Como desativar uma autoridade de certificação corporativa do Windows e remover todos os objetos relacionados

  • Artigo

Este artigo passo a passo descreve como desativar uma AC corporativa do Microsoft Windows e como remover todos os objetos relacionados do serviço de diretório do Active Directory.

Aplica-se a: Windows Server
Número original do KB: 889250

Resumo

Quando você desinstala uma autoridade de certificação (AC), os certificados emitidos pela AC normalmente ainda estão pendentes. Se os certificados pendentes forem processados pelos vários computadores cliente da Infraestrutura de Chave Pública, a validação falhará e esses certificados não serão usados.

Este artigo descreve como revogar certificados pendentes e como concluir várias outras tarefas necessárias para desinstalar com êxito uma AC. Além disso, este artigo descreve vários utilitários que você pode usar para ajudar a remover objetos de AC de seu domínio.

Etapa 1 – Revogar todos os certificados ativos emitidos pela AC da empresa

  1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Autoridade de Certificação.
  2. Expanda sua AC e selecione a pasta Certificados Emitidos.
  3. No painel direito, selecione um dos certificados emitidos e pressione CTRL+A para selecionar todos os certificados emitidos.
  4. Clique com o botão direito do mouse nos certificados selecionados, selecione Todas as Tarefas e selecione Revogar Certificado.
  5. Na caixa de diálogo Revogação de Certificado , selecione Cessar de Operação como o motivo da revogação e selecione OK.

Etapa 2 – Aumentar o intervalo de publicação do CRL

  1. No snap-in do MMC (Certification Authority Microsoft Management Console), clique com o botão direito do mouse na pasta Certificados Revogados e selecione Propriedades.
  2. Na caixa Intervalo de Publicação crl , digite um valor adequadamente longo e selecione OK.

Observação

O tempo de vida da CRL (Lista de Revogação de Certificados) deve ser maior do que o tempo de vida que permanece para certificados que foram revogados.

Etapa 3 – Publicar um novo CRL

  1. No snap-in do MMC da Autoridade de Certificação, clique com o botão direito do mouse na pasta Certificados Revogados.
  2. Selecione Todas as Tarefas e selecione Publicar.
  3. Na caixa de diálogo Publicar CRL , selecione Novo CRL e selecione OK.

Etapa 4 – Negar quaisquer solicitações pendentes

Por padrão, uma AC corporativa não armazena solicitações de certificado. No entanto, um administrador pode alterar esse comportamento padrão. Para negar quaisquer solicitações de certificado pendentes, siga estas etapas:

  1. No snap-in do MMC da Autoridade de Certificação, selecione a pasta Solicitações Pendentes.
  2. No painel direito, selecione uma das solicitações pendentes e pressione CTRL+A para selecionar todos os certificados pendentes.
  3. Clique com o botão direito do mouse nas solicitações selecionadas, selecione Todas as Tarefas e selecione Negar Solicitação.

Etapa 5 – Desinstalar serviços de certificado do servidor

  1. Para interromper os Serviços de Certificado, selecione Iniciar, selecione Executar, digite cmd e selecione OK.

  2. No prompt de comando, digite certutil -shutdown e pressione Enter.

  3. No prompt de comando, digite certutil -getreg CA\CSP\Provider e pressione Enter. Observe o valor provedor na saída. Por exemplo:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:

  Provider REG_SZ = Microsoft Software Key Storage Provider
CertUtil: -getreg command completed successfully.

    Se o valor for Microsoft Strong Cryptographic Provider ou Microsoft Enhanced Cryptographic Provider v1.0, digite CertUtil -Key e pressione Enter.
    Se o valor for Provedor de Armazenamento de Chaves de Software da Microsoft, digite CertUtil -CSP KSP -Key e pressione Enter.
    Se o valor for outra coisa, digite CertUtil -CSP <PROVIDER NAME> -Key e pressione Enter.

    Esse comando exibirá os nomes de todos os provedores de serviços criptográficos instalados (CSP) e os principais repositórios associados a cada provedor. Listado entre os principais repositórios listados será o nome da sua AC. O nome será listado várias vezes, conforme mostrado no exemplo a seguir:

    (1) Microsoft Base Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    Servidor DCOM do MS IIS
    CA raiz do Windows2000 Enterprise
    Ms IIS DCOM ClientAdministrators-1-5-21-436374069-83952215-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Servidor de Informações da Internet da Microsoft
    Netmon
    Ms IIS DCOM ClientAdministrators-1-5-21-842925246-1715567821-83952215-500

    (5) Microsoft Enhanced Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    Servidor DCOM do MS IIS
    CA raiz do Windows2000 Enterprise
    Ms IIS DCOM ClientAdministrators-1-5-21-436374069-83952215-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Servidor de Informações da Internet da Microsoft
    Netmon
    Ms IIS DCOM ClientAdministrators-1-5-21-842925246-1715567821-83952215-500

  4. Exclua a chave privada associada à AC. Para fazer isso, em um prompt de comando, digite o seguinte comando e pressione Enter:

    certutil -delkey CertificateAuthorityName

    Observação

    Se o nome da AC contiver espaços, inclua o nome entre aspas.

