Cara menonaktifkan Windows enterprise certification authority dan menghapus semua berhubungan objek

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 889250 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

Ringkasan

Ketika Anda menghapus otoritas sertifikasi (CA), sertifikat yang dikeluarkan oleh CA biasanya masih beredar. Jika sertifikat beredar diproses oleh berbagai Public Key Infrastructure klien komputer, validasi akan gagal, dan sertifikat tersebut tidak akan digunakan.

Artikel ini menjelaskan bagaimana membatalkan sertifikat yang luar biasa dan bagaimana untuk menyelesaikan berbagai tugas yang diperlukan untuk berhasil uninstall CA. Selain itu, artikel ini menjelaskan beberapa utilitas yang dapat Anda gunakan untuk membantu Anda menghapus objek CA dari domain Anda.

PENDAHULUAN

Artikel ini selangkah demi selangkah menjelaskan cara untuk decommission perusahaan Microsoft Windows CA, dan bagaimana untuk menghapus semua benda-benda terkait dari layanan direktori Active Directory.

Langkah 1: Mencabut aktif semua sertifikat yang dikeluarkan oleh perusahaan CA

  1. Klik mulai, arahkan keAlat administratif, dan kemudian klik CertificationAuthority.
  2. Memperluas CA, dan kemudian klik IssuedCertificates folder.
  3. Dalam pane kanan-atas, klik salah satu sertifikat yang diterbitkan, dan kemudian tekan CTRL + A memilih semua diterbitkan Sertifikat.
  4. Klik kanan-atas sertifikat yang dipilih, klik AllTasks, dan kemudian klik Membatalkan sertifikat.
  5. Di kotak dialog Pencabutan sertifikat , klik untuk memilih Berhenti operasi sebagai alasan forrevocation, dan kemudian klik OK.

Langkah 2: Meningkatkan interval publikasi CRL

  1. Otoritas sertifikasi Microsoft manajemen Console(MMC) snap-in, klik kanan-atas folder sertifikat yang dibatalkan , dan kemudian klik properti.
  2. Dalam kotak CRL publikasi Interval , typea panjang sesuai nilai, dan kemudian klik OK.
Catatan Seumur hidup dari daftar pencabutan sertifikat (CRL) harus lebih lama dari masa yang tetap untuk sertifikat yang telah dicabut.

Langkah 3: Mempublikasikan CRL baru

  1. Pada Otoritas Sertifikat snap-in MMC, klik kanan-atas foldersertifikat yang dibatalkan .
  2. Klik Semua tugas, dan kemudian klikpublikasikan.
  3. Di kotak dialog Mempublikasikan CRL , klikBaru CRL, dan kemudian klik OK.

Langkah 4: Menyangkal ditangguhkan permintaan

secara asali, suatu perusahaan CA tidak menyimpan permintaan sertifikat. Namun, administrator dapat mengubah perilaku default ini. Untuk menolak permintaan sertifikat tertunda, ikuti langkah berikut:
  1. Dalam Otoritas Sertifikat snap-in MMC, klik folder permintaan thePending.
  2. Di panel kanan-atas, klik salah satu permintaan tertunda, andthen tekan CTRL + A memilih semua sertifikat yang tertunda.
  3. Klik kanan-atas permintaan dipilih, klik AllTasks, dan kemudian klik Menolak permintaan.

Langkah 5: Menghapus layanan sertifikat dari server

  1. Untuk menghentikan layanan sertifikat, klik mulai, klik menjalankan, jenis CMD, lalu klik OK.
  2. Pada prompt perintah, ketik certutil-shutdown, kemudian tekan Enter.
  3. Pada prompt perintah, ketikcertutil-kunci, kemudian tekan Enter. Perintah ini akan menampilkan nama-nama semua penyedia layanan kriptografik yang diinstal (CSP) dan toko-toko utama yang berhubungan dengan penyedia masing-masing. Terdaftar di antara toko-toko utama yang terdaftar akan nama CA. Nama akan dicantumkan beberapa kali, seperti yang ditunjukkan dalam contoh berikut:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. tombol tekan HAPUS privat yang berhubungan dengan CA. Untuk melakukan ini, pada prompt perintah, ketik perintah berikut, dan kemudian tekan Enter:
    certutil - delkey CertificateAuthorityName
    Catatan Jika nama CA berisi spasi, Sertakan nama dalam quotationmarks.

