Comment retirer une autorité de certification d'entreprise Windows et comment supprimer tous les objets associés à partir de Windows Server 2003 et de Windows Server 2000

Lorsque vous désinstallez une autorité de certification (CA), les certificats qui ont été émis par l'autorité de certification sont généralement encore en attente. Si les certificats en attente sont traités par les divers ordinateurs client Public Key Infrastructure, validation échouera, et ces certificats ne seront pas utilisés.

Cet article décrit comment révoquer les certificats en attente et comment effectuer diverses autres tâches qui sont nécessaires pour réussir à désinstaller une autorité de certification. En outre, cet article décrit plusieurs utilitaires que vous pouvez utiliser pour vous aider à supprimer des objets d'autorité de certification de votre domaine.

Cet article étape par étape explique comment retirer un Autorité de certification d'entreprise Microsoft Windows et comment supprimer tous les objets associés à partir de la Service d'annuaire Active Directory.

Étape 1: Révoquer tous les certificats actifs qui sont délivrés par l'autorité de certification d'entreprise

1. Cliquez sur Démarrer, pointez surOutils d'administration, puis cliquez sur Certification Autorité.
2. Développez votre autorité de certification, puis cliquez sur le Émis Certificats dossier.
3. Dans le volet droit, cliquez sur un des certificats délivrés, puis appuyez sur CTRL + A pour sélectionner tous les certificats émis.
4. Cliquez droit sur les certificats sélectionnés, cliquez sur Tous les Tâches, puis cliquez sur Révoquer le certificat.
5. Dans le Révocation de certificats boîte de dialogue, Cliquez sur pour sélectionner Cessation de l'opération le motif de révocation, puis cliquez sur OK.

Étape 2: Augmentez l'intervalle de publication CRL

1. Dans la Console MMC Autorité de Certification (MMC) enfichable, droit du Certificats révoqués dossier, puis cliquez sur Propriétés.
2. Dans le Intervalle de Publication CRL zone, tapez une durée suffisamment longue et puis cliquez sur OK.

Remarque La durée de vie de la liste de révocation de certificats (CRL) doit être plus longue que la durée de vie restante pour les certificats qui ont été révoqué.

Étape 3: Publier une nouvelle liste CRL

1. Dans le composant logiciel enfichable MMC Autorité de Certification, cliquez droit sur leCertificats révoqués dossier.
2. Cliquez sur Toutes les tâches, puis cliquez surPublier.
3. Dans le Publier la CRL boîte de dialogue, cliquez surNouvelle liste de révocation, puis cliquez sur OK.

Étape 4: Refuser des demandes en attente

Par défaut, une autorité de certification d'entreprise ne stocke pas les demandes de certificats. Toutefois, un administrateur peut modifier ce comportement par défaut. Pour refuser tout en attente demandes de certificat, procédez comme suit :

1. Dans le composant logiciel enfichable MMC Autorité de Certification, cliquez sur le Dossier demandes en attente.
2. Dans le volet droit, cliquez sur l'une des demandes en attente, et Appuyez sur CTRL + A pour sélectionner tous les certificats en attente.
3. Cliquez droit sur les demandes sélectionnées, cliquez sur Tous les Tâches, puis cliquez sur Refuser la demande.

Étape 5: Désinstaller les Services de certificats à partir du serveur

1. Pour arrêter les Services de certificats, cliquez sur Démarrer, Cliquez sur Exécuter, type cmd, puis cliquez surOK.
2. À l'invite de commandes, tapez certutil -arrêt, puis appuyez sur ENTRÉE.
3. Pour répertorier tous les magasins de clés pour l'ordinateur local, tapezcertutil-clé à l'invite de commandes. Cette commande va afficher les noms de tous les fournisseurs de services cryptographiques installé (CSP) et les magasins de clés qui sont associés à chaque fournisseur. Voici quelques-unes des clés répertoriés magasins, vous verrez le nom de votre autorité de certification figurant plusieurs fois, comme indiqué dans le exemple suivant.

