Como descomissionar uma autoridade de certificação de empresa do Windows e remover todos os objetos relacionados

Traduções deste artigo Traduções deste artigo
ID do artigo: 889250 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Quando você desinstalar uma autoridade de certificação (CA), os certificados que foram emitidos pela autoridade de certificação são normalmente ainda pendentes. Se os certificados pendentes forem processados pelos diversos computadores de cliente de infra-estrutura de chave pública, validação falhará e esses certificados não serão usados.

Este artigo descreve como revogar certificados pendentes e realizar várias outras tarefas que são necessárias para desinstalar com êxito um CA. Além disso, este artigo descreve vários utilitários que você pode usar para ajudá-lo a remover objetos de autoridade de certificação de seu domínio.

INTRODUÇÃO

Este artigo passo a passo descreve como descomissionar uma autoridade de certificação de empresa do Microsoft Windows e como remover todos os objetos relacionados do serviço de diretório do Active Directory.

Etapa 1: Revogue todos os certificados ativos que são emitidos pela autoridade de certificação corporativa

  1. Clique em Iniciar, aponte paraFerramentas administrativase, em seguida, clique em autoridade de certificação.
  2. Expanda a autoridade de certificação e, em seguida, clique na pasta de IssuedCertificates .
  3. No painel direito, clique em um dos certificados emitidos e, em seguida, pressione CTRL + A para selecionar todos os emitidos certificados.
  4. Clique com botão direito os certificados selecionados, clique em AllTasks e, em seguida, clique em Revogar Certificado.
  5. Na caixa de diálogo de Revogação de certificados , clique para selecionar a Cessação da operação como forrevocation o motivo e, em seguida, clique em OK.

Etapa 2: Aumentar o intervalo de publicação da CRL

  1. No snap-in console (MMC) gerenciamento de Microsoft de autoridade de certificação, clique na pasta Certificados revogados e, em seguida, clique em Propriedades.
  2. Na caixa Intervalo de publicação da CRL , typea devidamente longo valor e, em seguida, clique em OK.
Observação O tempo de vida da lista de revogação de certificados (CRL) deve ser maior do que o tempo de vida que permanece para certificados que foram revogados.

Etapa 3: Publicar uma nova CRL

  1. No snap-in do MMC Autoridade de certificação, clique na pastaCertificados revogados .
  2. Clique em All Taskse clique emPublicar.
  3. Na caixa de diálogo Publicar lista de certificados Revogados , clique emNova lista de certificados Revogadose, em seguida, clique em OK.

Etapa 4: Negar solicitações pendentes

Por padrão, uma autoridade de certificação corporativa não armazenar solicitações de certificado. No entanto, um administrador pode alterar esse comportamento padrão. Para negar as solicitações de certificados pendentes, execute essas etapas:
  1. No snap-in do MMC Autoridade de certificação, clique na pasta solicitações se thePending.
  2. No painel direito, clique em uma das solicitações pendentes, e pressione CTRL + A para selecionar todos os certificados pendentes.
  3. Clique com botão direito as solicitações selecionadas, clique em AllTaskse, em seguida, clique em Negar solicitação.

Etapa 5: Desinstalar os serviços de certificados do servidor

  1. Para parar os serviços de certificados, clique em Iniciar, clique em Executar, tipo cmde, em seguida, clique em OK.
  2. No prompt de comando, digite Certutil-desligamento, e então pressione Enter.
  3. No prompt de comando, digiteCertutil-chave, e então pressione Enter. Este comando exibe os nomes de todos os provedores de serviços de criptografia instalado (CSP) e as principais lojas que estão associadas com cada provedor. Listado entre os armazenamentos de chave listados será o nome da autoridade de certificação. O nome será listado várias vezes, conforme mostrado no exemplo a seguir:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Exclua a chave privada que está associada com a autoridade de certificação. Para fazer isso, no prompt de comando, digite o seguinte comando e pressione Enter:
    Certutil - delkey CertificateAuthorityName
    Observação Se o nome da autoridade de certificação contiver espaços, coloque o nome entre aspas.

