Como descomissionar uma autoridade de certificação de empresa do Windows e remover todos os objetos relacionados do Windows Server 2003 e do Windows Server 2000

Ao desinstalar uma autoridade de certificação (CA), os certificados foram emitidos pela autoridade de certificação são normalmente ainda pendentes. Se os certificados pendentes são processados por vários computadores de cliente de infra-estrutura de chave pública, validação falhará e esses certificados não serão usados.

Este artigo descreve como revogar certificados pendentes e como concluir várias tarefas que são necessários para desinstalar uma autoridade de certificação com êxito. Além disso, este artigo descreve vários utilitários que você pode usar para ajudar a remover objetos da autoridade de certificação de seu domínio.

Este artigo passo a passo descreve como encerrar um Autoridade de certificação corporativa do Microsoft Windows e como remover todos os objetos relacionados da Serviço de diretório do Active Directory.

Etapa 1: Revogar todos os certificados ativos que são emitidos pela autoridade de certificação corporativa

1. Clique em Início, aponte paraFerramentas administrativase clique em Certificação Autoridade.
2. Expanda a autoridade de certificação e clique no Emitido Certificados pasta.
3. No painel direito, clique em um dos certificados emitidos e, em seguida, pressione CTRL + A para selecionar certificados emitidos tudo.
4. Os certificados selecionados com o botão direito, clique em Todos os Tarefas, e, em seguida, clique em Revogar certificado.
5. No Revogação de certificado caixa de diálogo Clique para selecionar Cessação da operação como o motivo para revogação e clique em OK.

Etapa 2: Aumentar o intervalo de publicação de CRL

1. No Console de gerenciamento Microsoft de autoridade de certificação (MMC) snap-in, direito a Certificados revogados pasta, e, em seguida, clique em Propriedades.
2. No Intervalo de publicação de CRL caixa, digite um valor bastante longo e em seguida, clique OK.

Observação A vida útil da lista de revogação de certificados (CRL) deve ser mais do que a vida útil permanece de certificados que foram revogado.

Etapa 3: Publique uma nova CRL

1. No snap-in MMC de autoridade de certificação, clique com o botão direito doCertificados revogados pasta.
2. Clique em Todas as tarefase clique emPublicar.
3. No Publicar CRL caixa de diálogo, clique emNova CRLe clique em OK.

Etapa 4: Negar solicitações pendentes

Por padrão, uma CA corporativa não armazenar solicitações de certificado. No entanto, um administrador pode alterar esse comportamento padrão. Para negar qualquer pendente solicitações de certificado, execute estas etapas:

1. No snap-in MMC de autoridade de certificação, clique no Pasta solicitações pendente.
2. No painel direito, clique solicitações pendentes, e em seguida, pressione CTRL + A para selecionar todos os certificados pendentes.
3. Os pedidos selecionados com o botão direito, clique em Todos os Tarefase clique em Negar a solicitação.

Etapa 5: Desinstalar os serviços de certificado do servidor

1. Para interromper os serviços de certificado, clique em Início, Clique em Executar, tipo cmde clique emOK.
2. No prompt de comando, digite certutil -desligamento, e pressione ENTER.
3. Para listar todos os armazenamentos de chaves do computador local, digitecertutil-chave no prompt de comando. Este comando será exibir os nomes de todos os provedores de serviços de criptografia instalado (CSP) e armazenamentos de chaves associados com cada provedor. Entre a chave listada lojas, você verá o nome da autoridade de certificação listado várias vezes, como mostra a exemplo seguinte.

   (1)Microsoft Base Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
   
   (5)Microsoft Enhanced Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

4. Exclua a chave particular associada com a autoridade de certificação. Para fazer isso, digite o seguinte no prompt de comando:
   Certutil - delkey CertificateAuthorityName
   Observação Se o nome contiver espaços, coloque o nome da cotação marca.
   
   Neste exemplo, oCertificateAuthorityName é empresa Windows2000 Autoridade de certificação raiz. Portanto, a linha de comando neste exemplo é o seguinte:
   Certutil - delkey "Windows2000 Enterprise Root CA"
5. Listar os armazenamentos de chaves novamente para verificar se a chave particular sua autoridade de certificação foi excluído.
6. Após excluir a chave particular para sua autoridade de certificação, desinstalar Serviços de certificados. Para fazer isso, siga estas etapas:
   1. Feche o snap-in do MMC Autoridade de certificação, se estiver Abra ainda.
   2. Clique em Início, aponte para Controle Painele clique em Adicionar ou remover Programas.
   3. Clique em Adicionar ou remover o Windows Componentes.
   4. No Componentes caixa, clique para desmarcar o Serviços de certificados caixa de seleção, clique em Avançare siga as instruções do Windows Assistente de componentes para concluir a remoção do certificado Serviços.

Etapa 6: Remover objetos da autoridade de certificação do Active Directory

Quando o Microsoft Certificate Services é instalado em um servidor que é membro de um domínio, vários objetos são criados na configuração recipiente do Active Directory.

