Come rimuovere un'autorità di certificazione aziendale Windows e rimuovere tutti gli oggetti correlati

  • Articolo

Questo articolo dettagliato descrive come rimuovere una CA aziendale di Microsoft Windows e come rimuovere tutti gli oggetti correlati dal servizio directory Active Directory.

Si applica a: Windows Server
Numero KB originale: 889250

Riepilogo

Quando si disinstalla un'autorità di certificazione, i certificati rilasciati dalla CA sono in genere ancora in sospeso. Se i certificati in sospeso vengono elaborati dai vari computer client dell'infrastruttura a chiave pubblica, la convalida avrà esito negativo e tali certificati non verranno usati.

Questo articolo descrive come revocare i certificati in sospeso e come completare varie altre attività necessarie per disinstallare correttamente una CA. Questo articolo descrive inoltre diverse utilità che è possibile usare per rimuovere gli oggetti CA dal dominio.

Passaggio 1: Revocare tutti i certificati attivi rilasciati dalla CA aziendale

  1. Selezionare Start, scegliere Strumenti di amministrazione e quindi Autorità di certificazione.
  2. Espandere la CA e quindi selezionare la cartella Certificati rilasciati.
  3. Nel riquadro destro selezionare uno dei certificati emessi e quindi premere CTRL+A per selezionare tutti i certificati rilasciati.
  4. Fare clic con il pulsante destro del mouse sui certificati selezionati, selezionare Tutte le attività e quindi selezionare Revoca certificato.
  5. Nella finestra di dialogo Revoca certificato selezionare Termina operazione come motivo della revoca e quindi selezionare OK.

Passaggio 2- Aumentare l'intervallo di pubblicazione CRL

  1. Nello snap-in Autorità di certificazione Microsoft Management Console (MMC) fare clic con il pulsante destro del mouse sulla cartella Certificati revocati e quindi scegliere Proprietà.
  2. Nella casella Intervallo pubblicazione CRL digitare un valore adeguatamente lungo e quindi selezionare OK.

Nota

La durata dell'elenco di revoche di certificati (CRL) deve essere più lunga della durata che rimane per i certificati revocati.

Passaggio 3: Pubblicare un nuovo CRL

  1. Nello snap-in MMC autorità di certificazione fare clic con il pulsante destro del mouse sulla cartella Certificati revocati.
  2. Selezionare Tutte le attività e quindi Pubblica.
  3. Nella finestra di dialogo Pubblica CRL selezionare Nuovo CRL e quindi selezionare OK.

Passaggio 4: Negare le richieste in sospeso

Per impostazione predefinita, una CA aziendale non archivia le richieste di certificato. Tuttavia, un amministratore può modificare questo comportamento predefinito. Per negare le richieste di certificato in sospeso, seguire questa procedura:

  1. Nello snap-in MMC autorità di certificazione selezionare la cartella Richieste in sospeso.
  2. Nel riquadro destro selezionare una delle richieste in sospeso e quindi premere CTRL+A per selezionare tutti i certificati in sospeso.
  3. Fare clic con il pulsante destro del mouse sulle richieste selezionate, selezionare Tutte le attività e quindi selezionare Nega richiesta.

Passaggio 5- Disinstallare Servizi certificati dal server

  1. Per arrestare Servizi certificati, selezionare Avvia, selezionare Esegui, digitare cmd e quindi selezionare OK.

  2. Al prompt dei comandi digitare certutil -shutdown e quindi premere INVIO.

  3. Al prompt dei comandi digitare certutil -getreg CA\CSP\Provider e quindi premere INVIO. Si noti il valore Provider nell'output. Ad esempio:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:

  Provider REG_SZ = Microsoft Software Key Storage Provider
CertUtil: -getreg command completed successfully.

    Se il valore è Microsoft Strong Cryptographic Provider o Microsoft Enhanced Cryptographic Provider v1.0, digitare CertUtil -Key e premere INVIO.
    Se il valore è Microsoft Software Key Storage Provider, digitare CertUtil -CSP KSP -Key e premere INVIO.
    Se il valore è diverso, digitare CertUtil -CSP <PROVIDER NAME> -Key e premere INVIO.

    Questo comando visualizzerà i nomi di tutti i provider di servizi di crittografia (CSP) installati e gli archivi delle chiavi associati a ogni provider. Elencato tra gli archivi chiavi elencati sarà il nome della CA. Il nome verrà elencato più volte, come illustrato nell'esempio seguente:

    (1) Provider di crittografia di base Microsoft v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Server
    Ca radice di Windows2000 Enterprise
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

    (5) Provider di crittografia avanzato Microsoft v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Server
    Ca radice di Windows2000 Enterprise
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

  4. Eliminare la chiave privata associata alla CA. A tale scopo, al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    certutil -delkey CertificateAuthorityName

    Nota

    Se il nome della CA contiene spazi, racchiudere il nome tra virgolette.

