Como encerrar uma autoridade de certificação empresarial do Windows e remover todas as respectivas objectos

Traduções de Artigos Traduções de Artigos
Artigo: 889250 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Quando desinstalar uma autoridade de certificação (AC), os certificados foram emitidos pela AC são normalmente ainda pendentes. Se os certificados pendentes são processados pelos vários computadores cliente Public Key Infrastructure, validação falhará e os certificados não serão utilizados.

Este artigo descreve como revogar certificados pendentes e como concluir várias tarefas que são necessárias para desinstalar com êxito uma AC. Além disso, este artigo descreve vários utilitários que pode utilizar para ajudar a remover objectos da AC do seu domínio.

INTRODUÇÃO

Este artigo passo a passo descreve como desactivar uma AC de empresa do Microsoft Windows e como remover todos os objectos relacionados do serviço de directório do Active Directory.

Passo 1: Revogar certificados de activos todos os que são emitidos pela AC empresarial

  1. Clique em Iniciar, aponte paraFerramentas administrativase, em seguida, clique em CertificationAuthority.
  2. Expanda a AC e, em seguida, clique na pasta de IssuedCertificates .
  3. No painel da direita, clique dos certificados emitidos e, em seguida, prima CTRL + T para seleccionar todos os emitidos certificados.
  4. Os certificados seleccionados com o botão direito, clique em AllTasks e, em seguida, clique em Revogar certificado.
  5. Na caixa de diálogo de Revogação de certificados , clique para seleccionar Cessar de funcionamento como o forrevocation de razão e, em seguida, clique em OK.

Passo 2: Aumentar o intervalo de publicação CRL

  1. No snap-in Autoridade de certificação Microsoft Console(MMC) de gestão, clique na pasta de Certificados revogados e, em seguida, clique em Propriedades.
  2. Na caixa Intervalo de publicação de CRL , typea valor de comprimento convenientemente e, em seguida, clique em OK.
Nota A duração da lista de revogação de certificados (CRL) deve ser maior do que a duração restante para os certificados que foram revogados.

Passo 3: Publicar uma nova CRL

  1. No snap-in MMC da autoridade de certificação, clique na pasta deCertificados revogados .
  2. Clique em Todas as tarefase, em seguida, clique emPublicar.
  3. Na caixa de diálogo Publicar CRL , clique emNova CRLe, em seguida, clique em OK.

Passo 4: Negar quaisquer pedidos pendentes

Por predefinição, uma AC empresarial não armazena pedidos de certificados. No entanto, um administrador pode alterar este comportamento predefinido. Para negar quaisquer pedidos de certificados pendentes, siga estes passos:
  1. No snap-in MMC da autoridade de certificação, clique em pasta de pedidos de thePending.
  2. No painel da direita, clique dos pedidos pendentes, andthen prima CTRL + T para seleccionar todos os certificados pendentes.
  3. Os pedidos seleccionados com o botão direito, clique em AllTaskse, em seguida, clique em Negar o pedido.

Passo 5: Desinstalar os serviços de certificados do servidor

  1. Para parar serviços de certificados, clique em Iniciar, clique em Executar, tipo cmde, em seguida, clique em OK.
  2. Na linha de comandos, escreva certutil-encerramento, e, em seguida, prima Enter.
  3. Na linha de comandos, escrevacertutil-chave, e, em seguida, prima Enter. Este comando apresentará os nomes de todos os fornecedores de serviços criptográficos instalados (CSP) e os arquivos de chaves que estão associados a cada fornecedor. Listados entre os arquivos de chaves listados será o nome da AC. Será listado o nome várias vezes, conforme ilustrado no exemplo seguinte:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Elimine a chave privada que está associada à AC. Para tal, na linha de comandos, escreva o seguinte comando e, em seguida, prima Enter:
    certutil - delkey CertificateAuthorityName
    Nota Se o nome da AC contiver espaços, coloque o nome entre aspas.

    Neste exemplo, o nome da autoridade de certificado é "Windows2000 empresa AC de raiz." Por conseguinte, a linha de comandos neste exemplo é o seguinte:
    certutil - delkey "Windows2000 AC de raiz empresarial"
  5. Lista os arquivos de chaves novamente para verificar que a chave privada da AC foi eliminada.
  6. Depois de eliminar a chave privada da AC, desinstale os serviços de certificados. Para tal, siga estes passos, dependendo da versão do Windows Server que está a executar.