    Dalam contoh ini, nama otoritas sertifikat adalah "Windows2000 Enterprise CA akar." Oleh karena itu, baris perintah dalam contoh ini adalah sebagai berikut:
    certutil - delkey "Windows2000 Enterprise Root CA"
  5. Daftar toko-toko utama lagi untuk memverifikasi bahwa bukti kunci pribadi untuk CA telah dihapus.
  6. Setelah Anda tombol tekan HAPUS pribadi untuk CA, uninstall sertifikat layanan. Untuk melakukannya, ikuti langkah-langkah, tergantung pada versi Windows Server yang Anda jalankan.

    Windows Server 2003
    1. Dekat snap-in MMC otoritas sertifikasi jika masih terbuka.
    2. Klik mulai, arahkan ke Control Panel, dan kemudian klik Tambah atau Hapus Program.
    3. Klik Tambah/Hapus komponen Windows.
    4. Dalam kotak komponen , klik untuk mengosongkan kotak centang Layanan sertifikat , klik berikutnya, dan kemudian ikuti petunjuk dalam Wizard komponen Windows untuk menyelesaikan penghapusan layanan sertifikat.
    Windows Server 2008 dan versi yang lebih baru

    Jika Anda menghapus suatu perusahaan CA, keanggotaan dalam admin perusahaan, atau setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Untuk informasi lebih lanjut, lihat Melaksanakan Administrasi berbasis peran.

    Untuk mencopot pemasangan CA, ikuti langkah berikut:
    1. Klik mulai, arahkan ke Alat administratif, dan kemudian klik Server Manager.
    2. Di bawah Peran ringkasan, klik Hapus peran untuk mulai menghapus peran Wizard, dan kemudian klik berikutnya.
    3. Klik untuk mengosongkan kotak centang Active Directory Services sertifikat , dan kemudian klik berikutnya.
    4. Pada halaman Konfirmasi penghapusan pilihan , meninjau informasi, dan kemudian klik Hapus.
    5. Jika Internet Information Services (IIS) berjalan dan Anda akan diminta untuk menghentikan layanan sebelum Anda melanjutkan dengan proses pencopotan pemasangan, klik OK.
    6. Setelah menghapus peran Wizard selesai, restart server. Ini melengkapi proses pencopotan pemasangan.
    Prosedur ini sedikit berbeda jika Anda memiliki beberapa Active Directory sertifikat Services (AD CS) peran layanan diinstal pada sebuah server tunggal. Untuk mencopot pemasangan CA tetapi perlu Layanan peran CS iklan lainnya, ikuti langkah berikut.

    CatatanAnda harus masuk dengan izin yang sama sebagai pengguna yang diinstal CA untuk menyelesaikan prosedur ini. Jika Anda menghapus suatu perusahaan CA, keanggotaan dalam admin perusahaan, atau setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Untuk informasi lebih lanjut, lihat Melaksanakan Administrasi berbasis peran.
    1. Klik mulai, arahkan ke Alat administratif, dan kemudian klik Server Manager.
    2. Dalam Ringkasan peran, klik Active Directory sertifikat Services.
    3. Dalam Peran Layanan, klik Hapus peran Layanan.
    4. Klik untuk mengosongkan kotak centang Otoritas sertifikasi , dan kemudian klik berikutnya.
    5. Pada halaman Konfirmasi penghapusan pilihan , meninjau informasi, dan kemudian klik Hapus.
    6. Jika IIS berjalan dan Anda akan diminta untuk menghentikan layanan sebelum Anda melanjutkan dengan proses pencopotan pemasangan, klik OK.
    7. Setelah menghapus peran Wizard selesai, Anda harus me-restart server. Ini melengkapi proses pencopotan pemasangan.
    Jika Layanan peran yang tersisa, seperti Layanan Online Responder, yang dikonfigurasi untuk menggunakan data dari CA dihapus, Anda harus mengkonfigurasi layanan ini untuk mendukung CA berbeda. Setelah CA dihapus, informasi berikut yang tersisa pada server:
    • CA database
    • CA Umum dan swasta bukti kunci
    • Sertifikat CA's di toko pribadi
    • Sertifikat CA's dalam folder berbagi, jika folder berbagi ditentukan selama setup AD CS
    • sertifikat akar rantai CA di toko dipercaya akar sertifikasi otoritas
    • Sertifikat CA rantai menengah di toko menengah otoritas sertifikasi
    • CA's CRL
    secara asali, informasi ini akan disimpan di server dalam kasus Anda uninstall dan kemudian instal ulang CA. Misalnya, Anda mungkin uninstall dan menginstal ulang CA jika Anda ingin mengubah CA berdiri sendiri untuk suatu perusahaan CA.