    In questo esempio, il nome dell'autorità di certificazione è Windows2000 Enterprise Root CA. Di conseguenza, la riga di comando in questo esempio è la seguente:

    certutil -delkey "Windows2000 Enterprise Root CA"

  5. Elencare di nuovo gli archivi chiavi per verificare che la chiave privata per la CA sia stata eliminata.

  6. Dopo aver eliminato la chiave privata per la CA, disinstallare Servizi certificati. A tale scopo, seguire questa procedura, a seconda della versione di Windows Server in esecuzione.

    Se si disinstalla una CA aziendale, l'appartenenza a Enterprise Admins o l'equivalente è il valore minimo necessario per completare questa procedura. Per altre informazioni, vedere Implementare l'amministrazione basata sui ruoli.

    Per disinstallare una CA, seguire questa procedura:

    1. Selezionare Start, scegliere Strumenti di amministrazione e quindi selezionare Server Manager.
    2. In Riepilogo ruoli selezionare Rimuovi ruoli per avviare la Rimozione guidata ruoli e quindi selezionare Avanti.
    3. Selezionare questa opzione per deselezionare la casella di controllo Servizi certificati Active Directory e quindi selezionare Avanti.
    4. Nella pagina Conferma opzioni di rimozione esaminare le informazioni e quindi selezionare Rimuovi.
    5. Se Internet Information Services (IIS) è in esecuzione e viene richiesto di arrestare il servizio prima di continuare con il processo di disinstallazione, selezionare OK.
    6. Al termine della Rimozione guidata ruoli, riavviare il server. In questo modo viene completato il processo di disinstallazione.

    La procedura è leggermente diversa se sono installati più servizi ruolo Servizi certificati Active Directory in un singolo server. Per disinstallare una CA ma mantenere altri servizi ruolo di Servizi certificati Active Directory, seguire questa procedura.

    Nota

    Per completare questa procedura, è necessario accedere con le stesse autorizzazioni dell'utente che ha installato la CA. Se si disinstalla una CA aziendale, l'appartenenza a Enterprise Admins o l'equivalente è il valore minimo necessario per completare questa procedura. Per altre informazioni, vedere Implementare l'amministrazione basata sui ruoli.

    1. Selezionare Start, scegliere Strumenti di amministrazione e quindi selezionare Server Manager.
    2. In Riepilogo ruoli selezionare Servizi certificati Active Directory.
    3. In Servizi ruoli selezionare Rimuovi servizi ruolo.
    4. Selezionare questa opzione per deselezionare la casella di controllo Autorità di certificazione e quindi selezionare Avanti.
    5. Nella pagina Conferma opzioni di rimozione esaminare le informazioni e quindi selezionare Rimuovi.
    6. Se IIS è in esecuzione e viene richiesto di arrestare il servizio prima di continuare con il processo di disinstallazione, selezionare OK.
    7. Al termine della Rimozione guidata ruoli, è necessario riavviare il server. In questo modo viene completato il processo di disinstallazione.

    Se i servizi ruolo rimanenti, ad esempio il servizio Risponditore online, sono stati configurati per l'uso dei dati della CA disinstallata, è necessario riconfigurare questi servizi per supportare un'altra CA. Dopo la disinstallazione di una CA, nel server rimangono le informazioni seguenti:

    • Database ca.
    • Chiavi pubbliche e private della CA.
    • Certificati dell'autorità di certificazione nell'archivio personale.
    • Certificati della CA nella cartella condivisa, se durante l'installazione di Servizi certificati Active Directory è stata specificata una cartella condivisa.
    • Certificato radice della catena di ca nell'archivio Autorità di certificazione radice attendibili.
    • Certificati intermedi della catena di autorità di certificazione nell'archivio delle autorità di certificazione intermedie.
    • CRL della CA.

    Per impostazione predefinita, queste informazioni vengono mantenute nel server nel caso in cui si stia disinstallando e quindi reinstallando la CA. Ad esempio, è possibile disinstallare e reinstallare la CA se si vuole modificare una CA autonoma in una CA aziendale.

Passaggio 6- Rimuovere oggetti CA da Active Directory

Quando Servizi certificati Microsoft viene installato in un server membro di un dominio, vengono creati diversi oggetti nel contenitore di configurazione in Active Directory.

Questi oggetti sono i seguenti:

  • Oggetto certificateAuthority

    • Si trova in CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
    • Contiene il certificato ca per la CA.
    • Posizione AIA (Published Authority Information Access).