    Windows Server 2003
    1. Se estiver ainda aberto, feche o snap-in MMC da autoridade de certificação.
    2. Clique em Iniciar, aponte para Painel de controloe, em seguida, clique em Adicionar ou remover programas.
    3. Clique em Adicionar/remover componentes do Windows.
    4. Na caixa de componentes , clique para desmarcar a caixa de verificação de Serviços de certificados , clique em seguintee, em seguida, siga as instruções no Assistente de componentes do Windows para concluir a remoção dos serviços de certificados.
    Windows Server 2008 e versões posteriores

    Se vai desinstalar uma AC empresarial, o membro do grupo Admins da empresa, ou equivalente, é o mínimo necessário para concluir este procedimento. Para mais informações, consulte Implementar Administração baseada em funções.

    Para desinstalar uma AC, siga estes passos:
    1. Clique em Iniciar, aponte para Ferramentas administrativase, em seguida, clique em Gestor de servidor.
    2. Em Resumo das funções, clique em Remover funções para iniciar o Assistente para remover funções e, em seguida, clique em seguinte.
    3. Clique para desmarcar a caixa de verificação de Serviços de certificados do Active Directory e, em seguida, clique em seguinte.
    4. Na página Confirmar Opções de remoção , reveja as informações e, em seguida, clique em Remover.
    5. Se tiver o Internet Information Services (IIS) e lhe for pedido para parar o serviço antes de continuar o processo de desinstalação, clique em OK.
    6. Depois de concluído o Assistente para remover funções, reinicie o servidor. Isto conclui o processo de desinstalação.
    O procedimento é ligeiramente diferente se tiver vários serviços de função Serviços de certificados do Active Directory (AD CS) instalados num único servidor. Para desinstalar uma AC, mas manter outros serviços de função AD CS, siga estes passos.

    NotaTem de iniciar sessão com as mesmas permissões que o utilizador que instalou a AC para concluir este procedimento. Se vai desinstalar uma AC empresarial, o membro do grupo Admins da empresa, ou equivalente, é o mínimo necessário para concluir este procedimento. Para mais informações, consulte Implementar Administração baseada em funções.
    1. Clique em Iniciar, aponte para Ferramentas administrativase, em seguida, clique em Gestor de servidor.
    2. Em Resumo das funções, clique em Serviços de certificados do Active Directory.
    3. Em Serviços de funções, clique em Remover serviços de função.
    4. Clique para desmarcar a caixa de verificação de Autoridade de certificação e, em seguida, clique em seguinte.
    5. Na página Confirmar Opções de remoção , reveja as informações e, em seguida, clique em Remover.
    6. Se o IIS está instalado e se lhe for pedido para parar o serviço antes de continuar o processo de desinstalação, clique em OK.
    7. Depois de concluído o Assistente para remover funções, tem de reiniciar o servidor. Isto conclui o processo de desinstalação.
    Se os restantes serviços de função, como o serviço dispositivo de Resposta Online, foram configurados para utilizar dados da AC desinstalada, tem de reconfigurar esses serviços para suportar uma AC diferente. Depois de uma AC é desinstalada, as seguintes informações são deixadas no servidor:
    • A base de dados de AC
    • As chaves públicas e privadas da AC
    • Os certificados da AC no arquivo pessoal
    • Os certificados da AC na pasta partilhada, se uma pasta partilhada tiver sido especificada durante a configuração do AD CS
    • Certificado de raiz da cadeia de AC no arquivo de autoridades de certificação de raiz fidedigna
    • Certificados intermédios da cadeia da AC no arquivo de autoridades de certificação intermediárias
    • A CRL da AC
    Por predefinição, estas informações são mantidas no servidor, caso esteja a desinstalar e reinstalar a AC. Por exemplo, poderá desinstalar e reinstalar a AC se pretender alterar uma AC autónoma para uma AC empresarial.

Passo 6: Remover objectos da AC do Active Directory

Quando o Microsoft Certificate Services é instalado num servidor que seja membro de um domínio, os vários objectos são criados no contentor de configuração no Active Directory.

Estes objectos são os seguintes:
  • objecto certificateAuthority
    • Localizado em CN = AIA, CN = Serviços de chaves pública, CN = Services, CN = Configuration, DC =ForestRootDomain.
    • Contém o certificado da AC para a AC.
    • Localização de acesso de informações de autoridade (AIA) publicada.
  • objecto crlDistributionPoint
    • Localizado em CN =Nome do servidorCN = CDP, CN = serviço de chave público, CN = Services, CN = Configuration, DC =ForestRootDC = com.
    • Contém a CRL periodicamente publicada pela AC.
    • Localização publicada do ponto de distribuição de CRL (CDP)
  • objecto certificationAuthority
    • Localizado em CN = autoridades de certificação, CN = Serviços de chaves pública, CN = Services, CN = Configuration, DC =ForestRootDC = com.
    • Contém o certificado da AC para a AC.
  • objecto pKIEnrollmentService
    • Localizado em CN = Serviços de inscrição, CN = Serviços de chaves pública, CN = Services, CN = Configuration, DC =ForestRootDC = com.
    • Criado pela AC empresarial.
    • Contém informações sobre os tipos de certificados da AC tiver sido configurada para o problema. As permissões deste objecto podem controlar qual segurança principais podem inscrever-se contra esta AC.
Quando a AC é desinstalada, apenas o objecto pKIEnrollmentService é removido. Isto impede que os clientes a tentar inscrever-se a AC desactivada. Os outros objectos são mantidos porque os certificados emitidos pela AC provavelmente ainda estiverem pendentes. Estes certificados devem ser revogados, seguindo o procedimento previsto no "passo 1: revogar certificados de activos todos os que são emitidos pela AC empresarial" secção.