    Neste exemplo, o nome da autoridade de certificado é "Windows 2000 Enterprise Root CA". Portanto, a linha de comando neste exemplo é o seguinte:
    Certutil - delkey "Windows2000 Enterprise Root CA"
  5. Liste os armazenamentos de chaves novamente para verificar se a chave particular da CA foi excluída.
  6. Depois que você excluir a chave particular para sua autoridade de certificação, desinstale os serviços de certificados. Para fazer isso, execute as seguintes etapas, dependendo da versão do Windows Server em execução.

    Windows Server 2003
    1. Feche o snap-in do MMC Autoridade de certificação se ainda está aberta.
    2. Clique em Iniciar, aponte para Painel de controlee, em seguida, clique em Adicionar ou remover programas.
    3. Clique em Adicionar/remover componentes do Windows.
    4. Na caixa de componentes , clique para desmarcar a caixa de seleção Serviços de certificado , clique em Avançare, em seguida, siga as instruções no Assistente de componentes do Windows para concluir a remoção dos serviços de certificados.
    Windows Server 2008 e versões posteriores

    Se você estiver desinstalando uma autoridade de certificação corporativa, participação em administradores corporativos, ou equivalente, é o mínimo necessário para concluir este procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.

    Para desinstalar uma autoridade de certificação, siga estas etapas:
    1. Clique em Iniciar, aponte para Ferramentas administrativase, em seguida, clique em Gerenciador de servidores.
    2. Em Resumo de funções, clique em Remover funções para iniciar o Assistente para remover funções e, em seguida, clique em Avançar.
    3. Clique para desmarcar a caixa de seleção Serviços de certificado do Active Directory e, em seguida, clique em Avançar.
    4. Na página Confirmar Opções de remoção , revise as informações e, em seguida, clique em Remover.
    5. Se estiver executando o Internet Information Services (IIS) e você será solicitado a interromper o serviço antes de continuar com o processo de desinstalação, clique em OK.
    6. Após o Assistente para remover funções, reinicie o servidor. Isso conclui o processo de desinstalação.
    O procedimento é um pouco diferente se você tiver vários serviços de função de serviços de certificados do Active Directory (AD CS) instalados em um único servidor. Para desinstalar uma autoridade de certificação, mas manter outros serviços de função do AD CS, siga estas etapas.

    ObservaçãoVocê deve fazer logon com as mesmas permissões que o usuário que instalou a autoridade de certificação para concluir este procedimento. Se você estiver desinstalando uma autoridade de certificação corporativa, participação em administradores corporativos, ou equivalente, é o mínimo necessário para concluir este procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.
    1. Clique em Iniciar, aponte para Ferramentas administrativase, em seguida, clique em Gerenciador de servidores.
    2. Em Resumo de funções, clique em Serviços de certificados do Active Directory.
    3. Em Serviços de funções, clique em Remover serviços de função.
    4. Clique para desmarcar a caixa de seleção de Autoridade de certificação e, em seguida, clique em Avançar.
    5. Na página Confirmar Opções de remoção , revise as informações e, em seguida, clique em Remover.
    6. Se o IIS está sendo executado e você será solicitado a interromper o serviço antes de continuar com o processo de desinstalação, clique em OK.
    7. Após o Assistente para remover funções, você deve reiniciar o servidor. Isso conclui o processo de desinstalação.
    Se os serviços de função restantes, como o serviço Respondente Online, foram configurados para usar dados de autoridade de certificação desinstalada, será necessário reconfigurar esses serviços para oferecer suporte a uma autoridade de certificação diferente. Após a desinstalação de uma autoridade de certificação, as seguintes informações são mantidas no servidor:
    • O banco de dados de autoridade de certificação
    • Chaves públicas e particulares da CA
    • Certificados da autoridade de certificação no armazenamento pessoal
    • Certificados da autoridade de certificação na pasta compartilhada, se uma pasta compartilhada tiver sido especificada durante a instalação do AD CS
    • Certificado de raiz da cadeia da autoridade de certificação no armazenamento de autoridades de certificação raiz confiáveis
    • Certificados intermediários da cadeia da autoridade de certificação no armazenamento de autoridades de certificação intermediárias
    • A CRL da CA
    Por padrão, essas informações são mantidas no servidor caso você está desinstalando e reinstalando a autoridade de certificação. Por exemplo, você pode desinstalar e reinstalar a autoridade de certificação se desejar alterar uma autoridade de certificação autônoma em uma autoridade de certificação corporativa.