   (1)Microsoft Base Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
   
   (5)Microsoft Enhanced Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

4. Supprimer la clé privée qui est associée à l'autorité de certification. Pour Pour ce faire, tapez la ligne suivante à une invite de commande :
   certutil - delkey Nom_autorité_certification
   Remarque Si le nom de votre autorité de certification contient des espaces, entourez le nom de proposition de prix marque.
   
   Dans cet exemple, leNom_autorité_certification est l'entreprise de Windows2000 Autorité de certification racine. Par conséquent, la ligne de commande dans cet exemple est la suivante :
   certutil - delkey « Autorité de certification racine de l'entreprise de Windows2000 »
5. Liste des magasins de clés afin de vérifier que la clé privée pour votre autorité de certification a été supprimée.
6. Après avoir supprimé la clé privée de votre autorité de certification, désinstaller Services de certificats. Pour ce faire, procédez comme suit :
   1. Fermez le composant logiciel enfichable MMC Autorité de Certification s'il est toujours ouvrir.
   2. Cliquez sur Démarrer, pointez sur Contrôle Panneau de configuration, puis cliquez sur Ajouter ou supprimer Programmes.
   3. Cliquez sur Ajout/Suppression de Windows Composants.
   4. Dans le Composants boîte, cliquez sur pour effacer le Services de certificats case à cocher, cliquez sur Suivant, puis suivez les instructions de la Windows Assistant Composants de Pour terminer la suppression du certificat Services.

Étape 6: Supprimer des objets d'autorité de certification d'Active Directory

Lorsque les Services de certificats Microsoft est installé sur un serveur qui est un membre d'un domaine, plusieurs objets sont créés dans la configuration conteneur dans Active Directory.

Ces objets sont les suivants :

• Objet certificateAuthority
  • Situé dans CN = AIA, CN = Public Key Services, CN = Services, CN = Configuration, DC =Domaine_racine_forêt.
  • Contient le certificat d'autorité de certification pour l'autorité de certification.
  • Publication d'accès aux informations d'autorité (AIA) emplacement.
• objet crlDistributionPoint
  • Situé dans CN =Nom_serveurCN = CDP, CN = Public Key Service, CN = Services, CN = Configuration, DC =ForestRootDC = com.
  • Contient la liste de révocation régulièrement publiée par le AUTORITÉ DE CERTIFICATION.
  • Publié Point de Distribution CRL (CDP) emplacement
• objet certificationAuthority
  • Situé dans CN = Certification Authorities, CN = Public Key Services, CN = Services, CN = Configuration, DC =ForestRootDC = com.
  • Contient le certificat d'autorité de certification pour l'autorité de certification.
• objet pKIEnrollmentService
  • Situé dans CN = Enrollment Services, CN = Public Key Services, CN = Services, CN = Configuration, DC =ForestRootDC = com.
  • Créé par l'autorité de certification d'entreprise.
  • Contient des informations sur les types de certificats l'autorité de certification a été configurée pour le problème. Peuvent contrôler les autorisations sur cet objet les entités de sécurité peuvent s'inscrire sur cette autorité de certification.

Lorsque l'autorité de certification est désinstallée, seul l'objet pKIEnrollmentService est supprimée. Cela empêche les clients de tente de s'inscrire sur le autorité de certification désactivée. Les autres objets sont conservés dans la mesure où les certificats qui sont délivré par l'autorité de certification sont probablement encore en attente. Ces certificats doivent être révoqués en suivant la procédure prévue à le « étape 1: révoquer toutes actives les certificats sont émis par l'autorité de certification"section.

Pour Ordinateurs de client Public Key Infrastructure (PKI) pour traiter correctement ces les certificats en attente, les ordinateurs doivent localiser les informations de l'autorité Accès (AIA) et distribution CRL point chemins d'accès dans Active Directory. Il est une bonne idée pour révoquer tous les certificats en attente, de prolonger la durée de vie de la CRL, et publier la CRL dans Active Directory. Si les certificats en attente sont traités par les différents clients PKI, validation échouera et ces certificats ne seront pas utilisés.

S'il n'est pas une priorité pour maintenir le point de distribution CRL et AIA dans Active Directory, vous pouvez supprimer ces objets. Ne supprimez pas ces objets si vous envisagez de traiter une ou plusieurs des les certificats numériques auparavant actifs.