Langkah 6: Menghapus objek CA dari Active Directory

Ketika Microsoft sertifikat layanan diinstal pada sebuah server anggota domain, beberapa objek diciptakan dalam wadah konfigurasi di Active Directory.

Objek-objek ini adalah sebagai berikut:
  • certificateAuthority objek
    • Terletak di CN = AIA, CN = Layanan bukti kunci umum, CN = layanan, CN = konfigurasi, DC =ForestRootDomain.
    • Berisi sertifikat CA untuk CA.
    • Lokasi otoritas informasi akses (AIA) yang diterbitkan.
  • crlDistributionPoint objek
    • Terletak di CN =nama serverCN = CDP, CN = Layanan bukti kunci umum, CN = layanan, CN = konfigurasi, DC =ForestRootDC = com.
    • Berisi CRL yang dipublikasikan secara periodik oleh CA.
    • Lokasi CRL distribusi titik (CDP) yang diterbitkan
  • certificationAuthority objek
    • Terletak di CN = otoritas sertifikasi, CN = Layanan bukti kunci umum, CN = layanan, CN = konfigurasi, DC =ForestRootDC = com.
    • Berisi sertifikat CA untuk CA.
  • pKIEnrollmentService objek
    • Terletak di CN = layanan pendaftaran, CN = Layanan bukti kunci umum, CN = layanan, CN = konfigurasi, DC =ForestRootDC = com.
    • Dibuat oleh perusahaan CA.
    • Berisi informasi tentang jenis sertifikat CA telah dikonfigurasi untuk masalah. Hak akses pada objek ini dapat mengontrol keamanan yang kepala sekolah dapat mendaftarkan diri terhadap CA ini.
Ketika CA dihapus, hanya objek pKIEnrollmentService akan dihapus. Hal ini mencegah klien dari mencoba untuk mendaftar terhadap CA ditutup. Benda-benda lain dipertahankan karena sertifikat yang dikeluarkan oleh CA mungkin masih beredar. Sertifikat tersebut harus dicabut dengan mengikuti prosedur "langkah 1: mencabut aktif semua sertifikat yang dikeluarkan oleh perusahaan CA" bagian.

Untuk infrastruktur bukti kunci umum (PKI) komputer klien untuk berhasil memproses sertifikat yang luar biasa ini, komputer harus menemukan otoritas informasi akses (AIA) dan CRL distribusi titik jalan di Active Directory. Ini adalah ide yang baik untuk mencabut semua sertifikat yang luar biasa, memperpanjang masa CRL, dan mempublikasikan CRL di Active Directory. Jika sertifikat beredar diproses oleh berbagai klien PKI, validasi akan gagal, dan sertifikat tersebut tidak akan digunakan.

Jika hal ini tidak menjadi prioritas untuk menjaga CRL distribusi titik dan AIA di Active Directory, Anda dapat menghapus objek-objek ini. Jangan hapus objek-objek ini jika Anda berharap untuk memproses satu atau lebih dari sebelumnya aktif sertifikat digital.

Hapus semua objek jasa sertifikasi dari Active Directory

Catatan Anda tidak harus menghapus sertifikat template dari direktori aktif sampai setelah Anda menghapus semua objek CA di forest Active Directory.