  • Oggetto crlDistributionPoint

    • Si trova in CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contiene l'elenco CRL pubblicato periodicamente dalla CA.
    • Posizione CDP (Published CRL Distribution Point).

  • Oggetto certificationAuthority

    • Si trova in CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contiene il certificato ca per la CA.

  • Oggetto pKIEnrollmentService

    • Si trova in CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Creato dall'autorità di certificazione dell'organizzazione.
    • Contiene informazioni sui tipi di certificati che la CA è stata configurata per il rilascio. Le autorizzazioni per questo oggetto possono controllare quali entità di sicurezza possono essere registrate in questa CA.

Quando la CA viene disinstallata, viene rimosso solo l'oggetto pKIEnrollmentService. Ciò impedisce ai client di provare a eseguire la registrazione nell'autorità di certificazione di cui è stata rimossa l'autorizzazione. Gli altri oggetti vengono conservati perché i certificati rilasciati dalla CA sono probabilmente ancora in sospeso. Questi certificati devono essere revocati seguendo la procedura descritta nella sezione Passaggio 1 - Revocare tutti i certificati attivi rilasciati dalla ca dell'organizzazione .

Per consentire ai computer client PKI (Public Key Infrastructure) di elaborare correttamente questi certificati in sospeso, i computer devono individuare i percorsi AIA (Authority Information Access) e CRL in Active Directory. È consigliabile revocare tutti i certificati in sospeso, estendere la durata del CRL e pubblicare il CRL in Active Directory. Se i certificati in sospeso vengono elaborati dai vari client PKI, la convalida avrà esito negativo e tali certificati non verranno usati.

Se non è una priorità mantenere il punto di distribuzione CRL e AIA in Active Directory, è possibile rimuovere questi oggetti. Non rimuovere questi oggetti se si prevede di elaborare uno o più certificati digitali precedentemente attivi.

Rimuovere tutti gli oggetti di Servizi di certificazione da Active Directory

Nota

È consigliabile rimuovere i modelli di certificato da Active Directory solo dopo aver rimosso tutti gli oggetti CA nella foresta di Active Directory.

Per rimuovere tutti gli oggetti di Servizi di certificazione da Active Directory, seguire questa procedura:

  1. Determinare il nome CACommonName della CA. A tal fine, attenersi alla seguente procedura:

    1. Selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
    2. Digitare certutil e quindi premere INVIO.
    3. Prendere nota del valore Name che appartiene all'autorità di certificazione. Per i passaggi successivi di questa procedura sarà necessario il nome CACommonName.

  2. Selezionare Start, scegliere Strumenti di amministrazione e quindi Siti e servizi di Active Directory.

  3. Nel menu Visualizza selezionare Mostra nodo servizi.

  4. Espandere Servizi, Servizi a chiave pubblica e quindi selezionare la cartella AIA.

  5. Nel riquadro destro fare clic con il pulsante destro del mouse sull'oggetto CertificationAuthority per la CA, selezionare Elimina e quindi selezionare .

  6. Nel riquadro sinistro dello snap-in MMC Siti e servizi di Active Directory selezionare la cartella CDP.

  7. Nel riquadro a destra individuare l'oggetto contenitore per il server in cui è installato Servizi certificati. Fare clic con il pulsante destro del mouse sul contenitore, scegliere Elimina e quindi selezionare due volte.

  8. Nel riquadro sinistro dello snap-in MMC Siti e servizi di Active Directory selezionare il nodo Autorità di certificazione .

  9. Nel riquadro destro fare clic con il pulsante destro del mouse sull'oggetto CertificationAuthority per la CA, selezionare Elimina e quindi selezionare .

  10. Nel riquadro sinistro dello snap-in MMC Siti e servizi di Active Directory selezionare il nodo Servizi di registrazione .

  11. Nel riquadro a destra verificare che l'oggetto pKIEnrollmentService per la CA sia stato rimosso quando Servizi certificati è stato disinstallato. Se l'oggetto non viene eliminato, fare clic con il pulsante destro del mouse sull'oggetto, selezionare Elimina e quindi selezionare .

  12. Se non sono stati individuati tutti gli oggetti, alcuni oggetti potrebbero essere lasciati in Active Directory dopo aver eseguito questi passaggi. Per eseguire la pulizia dopo un'autorità di certificazione che potrebbe aver lasciato oggetti in Active Directory, seguire questa procedura per determinare se gli oggetti AD rimangono:

    1. Digitare il comando seguente in una riga di comando e quindi premere INVIO:

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf

      In questo comando , CACommonName rappresenta il valore Name determinato nel passaggio 1. Ad esempio, se il valore Name è CA1 Contoso, digitare quanto segue:

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf

    2. Aprire il file rimanenteCAobjects.ldf nel Blocco note. Sostituire il termine changetype: add con changetype: delete. Verificare quindi se gli oggetti di Active Directory che verranno eliminati sono legittimi.