Esses objetos são os seguintes:

• objeto autoridade decertificação
  • Localizado em CN = AIA, CN = Public Key Services, CN = Services, CN = Configuration, DC =ForestRootDomain.
  • Contém o certificado da autoridade de certificação.
  • Publicado o acesso a informações da autoridade (AIA) localização.
• objeto crlDistributionPoint
  • Localizado em CN =Nome_do_servidorCN = CDP, CN = Public Key Service, CN = Services, CN = Configuration, DC =ForestRootDC = com.
  • Contém a CRL publicada periodicamente pela AUTORIDADE DE CERTIFICAÇÃO.
  • Ponto de distribuição de CRL (CDP) publicados localização
• objeto de autoridade de certificação
  • Localizado em CN = autoridades de certificação, CN = Public Key Services, CN = Services, CN = Configuration, DC =ForestRootDC = com.
  • Contém o certificado da autoridade de certificação.
• objeto pKIEnrollmentService
  • Localizado em CN = Serviços de registro, CN = Public Key Services, CN = Services, CN = Configuration, DC =ForestRootDC = com.
  • Criado pela autoridade de certificação corporativa.
  • Contém informações sobre os tipos de certificados a autoridade de certificação tiver sido configurada para o problema. Podem controlar as permissões neste objeto quais objetos de segurança podem registrar esta autoridade de certificação.

Quando a autoridade de certificação é desinstalada, apenas o objeto pKIEnrollmentService é removido. Isso impede que clientes tentando registrar o CA encerrado. Outros objetos são mantidos porque os certificados que são emitido pela autoridade de certificação são provavelmente ainda pendente. Esses certificados devem ser revogado, seguindo o procedimento da "etapa 1: revogar todos os ativos os certificados emitidos pela autoridade de certificação corporativa"seção.

Para Computadores de cliente Public Key Infrastructure (PKI) processar com êxito essas certificados pendentes, os computadores devem localizar as informações da autoridade Distribuição de CRL e AIA (acesso) apontam caminhos no Active Directory. É uma boa idéia revogar todos os certificados pendentes, estender a vida útil da CRL, e publicar a CRL no Active Directory. Se os certificados pendentes processado por vários clientes PKI, validação falhará e esses certificados não serão usados.

Se não for uma prioridade para manter o ponto de distribuição da CRL e AIA no Active Directory, você pode remover esses objetos. Não remova esses objetos se espera processar um ou mais os certificados digitais anteriormente ativos.

Remover todos os certificação Serviços de objetos do Active Directory

Observação Você não deve remover os modelos de certificado do Active Directory até depois de remover todos os objetos da autoridade de certificação na floresta do Active Directory.

Para remover todas as certificação Serviços de objetos do Active Directory, execute estas etapas:

1. Determine o CACommonName da autoridade de certificação. Para fazer isso, siga estas etapas:
   1. Clique em Início, clique em Executar, tipo cmd no Aberto caixa e clique OK.
   2. Tipo certutil, e pressione ENTER.
   3. Anote o Nome valor que pertence à autoridade de certificação. O CACommonName é necessário para etapas posteriores deste procedimento.
2. Clique em Início, aponte paraFerramentas administrativase clique em Active Directory Sites e serviços.
3. Sobre o Modo de exibição menu, clique emMostrar nó de serviços.
4. Expandir Serviços, expanda Chave pública Serviçose clique no AIA pasta.
5. No painel direito, clique com o botão direito doAutoridade de certificação objeto para sua autoridade de certificação, clique emExcluire clique em Sim.
6. No painel à esquerda dos serviços e Sites do Active Directory MMC snap-in, clique no CDP pasta.
7. No painel direito, localize o objeto de recipiente para o servidor onde os serviços de certificado está instalado. Clique com o botão direito no recipiente Clique em Excluire clique em Sim duas vezes.
8. No painel à esquerda dos serviços e Sites do Active Directory MMC snap-in, clique no Autoridades de certificaçãonó.
9. No painel direito, clique com o botão direito doAutoridade de certificação objeto para sua autoridade de certificação, clique emExcluire clique em Sim.
10. No painel à esquerda dos serviços e Sites do Active Directory MMC snap-in, clique no Serviços de registro nó.
11. No painel direito, verifique se o pKIEnrollmentService objeto para sua autoridade de certificação foi removido quando os serviços de certificado foi desinstalado. Se o objeto não é excluído, clique com o botão direito do objeto, clique emExcluire clique em Sim.
12. Se você não localizou todos os objetos, alguns objetos podem ser deixados no Active Directory após executar essas etapas. Para limpar após uma autoridade de certificação deve ter deixado a objetos no Active Directory, execute estas etapas para determinar se os objetos do AD permanecem:
    1. Digite o seguinte comando na linha de comando e pressione ENTER:
       Ldifde - r "cn =CACommonName"-d" CN = Public Key Services, CN = Services, CN = Configuration, DC =ForestRootDC = com "-f output.ldf
       Neste comando, CACommonName representa o Nome valor que você determinou na etapa 1. Por exemplo, se o Nome o valor é "CA1 do Contoso", digite o seguinte:
       Ldifde - r "cn = CA1 Contoso" -d "cn = serviços de chaves pública, cn = services, cn = configuration, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Abra o arquivo remainingCAobjects.ldf no bloco de notas. Substituir o termo "changetype: Adicionar" com "changetype: excluir." Em seguida, verificar se os objetos do Active Directory irá excluir são legítimos.
    3. Em um prompt de comando, digite o seguinte comando e pressione ENTER para excluir os objetos restantes da autoridade de certificação do Active Directory:
       ldifde -i -f remainingCAobjects.ldf
13. Exclua modelos de certificado, se você tiver certeza de que todas as autoridades de certificação foram excluídas. Repita a etapa 12 para determinar se os objetos do AD permanecem.
    