Supprimer toutes les certifications Services des objets à partir d'Active Directory

Remarque Vous ne devez pas supprimer les modèles de certificats de Active Directory jusqu'au après avoir supprimé tous les objets d'autorité de certification dans la forêt Active Directory.

Pour supprimer toutes les certifications Services des objets à partir d'Active Directory, procédez comme suit :

1. Déterminer la CACommonName de l'autorité de certification. Pour ce faire, procédez comme suit :
   1. Cliquez sur Démarrer, cliquez sur Exécuter, type cmd dans le Ouvrir zone, puis cliquez sur OK.
   2. Type certutil, puis appuyez sur ENTRÉE.
   3. Prenez note de la Nom valeur qui appartient à votre autorité de certification. Vous devez le CACommonName pour les étapes ultérieures de cette procédure.
2. Cliquez sur Démarrer, pointez surOutils d'administration, puis cliquez sur Active Directory Sites et Services.
3. Sur la Vue menu, cliquez surAfficher le n?ud des Services.
4. Développez Services, développez Clé publique Services, puis cliquez sur le AIA dossier.
5. Dans le volet droit, cliquez droit sur leCertificationAuthority objet pour votre autorité de certification, cliquez surSupprimer, puis cliquez sur Oui.
6. Dans le volet gauche de l'Active Directory, Sites et Services MMC snap-in, cliquez la CDP dossier.
7. Dans le volet droit, recherchez l'objet conteneur pour le serveur sur lequel les Services de certificats est installé. Cliquez droit sur le conteneur, Cliquez sur Supprimer, puis cliquez sur Oui deux fois.
8. Dans le volet gauche de l'Active Directory, Sites et Services MMC snap-in, cliquez la Autorités de certificationn?ud.
9. Dans le volet droit, cliquez droit sur leCertificationAuthority objet pour votre autorité de certification, cliquez surSupprimer, puis cliquez sur Oui.
10. Dans le volet gauche de l'Active Directory, Sites et Services MMC snap-in, cliquez la Services d'inscription n?ud.
11. Dans le volet droit, vérifiez que le pKIEnrollmentService objet pour votre autorité de certification a été supprimé lors de la désinstallation de Services de certificats. If l'objet n'est pas supprimé, cliquez droit sur l'objet, cliquez surSupprimer, puis cliquez sur Oui.
12. Si vous n'avez pas trouvé tous les objets, certains objets peuvent rester dans Active Directory après avoir effectué ces étapes. Pour nettoyer après une autorité de certification peut avoir laissé des objets dans Active Directory, procédez comme suit pour déterminer si les objets AD restent :
    1. Tapez la commande suivante à une ligne de commande et appuyez sur ENTRÉE :
       LDIFDE - r "cn =CACommonName"-d" CN = Public Key Services, CN = Services, CN = Configuration, DC =ForestRootDC = com "-f output.ldf
       Dans cette commande, CACommonName représente le Nom valeur que vous avez déterminé à l'étape 1. Par exemple, si le Nom la valeur est « Contoso d'autorité de certification 1 », tapez la commande suivante :
       LDIFDE - r "cn = Contoso d'autorité de certification 1" -d "cn = services de clés publiques, cn = services, cn = configuration, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Ouvrez le fichier remainingCAobjects.ldf dans le bloc-notes. Remplacer le terme « changetype : ajouter « avec » changetype : supprimer. " Ensuite, vérifiez si les objets Active Directory que vous supprimerez sont légitimes.
    3. À une invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE pour supprimer les autres objets d'autorité de certification d'Active Directory :
       ldifde i - remainingCAobjects.ldf -f
13. Supprimer les modèles de certificats si vous êtes sûr que toutes les autorités de certification ont été supprimés. Répétez l'étape 12 pour déterminer si les objets AD restent.
    
    Important Vous ne devez pas supprimer les modèles de certificats, à moins que les autorités de certification ont été supprimées. Si les modèles sont accidentellement supprimés, procédez comme suit :
    1. Assurez-vous que vous êtes connecté à un serveur qui exécute les Services de certificats en tant qu'entreprise administrateur.
    2. À l'invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
       CD %windir%\System32
    3. Tapez la commande suivante et appuyez sur ENTRÉE :
       regsvr32/i: i /n /s certcli.dll
       Cette opération permet de recréer le modèles de certificats dans Active Directory.
       