Etapa 6: Remover objetos de autoridade de certificação do Active Directory

Quando o Microsoft Certificate Services é instalado em um servidor que seja membro de um domínio, vários objetos são criados no recipiente de configuração no Active Directory.

Esses objetos são os seguintes:
  • objeto de Autoridade decertificação
    • Localizado em CN = AIA, CN = Serviços de chave pública, CN = Services, CN = Configuration, DC =ForestRootDomain.
    • Contém o certificado de autoridade de certificação para a autoridade de certificação.
    • Local de acesso de informações da autoridade (AIA) publicado.
  • objeto crlDistributionPoint
    • Localizado em CN =Nome_do_servidorCN = CDP, CN = Serviços de chave público, CN = Services, CN = Configuration, DC =ForestRootDC = com.
    • Contém a lista de certificados Revogados periodicamente publicada pela autoridade de certificação.
    • Local de publicação da CRL Distribution Point (CDP)
  • objeto de autoridade de certificação
    • Localizado em CN = autoridades de certificação, CN = Serviços de chave pública, CN = Services, CN = Configuration, DC =ForestRootDC = com.
    • Contém o certificado de autoridade de certificação para a autoridade de certificação.
  • objeto de pKIEnrollmentService
    • Localizado em CN = Serviços de inscrição, CN = Serviços de chave pública, CN = Services, CN = Configuration, DC =ForestRootDC = com.
    • Criado pela autoridade de certificação corporativa.
    • Contém informações sobre os tipos de certificados de autoridade de certificação tiver sido configurada para o problema. Permissões neste objeto podem controlar qual objetos podem registrar-se com a autoridade de certificação de segurança.
Quando a autoridade de certificação é desinstalada, apenas o objeto pKIEnrollmentService é removido. Isso impede que os clientes tentando registrar-se com a autoridade de certificação encerrada. Os outros objetos são mantidos porque os certificados emitidos pela autoridade de certificação são provavelmente ainda pendentes. Esses certificados devem ser revogados seguindo o procedimento na "etapa 1: revogue todos os certificados ativos que são emitidos pela autoridade de certificação corporativa" seção.

Para computadores de cliente de infra-estrutura de chave pública (PKI) processar esses certificados pendentes com êxito, os computadores devem localizar os caminhos de ponto de distribuição do acesso de informações da autoridade (AIA) e da CRL no Active Directory. É uma boa idéia para revogar todos os certificados pendentes, estender a vida útil da CRL e publicar a CRL no Active Directory. Se os certificados pendentes forem processados por vários clientes PKI, validação falhará e esses certificados não serão usados.

Se não for uma prioridade para manter o ponto de distribuição de CRL e AIA no Active Directory, você poderá remover esses objetos. Não remova esses objetos se desejar processar um ou mais dos certificados digitais anteriormente ativos.

Remover todos os objetos de serviços de certificados do Active Directory

Observação Você não deve remover os modelos de certificado do Active Directory até depois que você remover todos os objetos da autoridade de certificação na floresta do Active Directory.

