la entidad emisora de certificados, sólo el objeto pKIEnrollmentService se quita. Esto evita que los clientes intentando inscribirse en el entidad emisora de certificados fuera de servicio. Los demás objetos se conservan porque los certificados que son emitido por la entidad emisora de certificados son probablemente aún pendientes. Estos certificados deben ser revocado siguiendo el procedimiento descrito en el "paso 1: revocar todos los activos los certificados emitidos por la entidad emisora de certificados de empresa"sección.

Para Equipos cliente de infraestructura de claves (PKI) público para procesar correctamente estas los certificados pendientes, los equipos deben localizar la información de autoridad Access (AIA) y distribución de CRL punto las rutas de acceso en Active Directory. Es una buena idea para revocar todos los certificados pendientes, extender la duración de la CRL y publicar la CRL en Active Directory. Si los certificados pendientes procesados por los distintos clientes PKI, validación se producirá un error y esos no se utilizan certificados.

Si no es una prioridad para mantener el punto de distribución CRL y AIA en Active Directory, puede quitar estos objetos. No quite estos objetos si espera procesar uno o más de los certificados digitales anteriormente activos.

Quitar todos los certificados Objetos de servicios de Active Directory

Nota No debe quitar las plantillas de certificados de Active Directory hasta después de quitar todos los objetos de entidad emisora de certificados en el bosque de Active Directory.

Para quitar todos los certificados Objetos de servicios de Active Directory, siga estos pasos:

1. Determinar la CACommonName de la entidad emisora de certificados. Para ello, siga estos pasos:
   1. Haga clic en Inicio, haga clic en Ejecutar, tipo cmd en el Abierto cuadro y, a continuación, haga clic en ACEPTAR.
   2. Tipo certutil, y, a continuación, presione ENTRAR.
   3. Tome nota de la Nombre valor que pertenece a la entidad emisora de certificados. Se necesita el CACommonName para pasos posteriores de este procedimiento.
2. Haga clic en Inicio, seleccioneHerramientas administrativasy, a continuación, haga clic en Active Directory Sitios y servicios.
3. En el Vista menú, haga clic enMostrar el nodo de servicios.
4. Expanda Servicios, expanda Clave pública Serviciosy, a continuación, haga clic en el AFP carpeta.
5. En el panel derecho, haga clic en elCertificationAuthority objeto de la entidad emisora de certificados, haga clic enEliminary, a continuación, haga clic en Sí.
6. En el panel izquierdo de los sitios de Active Directory y servicios Haga clic en complementos en MMC el CDP carpeta.
7. En el panel derecho, busque el objeto contenedor de la servidor donde está instalado Servicios de Certificate Server. Con el botón derecho el contenedor Haga clic en Eliminary, a continuación, haga clic en Sí dos veces.
8. En el panel izquierdo de los sitios de Active Directory y servicios Haga clic en complementos en MMC el Entidades emisoras de certificadosnodo.
9. En el panel derecho, haga clic en elCertificationAuthority objeto de la entidad emisora de certificados, haga clic enEliminary, a continuación, haga clic en Sí.
10. En el panel izquierdo de los sitios de Active Directory y servicios Haga clic en complementos en MMC el Servicios de inscripción nodo.
11. En el panel derecho, compruebe que la pKIEnrollmentService se quitó el objeto de la entidad emisora de certificados cuando se ha desinstalado Servicios de Certificate Server. Si no se elimina el objeto, haga clic en el objeto, haga clic enEliminary, a continuación, haga clic en Sí.
12. Si no encontró todos los objetos, debe dejarse algunos objetos en Active Directory después de realizar estos pasos. Para limpiar después de una entidad emisora de certificados que haya dejado objetos en Active Directory, siga estos pasos para determinar si siguen siendo los objetos de Active Directory:
    1. Escriba el comando siguiente en una línea de comandos y, a continuación, presione ENTRAR:
       LDIFDE - r "cn =CACommonName"-d" CN = Public Key Services, CN = Servicios, CN = Configuration, DC =ForestRootDC = com "-f output.ldf
       En este comando, CACommonName representa el Nombre valor que determinó en el paso 1. Por ejemplo, si el Nombre el valor es "CA1 Contoso", escriba lo siguiente:
       LDIFDE - r "cn = Contoso CA1" -d "cn = servicios de claves pública, cn = servicios, cn = configuration, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Abra el archivo remainingCAobjects.ldf en el Bloc de notas. Reemplace el término "changetype: añadir" con "changetype: eliminar." A continuación, compruebe si los objetos de Active Directory que va a eliminar son legítimos.
    3. En el símbolo del sistema, escriba el comando siguiente y, a continuación, presione ENTRAR para eliminar los demás objetos de entidad emisora de certificados de Active Directory:
       ldifde -i -f remainingCAobjects.ldf
13. Eliminar las plantillas de certificado si está seguro de que se han eliminado todas las entidades emisoras de certificados. Repita el paso 12 para determinar si siguen siendo los objetos de Active Directory.
    