Para computadores de cliente de infra-estrutura de chaves públicas (PKI) processar com êxito estes certificados pendentes, os computadores tem de localizar os caminhos de ponto de distribuição de acesso de informações de autoridade (AIA) e CRL no Active Directory. É conveniente revogar todos os certificados pendentes, aumentar a duração da CRL e publicar a CRL no Active Directory. Se os certificados pendentes são processados pelos clientes PKI diferentes, validação falhará e os certificados não serão utilizados.

Se não for uma prioridade para manter o ponto de distribuição de CRL e AIA existentes no Active Directory, pode remover estes objectos. Não remova estes objectos se espera processar um ou mais dos certificados digitais anteriormente activos.

Remover todos os objectos de serviços de certificação do Active Directory

Nota Não deve remover modelos de certificados do Active Directory até depois de remover todos os objectos da AC na floresta do Active Directory.

Para remover todos os objectos de serviços de certificação a partir do Active Directory, siga estes passos:
  1. Determine a CACommonName da AC. Para tal, siga estes passos:
    1. Clique em Iniciar, clique em Executar, tipo cmdAbrir na caixa e, em seguida, clique em OK.
    2. Tipo certutil, e, em seguida, prima ENTER.
    3. Tome nota do nome de valor que pertence a AC. Terá a CACommonName para posteriores passos deste procedimento.
  2. Clique em Iniciar, aponte paraFerramentas administrativase, em seguida, clique em Serviços e Active DirectorySites.
  3. No menu Ver , clique emMostrar nó de serviços.
  4. Expanda a Serviços, expanda KeyServices públicase, em seguida, clique na pasta AIA .
  5. No painel da direita, faça duplo clique noCertificationAuthority objecto da AC, clique emEliminare, em seguida, clique em Sim.
  6. No painel esquerdo do snap-in locais do Active Directory e ServicesMMC, faça clique sobre o CDP pasta.
  7. No painel da direita, localize o objecto contentor para theserver em que os serviços de certificados está instalado. Botão direito do rato no contentor, clique em Eliminare, em seguida, clique em Sim duas vezes.
  8. No painel esquerdo do ServicesMMC snap-in e locais do Active Directory, clique no nó de Autoridades de certificação.
  9. No painel da direita, faça duplo clique noCertificationAuthority objecto da AC, clique emEliminare, em seguida, clique em Sim.
  10. No painel esquerdo do ServicesMMC snap-in e locais do Active Directory, clique no nó de Serviços de inscrição .
  11. No painel da direita, certifique-se de que o pKIEnrollmentServiceobject da AC foi removida quando os serviços de certificados foi desinstalado. Não é possível eliminar o objecto de Ifthe, com o botão direito do objecto, clique emEliminare, em seguida, clique em Sim.
  12. Se não localizou todos os objectos, alguns objectos podem ser deixados no Active Directory depois de efectuar estes passos. Para limpar depois de uma AC que poderão ter deixado a objectos no Active Directory, siga estes passos para determinar se permanecem quaisquer objectos de AD:
    1. Escreva o seguinte comando na linha de comandos e, em seguida, prima ENTER:
      ldifde - r "cn =CACommonName"-d" CN = Serviços de chaves pública, CN = Services, CN = Configuration, DC =ForestRootDC = com "-f output.ldf
      Neste comando, CACommonName representa o valor de nome que identificou no passo 1. Por exemplo, se o valor de nome for "CA1 Contoso", escreva o seguinte:
      ldifde - r "cn = CA1 Contoso" -d "cn = serviços de chaves pública, cn = services, cn = configuration, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Abra o ficheiro de remainingCAobjects.ldf no bloco de notas. Substituir o termo "changetype: adicionar" com "changetype: eliminar."Em seguida, verifique se os objectos do Active Directory irá eliminar são legítimos.
    3. Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER para eliminar os restantes objectos da AC do Active Directory:
      ldifde -i -f remainingCAobjects.ldf
  13. Se tiver a certeza de que todas as autoridades de certificação tem sido eliminadas, elimine os modelos de certificado. Repita o passo 12 para determinar se a quaisquer objectos de AD permanecem.