Untuk menghapus Semua layanan sertifikasi objek dari Active Directory, ikuti langkah berikut:
  1. Menentukan CACommonName CA. Untuk melakukannya, ikuti langkah berikut:
    1. Klik mulai, klik menjalankan, jenis CMD dalam terbuka kotak, dan kemudian klik OK.
    2. Jenis certutil, kemudian tekan ENTER.
    3. Membuat catatan dari nilai nama milik CA. Anda akan perlu CACommonName untuk kemudian langkah dalam prosedur ini.
  2. Klik mulai, arahkan keAlat administratif, dan kemudian klik DirectorySites aktif dan layanan.
  3. Pada Lihat menu, klikTampilkan Layanan Node.
  4. Memperluas Layanan, memperluas KeyServices umum, dan kemudian klik AIA folder.
  5. Pada panel kanan-atas, klik kanan-atasCertificationAuthority objek untuk CA, klikHapus, dan kemudian klik ya.
  6. Dalam pane kiri situs direktori aktif dan ServicesMMC snap-in, klik CDP folder.
  7. Di panel kanan-atas, temukan objek kontainer untuk theserver mana sertifikat layanan diinstal. Klik kanan-atas kontainer, klik Hapus, dan kemudian klik ya dua kali.
  8. Dalam pane kiri aktif Direktori Situs dan ServicesMMC snap-in, klik node Otoritas sertifikasi.
  9. Pada panel kanan-atas, klik kanan-atasCertificationAuthority objek untuk CA, klikHapus, dan kemudian klik ya.
  10. Dalam pane kiri aktif Direktori Situs dan ServicesMMC snap-in, klik node Pendaftaran Layanan .
  11. Dalam pane kanan-atas, pastikan bahwa pKIEnrollmentServiceobject untuk CA dihapus ketika sertifikat Layanan dihapus. Ifthe objek tidak dihapus, klik kanan-atas objek, klikHapus, dan kemudian klik ya.
  12. Jika Anda tidak melakukan menemukan semua benda, beberapa objek dapat dibiarkan dalam direktori aktif setelah Anda melakukan langkah-langkah berikut. Untuk Bersihkan setelah CA yang mungkin telah meninggalkan objek di Active Directory, ikuti langkah berikut untuk menentukan apakah setiap benda iklan tetap:
    1. Ketik perintah berikut pada baris perintah, dan kemudian tekan ENTER:
      ldifde - r "cn =CACommonName"-d" CN = Layanan bukti kunci umum, CN = layanan, CN = konfigurasi, DC =ForestRootDC = com "output.ldf -f
      Dalam perintah ini, CACommonName mewakili nilai nama yang Anda ditentukan dalam langkah 1. Misalnya, jika nilai nama "CA1 Contoso", ketik berikut:
      ldifde - r "cn = CA1 Contoso" -d "cn = Layanan bukti kunci umum, cn = layanan, cn = konfigurasi, dc = contoso, dc = com" remainingCAobjects.ldf -f
    2. Buka remainingCAobjects.ldf file di Notepad. Menggantikan istilah "changetype: menambahkan" dengan "changetype: Hapus."Kemudian, memverifikasi apakah objek Active Directory yang Anda akan menghapus sah.
    3. Pada prompt perintah, ketik perintah berikut, dan kemudian tekan ENTER untuk menghapus objek CA sisa dari direktori aktif:
      ldifde -i remainingCAobjects.ldf -f
  13. Menghapus template sertifikat jika Anda yakin bahwa semua otoritas sertifikat telah dihapus. Ulangi langkah 12 untuk menentukan apakah setiap benda iklan tetap.

    Penting Anda tidak harus menghapus template sertifikat kecuali semua otoritas sertifikat telah dihapus. Jika template secara tidak sengaja dihapus, ikuti langkah berikut:
    1. Pastikan bahwa Anda arelogged pada server yang menjalankan layanan sertifikat sebagai Enterpriseadministrator.
    2. Pada prompt perintah, ketik perintah berikut, dan kemudian tekan ENTER:
      CD%windir%\System32
    3. Ketik perintah berikut, dan kemudian tekan ENTER:
      regsvr32 /i:i /n /scertcli.dll
      Tindakan ini kembali menciptakan thecertificate template di Active Directory.
    Untuk menghapus template sertifikat, ikuti langkah berikut.
    1. Dalam pane kiri snap-in MMC "Aktif Direktori Situs dan layanan", klik sertifikat Templatesfolder.
    2. Di panel kanan-atas, klik sertifikat template, dan thenpress CTRL A untuk memilih semua template. Klik kanan-atas template yang dipilih, klikHapus, dan kemudian klik ya.