    Importante Você não deve excluir os modelos de certificado a menos que as autoridades de certificação tenham sido excluídas. Se os modelos forem excluídos acidentalmente, execute estas etapas:
    1. Certifique-se de que você está conectado a um servidor que está executando os serviços de certificado como empresa administrador.
    2. Em um prompt de comando, digite o seguinte comando e pressione ENTER:
       CD %windir%\System32.
    3. Digite o seguinte comando e pressione ENTER:
       regsvr32 /i:i /n /s certcli. dll
       Esta ação recria o modelos de certificado no Active Directory.
       
    Para excluir os modelos de certificado, siga estas etapas.
    1. No painel esquerdo do "Active Directory Sites e serviços" MMC snap-in, clique em modelos de certificado pasta.
    2. No painel direito, clique em um modelo de certificado e, em seguida Pressione CTRL + A para selecionar todos os modelos. Modelos selecionados com o botão direito, clique emExcluire clique em Sim.

Etapa 7: Excluir certificados publicados para o objeto NtAuthCertificates

Após excluir os objetos da autoridade de certificação, você tem que excluir os certificados de CA publicados para o NtAuthCertificates objeto. Use um dos seguintes comandos para excluir certificados a partir de armazenamento NTAuthCertificates:O -viewdelstore ação chama a seleção de certificado da interface do usuário no conjunto de certificados no de atributo especificado. Você pode exibir os detalhes do certificado. Você pode cancelar a caixa de diálogo seleção para não fazer alterações. Se você selecionar um certificado, o certificado é excluído quando fecha a interface do usuário e o comando é executado completamente.

Use o comando a seguir para ver o caminho completo do LDAP para o NtAuthCertificates objeto no Active Directory:

Etapa 8: Excluir o banco de dados de autoridade de certificação

Quando os serviços de certificação é desinstalado, o banco de dados de autoridade de certificação é alteradas para que a autoridade de certificação pode ser recriada em outro servidor.

Para Remover do banco de dados, exclua o %RaizdoSistema%\system32\CertLog pasta.

Etapa 9: Limpar os controladores de domínio

Após a desinstalação a autoridade de certificação, os certificados foram emitidos para controladores de domínio devem ser removidos.

Para remover certificados que foram emitidos para os controladores de domínio do Windows Server 2000, use o utilitário Dsstore.exe do Microsoft Windows 2000 Resource Kit.

Para remover certificados que foram emitidos para os controladores de domínio do Windows Server 2000, execute estas etapas:

1. Clique em Início, clique em Executar, tipo cmd, e pressione ENTER.
2. Em um controlador de domínio, digite dsstore - dcmon no prompt de comando e pressione ENTER.
3. Tipo 3, e pressione ENTER. Essa ação exclui todos os certificados em todos os controladores de domínio.
   
   Observação O utilitário Dsstore.exe tentará validar certificados de controlador de domínio que são emitidos para cada controlador de domínio. Certificados não validar são removidos do seu respectivo controlador de domínio.

Para remover certificados que foram emitidos para os controladores de domínio do Windows Server 2003, siga estas etapas.

Importante Não use esse procedimento se você estiver usando certificados baseados em modelos de controlador de domínio 1 versão.

1. Clique em Início, clique em Executar, tipo cmd, e pressione ENTER.
2. No prompt de comando em um controlador de domínio, digite certutil - dcinfo deleteBad.

Certutil. exe tenta validar todos os certificados de DC são emitidos para os controladores de domínio. Certificados não validar são removidos.

Para forçar a aplicação da diretiva de segurança Siga estas etapas:

1. Clique em Início, clique em Executar, tipo cmd no Aberto caixa e pressione ENTER.
2. Em um prompt de comando, digite o comando apropriado para a versão do sistema operacional correspondente e pressione ENTER:
   • Para o Windows Server 2000: secedit /refreshpolicy machine_policy /enforce
   • Para Windows Server 2003: gpupdate /force