    Importante No debe eliminar las plantillas de certificado a menos que se han eliminado todas las entidades emisoras de certificados. Si las plantillas se eliminan accidentalmente, siga estos pasos:
    1. Asegúrese de que está ha iniciado sesión un servidor que ejecuta Servicios de Certificate Server como de empresa Administrador.
    2. En el símbolo del sistema, escriba el comando siguiente y, a continuación, presione ENTRAR:
       CD %windir%\System32
    3. Escriba el comando siguiente y, a continuación, presione ENTRAR:
       regsvr32 /i:i /n /s certcli.dll
       Esta acción se vuelve a crear el plantillas de certificado en Active Directory.
       
    Para eliminar las plantillas de certificado, siga estos pasos.
    1. En el panel izquierdo de la "Active Directory sitios y servicios" MMC snap-in, haga clic en las plantillas de certificado carpeta.
    2. En el panel derecho, haga clic en una plantilla de certificado y, a continuación Presione CTRL+A para seleccionar todas las plantillas. (Ratón) en las plantillas seleccionadas, haga clic enEliminary, a continuación, haga clic en Sí.

Paso 7: Eliminar certificados publicados para el objeto NtAuthCertificates

Después de eliminar los objetos de entidad emisora de certificados, primero debe eliminar los certificados de entidad emisora de certificados que se publican en el NtAuthCertificates objeto. Utilice cualquiera de los siguientes comandos para eliminar certificados desde dentro de la tienda NTAuthCertificates:El -viewdelstore la selección de certificado interfaz de usuario en el conjunto de certificados en el atributo especificado que invoca la acción. Puede ver los detalles del certificado. Puede cancelar fuera del cuadro de diálogo de selección para no realizar ningún cambio. Si selecciona un certificado, dicho certificado se elimina cuando se cierra la interfaz de usuario y el comando se ejecuta completamente.

Utilice el comando siguiente para ver la ruta de acceso completa de LDAP para la NtAuthCertificates objeto en Active Directory:

Paso 8: Eliminar la base de datos de entidad emisora de certificados

Cuando se desinstala Servicios de certificación, es la base de datos de entidad emisora de certificados deja intactas para que la entidad emisora de certificados puede volver a crear en otro servidor.

Para quitar la base de datos de entidad emisora de certificados, elimine el %systemroot%\System32\Certlog carpeta.

Paso 9: Limpiar los controladores de dominio

Después de desinstalar la entidad emisora de certificados, deben quitar los certificados emitidos para los controladores de dominio.

Para quitar certificados emitidos para los controladores de dominio de Windows Server 2000, utilice la utilidad Dsstore.exe del Kit de recursos de Microsoft Windows 2000.

Para quitar los certificados emitidos para los controladores de dominio de Windows Server 2000, siga estos pasos:

1. Haga clic en Inicio, haga clic en Ejecutar, tipo cmd, y, a continuación, presione ENTRAR.
2. En un controlador de dominio, escriba dsstore - dcmon en el símbolo del sistema y, a continuación, presione ENTRAR.
3. Tipo 3, y, a continuación, presione ENTRAR. Esta acción elimina todos los certificados en todos los controladores de dominio.
   
   Nota La utilidad Dsstore.exe intentará validar certificados de controlador de dominio que se emiten para cada controlador de dominio. Los certificados que no se validan se quitan de su controlador de dominio respectivo.

Para quitar certificados emitidos para los controladores de dominio de Windows Server 2003, siga estos pasos.

Importante No utilice este procedimiento si está utilizando certificados basados en plantillas de controladores de dominio 1 de versión.

1. Haga clic en Inicio, haga clic en Ejecutar, tipo cmd, y, a continuación, presione ENTRAR.
2. En el símbolo del sistema en un controlador de dominio, escriba certutil - dcinfo deleteBad.

Certutil.exe intenta validar todos los certificados de controlador de dominio que se emiten para los controladores de dominio. Se quitarán los certificados que no se validan.

Para forzar la aplicación de la directiva de seguridad siga estos pasos:

1. Haga clic en Inicio, haga clic en Ejecutar, tipo cmd en el Abierto cuadro y, a continuación, presione ENTRAR.
2. En el símbolo del sistema, escriba el comando adecuado para la versión correspondiente del sistema operativo y, a continuación, presione ENTRAR:
   • Para Windows Server 2000: secedit /refreshpolicy machine_policy /enforce
   • Para Windows Server 2003: gpupdate /force