Para remover todos os objetos de serviços de certificados do Active Directory, execute estas etapas:
  1. Determine o CACommonName da autoridade de certificação. Para fazer isso, execute as seguintes etapas:
    1. Clique em Iniciar, Executar, tipo cmd em Abrir caixa e, em seguida, clique em OK.
    2. Tipo Certutil, e então pressione ENTER.
    3. Anote o valor do nome que pertence à autoridade de certificação. Será necessário o CACommonName para etapas posteriores deste procedimento.
  2. Clique em Iniciar, aponte paraFerramentas administrativase, em seguida, clique em serviços e DirectorySites ativa.
  3. No menu Exibir , clique emMostrar nó de serviços.
  4. Expanda Serviços, expanda KeyServices públicae, em seguida, clique na pasta AIA .
  5. No painel direito, clique com botão direito aAutoridade de certificação objeto para sua autoridade de certificação, clique emExcluire, em seguida, clique em Sim.
  6. No painel esquerdo do snap-in ServicesMMC e Sites do Active Directory, clique no CDP pasta.
  7. No painel direito, localize o objeto recipiente para a pasta em que os serviços de certificados está instalado. Clique com botão direito no recipiente, clique em Excluire, em seguida, clique em Sim duas vezes.
  8. No painel esquerdo do snap-in ServicesMMC e Sites do Active Directory, clique no nó de Autoridades de certificação.
  9. No painel direito, clique com botão direito aAutoridade de certificação objeto para sua autoridade de certificação, clique emExcluire, em seguida, clique em Sim.
  10. No painel esquerdo do snap-in ServicesMMC e Sites do Active Directory, clique no nó Serviços de registro .
  11. No painel direito, verifique se o pKIEnrollmentServiceobject para a autoridade de certificação foi removido quando os serviços de certificados foi desinstalado. Que o objeto não é excluído, clique no objeto, clique emExcluire, em seguida, clique em Sim.
  12. Se você não localizou todos os objetos, alguns objetos podem ficar no Active Directory depois de executar essas etapas. Para limpar após uma autoridade de certificação que talvez tenham deixado objetos no Active Directory, execute as seguintes etapas para determinar se os objetos do AD permanecem:
    1. Digite o seguinte comando na linha de comando e pressione ENTER:
      LDIFDE - r "cn =CACommonName"-d" CN = Serviços de chave pública, CN = Services, CN = Configuration, DC =ForestRootDC = com "-f output.ldf
      Neste comando, CACommonName representa o valor do nome que você determinou na etapa 1. Por exemplo, se o valor do nome é "Contoso CA1", digite o seguinte:
      LDIFDE - r "cn = Contoso CA1" -d "cn = serviços de chave pública, cn = services, cn = configuration, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Abra o arquivo remainingCAobjects.ldf no bloco de notas. Substituir o termo "changetype: adicionar" com "changetype: excluir."Em seguida, verifique se os objetos do Active Directory serão excluídos são legítimos.
    3. Em um prompt de comando, digite o seguinte comando e pressione ENTER para excluir os objetos restantes da CA do Active Directory:
      ldifde -i -f remainingCAobjects.ldf
  13. Exclua os modelos de certificado, se você tiver certeza de que todas as autoridades de certificação foram excluídas. Repita a etapa 12 para determinar se os objetos do AD permanecem.

    Importante Você não deve excluir os modelos de certificado, a menos que as autoridades de certificação tenham sido excluídas. Se os modelos forem excluídos acidentalmente, siga estas etapas:
    1. Certifique-se de arelogged em um servidor que está executando os serviços de certificados como Enterpriseadministrator.
    2. Em um prompt de comando, digite o seguinte comando e pressione ENTER:
      CD%windir%\System32
    3. Digite o seguinte comando e pressione ENTER:
      Regsvr32 /i:i /n /scertcli.dll
      Essa ação cria novamente a modelos de certificado no Active Directory.
    Para excluir os modelos de certificado, siga estas etapas.
    1. No painel esquerdo do snap-in "Sites e serviços do Active Directory" MMC, clique em Templatesfolder o certificado.
    2. No painel direito, clique em um modelo de certificado e thenpress CTRL + A para selecionar todos os modelos. Clique com botão direito modelos selecionados, clique emExcluire, em seguida, clique em Sim.