Langkah 7: Menghapus sertifikat yang diterbitkan ke objek NtAuthCertificates

Setelah Anda menghapus objek CA, Anda harus menghapus sertifikat CA yang diterbitkan pada NtAuthCertificates objek. Gunakan salah satu dari perintah berikut untuk menghapus sertifikat dari dalam toko NTAuthCertificates:
certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN = bukti kunci publik
Layanan,..., DC = ForestRoot, DC = com? cACertificate? basis? objectclass = certificationAuthority"

certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN = bukti kunci publik
Layanan,..., DC = ForestRoot, DC = com? cACertificate? basis? objectclass = pKIEnrollmentService "
Catatan Anda harus memiliki izin Administrator perusahaan untuk melakukan tugas ini.
Aksi - viewdelstore memanggil pemilihan sertifikat UI pada serangkaian sertifikat dalam attibute tertentu. Anda dapat melihat rincian sertifikat. Anda dapat membatalkan dari dialog pemilihan untuk membuat tidak ada perubahan. Jika Anda memilih sertifikat, sertifikat tersebut akan dihapus ketika menutup UI dan perintah sepenuhnya dijalankan.

Gunakan perintah berikut untuk melihat garis jatuh berseri LDAP penuh ke NtAuthCertificates objek di Active Directory:
certutil store-? | findstr "CN = NTAuth"

Langkah 8: Menghapus CA database

Ketika Layanan sertifikasi dihapus, CA database yang tersisa utuh sehingga CA dapat dibuat ulang pada server lainnya.

Untuk menghapus CA database, Hapus %systemroot%\System32\Certlog folder.

Langkah 9: Bersihkan dari pengendali domain

Setelah CA dihapus, sertifikat yang dikeluarkan ke pengendali domain harus dihilangkan.

Untuk menghapus sertifikat yang dikeluarkan ke pengendali domain Windows Server 2000, gunakan utilitas Dsstore.exe dari Microsoft Windows 2000 Resource Kit.

Untuk menghapus sertifikat yang telah diterbitkan ke pengendali domain Windows Server 2000, ikuti langkah berikut:
  1. Klik mulai, klik menjalankan, jenis CMD, kemudian tekan ENTER.
  2. Pada pengendali domain, ketik dsstore - dcmon pada prompt perintah, dan kemudian tekan ENTER.
  3. Jenis 3, kemudian tekan ENTER. Tindakan ini akan menghapus semua sertifikat pada semua domain kontroler.

    Catatan Utilitas Dsstore.exe akan mencoba memvalidasi domain controller sertifikat yang dikeluarkan untuk setiap domain controller. Sertifikat yang tidak memvalidasi akan dihapus dari mereka masing-masing domain controller.
Untuk menghapus sertifikat yang dikeluarkan ke pengendali domain Windows Server 2003, ikuti langkah berikut.

Penting Jangan menggunakan prosedur ini jika Anda menggunakan sertifikat yang didasarkan pada versi 1 domain controller template.
  1. Klik mulai, klik menjalankan, jenis CMD, kemudian tekan ENTER.
  2. Pada prompt perintah pada pengendali domain, jenis certutil - dcinfo deleteBad.
Certutil.exe berusaha untuk memvalidasi semua sertifikat DC yang dikeluarkan ke pengendali domain. Sertifikat yang tidak memvalidasi akan dihapus.

Untuk mendorong penerapan kebijakan keamanan, ikuti langkah berikut:
  1. Klik mulai, klik menjalankan, jenis CMD dalam terbuka kotak, dan kemudian tekan ENTER.
  2. Pada prompt perintah, ketik perintah yang sesuai untuk versi sistem operasi yang sesuai, dan kemudian tekan ENTER:
    • Untuk Windows Server 2000: secedit /refreshpolicy machine_policy / menegakkan
    • Untuk Windows Server 2003: gpupdate / kekuatan

Properti

ID Artikel: 889250 - Kajian Terakhir: 24 Oktober 2013 - Revisi: 3.0
Berlaku bagi:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
Kata kunci: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 889250

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com