    Pour supprimer les modèles de certificats, procédez comme suit.
    1. Dans le volet gauche de la « Sites et Services Active Directory » MMC snap-in, cliquez sur les modèles de certificats dossier.
    2. Dans le volet droit, cliquez sur un modèle de certificat, puis Appuyez sur CTRL + A pour sélectionner tous les modèles. Cliquez droit sur les modèles sélectionnés, cliquez surSupprimer, puis cliquez sur Oui.

Étape 7: Supprimer les certificats publiés à l'objet NtAuthCertificates

Après avoir supprimé les objets d'autorité de certification, vous devez supprimer les certificats d'autorité de certification qui sont publiés sur le NtAuthCertificates objet. Pour supprimer des certificats à partir de la banque NTAuthCertificates, utilisez une des commandes suivantes :Le -viewdelstore action appelle l'interface utilisateur de sélection de certificat sur l'ensemble des certificats dans l'attribut spécifié. Vous pouvez afficher les détails du certificat. Vous pouvez annuler la boîte de dialogue Sélection apporter aucune modification. Si vous sélectionnez un certificat, ce certificat est supprimé lorsque l'interface utilisateur se ferme et la commande est exécutée entièrement.

Utilisez la commande suivante pour afficher le chemin d'accès LDAP complet à la NtAuthCertificates objet dans Active Directory :

Étape 8: Supprimer la base de données d'autorité de certification

Lorsque les Services de Certification est désinstallée, la base de données d'autorité de certification est laissée intacte afin que l'autorité de certification peut être recréée sur un autre serveur.

Pour supprimer la base de données d'autorité de certification, supprimez le %systemroot%\System32\Certlog dossier.

Étape 9: Nettoyer les contrôleurs de domaine

Une fois que l'autorité de certification est désinstallée, les certificats qui ont été délivrés aux contrôleurs de domaine doivent être supprimés.

Pour supprimer des certificats qui ont été délivrés pour les contrôleurs de domaine Windows Server 2000, utilisez l'utilitaire Dsstore.exe du Kit de ressources Microsoft Windows 2000.

Pour supprimer les certificats qui ont été émis pour les contrôleurs de domaine Windows Server 2000, procédez comme suit :

1. Cliquez sur Démarrer, cliquez sur Exécuter, type cmd, puis appuyez sur ENTRÉE.
2. Sur un contrôleur de domaine, tapez dsstore - dcmon à l'invite de commandes, puis appuyez sur ENTRÉE.
3. Type 3, puis appuyez sur ENTRÉE. Cette action supprime tous les certificats sur tous les contrôleurs de domaine.
   
   Remarque L'utilitaire Dsstore.exe essaiera de valider les certificats de contrôleur de domaine qui sont délivrés à chaque contrôleur de domaine. Ne pas valident les certificats sont supprimés de leur contrôleur de domaine respectif.

Pour supprimer des certificats qui ont été délivrés pour les contrôleurs de domaine Windows Server 2003, procédez comme suit.

Important N'utilisez pas cette procédure si vous utilisez des certificats basés sur des modèles de contrôleur de domaine 1 version.

1. Cliquez sur Démarrer, cliquez sur Exécuter, type cmd, puis appuyez sur ENTRÉE.
2. À l'invite de commande sur un contrôleur de domaine, tapez certutil - dcinfo deleteBad.

Certutil.exe tente de valider tous les certificats de contrôleur de domaine qui sont publiés sur les contrôleurs de domaine. Les certificats qui ne valident pas sont supprimés.

Pour forcer l'application de la stratégie de sécurité procédez comme suit :

1. Cliquez sur Démarrer, cliquez sur Exécuter, type cmd dans le Ouvrir zone, puis appuyez sur ENTRÉE.
2. À l'invite de commandes, tapez la commande appropriée pour la version correspondante du système d'exploitation et appuyez sur ENTRÉE :
   • Pour Windows Server 2000 : secedit /refreshpolicy machine_policy /enforce
   • Pour Windows Server 2003 : gpupdate /force