    3. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO per eliminare gli oggetti CA rimanenti da Active Directory:

      ldifde -i -f remainingCAobjects.ldf

  13. Eliminare i modelli di certificato se si è certi che tutte le autorità di certificazione siano state eliminate. Ripetere il passaggio 12 per determinare se rimangono oggetti AD.

    Importante

    Non è necessario eliminare i modelli di certificato a meno che tutte le autorità di certificazione non siano state eliminate. Se i modelli vengono eliminati accidentalmente, seguire questa procedura:

    1. Assicurarsi di aver eseguito l'accesso a un server che esegue Servizi certificati come amministratore aziendale.

    2. Al prompt dei comandi digitare il comando seguente e premere INVIO:

      cd %windir%\system32

    3. Digitare il comando seguente e quindi premere INVIO:

      regsvr32 /i:i /n /s certcli.dll

      Questa azione ricrea i modelli di certificato in Active Directory.

    Per eliminare i modelli di certificato, seguire questa procedura.

    1. Nel riquadro sinistro dello snap-in MMC Siti e servizi di Active Directory selezionare la cartella Modelli di certificato.
    2. Nel riquadro destro selezionare un modello di certificato e quindi premere CTRL+A per selezionare tutti i modelli. Fare clic con il pulsante destro del mouse sui modelli selezionati, scegliere Elimina e quindi selezionare .

Passaggio 7: Eliminare i certificati pubblicati nell'oggetto NtAuthCertificates

Dopo aver eliminato gli oggetti CA, è necessario eliminare i certificati ca pubblicati nell'oggetto NtAuthCertificates . Usare uno dei comandi seguenti per eliminare i certificati dall'interno dell'archivio NTAuthCertificates :

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Nota

Per eseguire questa attività, è necessario disporre delle autorizzazioni di amministratore dell'organizzazione.

L'azione -viewdelstore richiama l'interfaccia utente di selezione del certificato nel set di certificati nell'attributo specificato. È possibile visualizzare i dettagli del certificato. È possibile annullare la finestra di dialogo di selezione per non apportare modifiche. Se si seleziona un certificato, tale certificato viene eliminato alla chiusura dell'interfaccia utente e il comando viene eseguito completamente.

Usare il comando seguente per visualizzare il percorso LDAP completo dell'oggetto NtAuthCertificates in Active Directory:

certutil -viewdelstore -? | findstr "CN=NTAuth"

Passaggio 8: Eliminare il database ca

Quando Servizi di certificazione viene disinstallato, il database ca viene lasciato intatto in modo che la CA possa essere ricreata in un altro server.

Per rimuovere il database ca, eliminare la cartella %systemroot%\System32\Certlog .

Passaggio 9- Pulire i controller di dominio

Dopo la disinstallazione della CA, è necessario rimuovere i certificati rilasciati ai controller di dominio.

Per rimuovere i certificati rilasciati ai controller di dominio di Windows Server 2000, usare l'utilità Dsstore.exe da Microsoft Windows 2000 Resource Kit.

Per rimuovere i certificati rilasciati ai controller di dominio di Windows Server 2000, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare cmd e quindi premere INVIO.

  2. In un controller di dominio digitare dsstore -dcmon al prompt dei comandi e quindi premere INVIO.

  3. Digitare 3 e quindi premere INVIO. Questa azione elimina tutti i certificati in tutti i controller di dominio.

    Nota

    L'utilità Dsstore.exe tenterà di convalidare i certificati del controller di dominio rilasciati a ogni controller di dominio. I certificati che non convalidano vengono rimossi dal rispettivo controller di dominio.

Per rimuovere i certificati rilasciati ai controller di dominio di Windows Server 2003, seguire questa procedura.

Importante

Non usare questa procedura se si usano certificati basati sui modelli di controller di dominio versione 1.

  1. Selezionare Start, selezionare Esegui, digitare cmd e quindi premere INVIO.

  2. Al prompt dei comandi in un controller di dominio digitare certutil -dcinfo deleteBad.

    Certutil.exe prova a convalidare tutti i certificati del controller di dominio rilasciati ai controller di dominio. I certificati che non vengono convalidati vengono rimossi.

Per forzare l'applicazione dei criteri di sicurezza, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi premere INVIO.
  2. Al prompt dei comandi digitare il comando appropriato per la versione corrispondente del sistema operativo e quindi premere INVIO:

    • Per Windows Server 2000:

      secedit /refreshpolicy machine_policy /enforce

    • Per Windows Server 2003:

      gpupdate /force