Etapa 7: Excluir certificados publicados ao objeto NtAuthCertificates

Depois que você excluir os objetos da autoridade de certificação, você precisa excluir os certificados de CA publicados no objeto NtAuthCertificates . Use um dos seguintes comandos para excluir certificados de dentro do repositório NTAuthCertificates:
Certutil - viewdelstore "ldap: ///CN = NtAuthCertificates, CN = chave pública
Serviços,..., DC = ForestRoot, DC = com? cACertificate? base? objectclass =da autoridade de certificação "

Certutil - viewdelstore "ldap: ///CN = NtAuthCertificates, CN = chave pública
Serviços,..., DC = ForestRoot, DC = com? cACertificate? base? objectclass = pKIEnrollmentService "
Observação Você deve ter permissões de administrador corporativo para executar essa tarefa.
A ação viewdelstore - invoca a seleção do certificado da interface do usuário no conjunto de certificados no atributo especificado. Você pode exibir os detalhes do certificado. Você pode cancelar a caixa de diálogo de seleção para não fazer alterações. Se você selecionar um certificado, esse certificado será excluído quando fecha a interface do usuário e o comando é executado totalmente.

Use o comando a seguir para ver o caminho completo do LDAP para o objeto NtAuthCertificates no Active Directory:
armazenamento de certutil-? | findstr "CN = NTAuth"

Etapa 8: Excluir o banco de dados de autoridade de certificação

Quando os serviços de certificação é desinstalado, o banco de dados de autoridade de certificação permanece intacto para que a autoridade de certificação pode ser recriada em outro servidor.

Para remover o banco de dados de autoridade de certificação, exclua a pasta %systemroot%\System32\Certlog.

Etapa 9: Limpar os controladores de domínio

Depois que a autoridade de certificação é desinstalada, os certificados que foram emitidos para controladores de domínio devem ser removidos.

Para remover os certificados que foram emitidos para os controladores de domínio do Windows Server 2000, use o utilitário Dsstore.exe do Microsoft Windows 2000 Resource Kit.

Para remover os certificados que foram emitidos para os controladores de domínio do Windows Server 2000, siga estas etapas:
  1. Clique em Iniciar, Executar, tipo cmd, e então pressione ENTER.
  2. Em um controlador de domínio, digite dsstore - dcmon no prompt de comando e pressione ENTER.
  3. Tipo 3, e então pressione ENTER. Essa ação exclui todos os certificados em todos os controladores de domínio.

    Observação O utilitário Dsstore.exe tentará validar certificados de controlador de domínio que são emitidos para cada controlador de domínio. Certificados que não são validados são removidos do seu respectivo controlador de domínio.
Para remover os certificados que foram emitidos para os controladores de domínio do Windows Server 2003, siga estas etapas.

Importante Não use esse procedimento se você estiver usando certificados baseados em modelos de controlador de domínio 1 versão.
  1. Clique em Iniciar, Executar, tipo cmd, e então pressione ENTER.
  2. No prompt de comando em um controlador de domínio, digite Certutil - dcinfo deleteBad.
Certutil.exe tenta validar todos os certificados de DC são emitidos para os controladores de domínio. Os certificados que não são validados são removidos.

Para forçar a aplicação da diretiva de segurança, execute as seguintes etapas:
  1. Clique em Iniciar, Executar, tipo cmd Na caixa Abrir e pressione ENTER.
  2. Em um prompt de comando, digite o comando apropriado para a versão correspondente do sistema operacional e pressione ENTER:
    • Para o Windows Server 2000: secedit /refreshpolicy machine_policy /enforce
    • Para o Windows Server 2003: gpupdate /force

Propriedades

ID do artigo: 889250 - Última revisão: quinta-feira, 24 de outubro de 2013 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
Palavras-chave: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 889250

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com