    Importante Não tem de eliminar os modelos de certificado, a menos que todas as autoridades de certificado tem sido eliminadas. Se os modelos forem eliminados acidentalmente, siga estes passos:
    1. Certifique-se arelogged sobre a um servidor que esteja a executar serviços de certificados como Enterpriseadministrator.
    2. Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
      CD%windir%\System32
    3. Escreva o seguinte comando e, em seguida, prima ENTER:
      regsvr32 /i:i /n /scertcli.dll
      Esta acção cria novamente a modelos de certificado no Active Directory.
    Para eliminar os modelos de certificado, siga estes passos.
    1. No painel esquerdo do snap-in "Sites e serviços do Active Directory" MMC, clique em Templatesfolder o certificado.
    2. No painel da direita, clique num modelo de certificado e thenpress CTRL + T para seleccionar todos os modelos. Com o botão direito dos modelos seleccionados, clique emEliminare, em seguida, clique em Sim.

Passo 7: Eliminar certificados publicados para o objecto NtAuthCertificates

Depois de eliminar os objectos da AC, tem de eliminar os certificados de AC que são publicados no objecto NtAuthCertificates . Utilize um dos seguintes comandos para eliminar certificados a partir de arquivo de NTAuthCertificates:
certutil - viewdelstore "ldap: ///CN = NtAuthCertificates, CN = chave pública
Serviços de,..., DC = ForestRoot, DC = com? cACertificate? base? objectclass = certificationAuthority"

certutil - viewdelstore "ldap: ///CN = NtAuthCertificates, CN = chave pública
Serviços de,..., DC = ForestRoot, DC = com? cACertificate? base? objectclass = pKIEnrollmentService "
Nota Tem de ter permissões de administrador de empresa para efectuar esta tarefa.
A acção - viewdelstore invoca a IU de selecção de certificado no conjunto de certificados no attibute especificado. Pode ver os detalhes do certificado. Pode cancelar fora da caixa de diálogo de selecção para não efectuar alterações. Se seleccionar um certificado, esse certificado é eliminado quando fecha a interface de utilizador e o comando é executado totalmente.

Utilize o seguinte comando para ver o caminho completo do LDAP para o objecto NtAuthCertificates no Active Directory:
certutil store-? | findstr "CN = NTAuth"

Passo 8: Eliminar a base de dados de AC

Quando os serviços de certificação é desinstalado, a base de dados de AC permanece intacta para que a AC pode ser recriada noutro servidor.

Para remover a base de dados de AC, elimine a pasta %systemroot%\System32\Certlog.

Passo 9: Limpar controladores de domínio

Depois da AC é desinstalada, os certificados que foram emitidos para controladores de domínio têm de ser removidos.

Para remover certificados que foram emitidos para os controladores de domínio do Windows Server 2000, utilize o utilitário de Dsstore.exe do Microsoft Windows 2000 Resource Kit.

Para remover certificados que tenham sido emitidos para os controladores de domínio do Windows Server 2000, siga estes passos:
  1. Clique em Iniciar, clique em Executar, tipo cmd, e, em seguida, prima ENTER.
  2. Num controlador de domínio, escreva dsstore - dcmon na linha de comandos e prima ENTER.
  3. Tipo 3, e, em seguida, prima ENTER. Esta acção elimina todos os certificados em todos os controladores de domínio.

    Nota O utilitário Dsstore.exe tentará validar certificados de controlador de domínio que são emitidos para cada controlador de domínio. Certificados que não validam são removidos do respectivo controlador de domínio respectivo.
Para remover certificados que foram emitidos para os controladores de domínio do Windows Server 2003, siga estes passos.

Importante Não utilize este procedimento se estiver a utilizar certificados baseados nos modelos de controlador de domínio 1 versão.
  1. Clique em Iniciar, clique em Executar, tipo cmd, e, em seguida, prima ENTER.
  2. Na linha de comandos num controlador de domínio, escreva certutil - dcinfo deleteBad.
Certutil.exe tenta validar todos os certificados de DC que são emitidos para os controladores de domínio. Certificados que não validam são removidos.

Para forçar a aplicação da política de segurança, siga estes passos:
  1. Clique em Iniciar, clique em Executar, tipo cmd na caixa Abrir e, em seguida, prima ENTER.
  2. Na linha de comandos, escreva o comando adequado para a versão correspondente do sistema operativo e, em seguida, prima ENTER:
    • Para o Windows Server 2000: secedit /refreshpolicy machine_policy /enforce
    • Para Windows Server 2003: gpupdate /force

Propriedades

Artigo: 889250 - Última revisão: 24 de outubro de 2013 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
Palavras-chave: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 889250

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com