    Neste exemplo, o nome da autoridade de certificado é WINDOWS2000 Enterprise Root CA. Portanto, a linha de comando neste exemplo é a seguinte:

    certutil -delkey "Windows2000 Enterprise Root CA"

  5. Liste os principais repositórios novamente para verificar se a chave privada da sua AC foi excluída.

  6. Depois de excluir a chave privada para sua AC, desinstale os Serviços de Certificado. Para fazer isso, siga estas etapas, dependendo da versão do Windows Server que você está executando.

    Se você estiver desinstalando uma AC corporativa, a associação aos administradores corporativos ou o equivalente, será o mínimo necessário para concluir esse procedimento. Para mais informações, confira Implementar Administração Baseada em Funções.

    Para desinstalar uma AC, siga estas etapas:

    1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Gerenciador do Servidor.
    2. Em Resumo de Funções, selecione Remover Funções para iniciar o Assistente de Remover Funções e selecione Avançar.
    3. Selecione para limpar a caixa Serviços de Certificado do Active Directory marcar e selecione Avançar.
    4. Na página Confirmar Opções de Remoção , examine as informações e selecione Remover.
    5. Se o IIS (Serviços de Informações da Internet) estiver em execução e você for solicitado a interromper o serviço antes de continuar com o processo de desinstalação, selecione OK.
    6. Depois que o Assistente de Remover Funções for concluído, reinicie o servidor. Isso conclui o processo de desinstalação.

    O procedimento será ligeiramente diferente se você tiver vários serviços de função do AD CS (Active Directory Certificate Services) instalados em um único servidor. Para desinstalar uma AC, mas manter outros serviços de função do AD CS, siga estas etapas.

    Observação

    Você deve fazer logon com as mesmas permissões que o usuário que instalou a AC para concluir esse procedimento. Se você estiver desinstalando uma AC corporativa, a associação aos administradores corporativos ou o equivalente, será o mínimo necessário para concluir esse procedimento. Para mais informações, confira Implementar Administração Baseada em Funções.

    1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Gerenciador do Servidor.
    2. Em Resumo de Funções, selecione Serviços de Certificado do Active Directory.
    3. Em Serviços de Funções, selecione Remover Serviços de Função.
    4. Selecione para limpar a caixa marcar da Autoridade de Certificação e selecione Avançar.
    5. Na página Confirmar Opções de Remoção , examine as informações e selecione Remover.
    6. Se o IIS estiver em execução e você for solicitado a interromper o serviço antes de continuar com o processo de desinstalação, selecione OK.
    7. Depois que o Assistente de Remover Funções for concluído, você deve reiniciar o servidor. Isso conclui o processo de desinstalação.

    Se os serviços de função restantes, como o serviço Responder Online, estiverem configurados para usar dados da AC desinstalada, você deverá reconfigurar esses serviços para dar suporte a uma AC diferente. Depois que uma AC é desinstalada, as seguintes informações são deixadas no servidor:

    • O banco de dados da AC.
    • As chaves públicas e privadas da AC.
    • Os certificados da AC no repositório Pessoal.
    • Os certificados da AC na pasta compartilhada, se uma pasta compartilhada foi especificada durante a instalação do AD CS.
    • O certificado raiz da cadeia de AC no repositório Autoridades de Certificação Raiz Confiáveis.
    • Os certificados intermediários da cadeia de AC no repositório Autoridades intermediárias de certificação.
    • A CRL da AC.

    Por padrão, essas informações são mantidas no servidor caso você esteja desinstalando e reinstalando a AC. Por exemplo, você pode desinstalar e reinstalar a AC se quiser alterar uma AC autônoma para uma AC corporativa.

Etapa 6 – Remover objetos de AC do Active Directory

Quando o Microsoft Certificate Services é instalado em um servidor que é membro de um domínio, vários objetos são criados no contêiner de configuração no Active Directory.

Esses objetos são os seguintes:

  • objeto certificateAuthority

    • Localizado em CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
    • Contém o certificado de AC para a AC.
    • Local do AIA (Acesso de Informações da Autoridade Publicada).

  • objeto crlDistributionPoint

    • Localizado em CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contém o CRL publicado periodicamente pela AC.
    • Local do CDP (Ponto de Distribuição de CRL) publicado.

  • objeto certificationAuthority

    • Localizado em CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contém o certificado de AC para a AC.

  • objeto pKIEnrollmentService

    • Localizado em CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Criado pela AC da empresa.
    • Contém informações sobre os tipos de certificados que a AC foi configurada para emitir. As permissões neste objeto podem controlar quais entidades de segurança podem se registrar nessa AC.

Quando a AC é desinstalada, somente o objeto pKIEnrollmentService é removido. Isso impede que os clientes tentem se registrar na AC desativada. Os outros objetos são retidos porque os certificados emitidos pela AC provavelmente ainda estão pendentes. Esses certificados devem ser revogados seguindo o procedimento na Etapa 1 – Revogar todos os certificados ativos emitidos pela seção AC da empresa .

Para que os computadores cliente PKI (Infraestrutura de Chave Pública) processem com êxito esses certificados pendentes, os computadores devem localizar os caminhos de ponto de distribuição do AIA (Acesso de Informações da Autoridade) e do CRL no Active Directory. É uma boa ideia revogar todos os certificados pendentes, estender o tempo de vida do CRL e publicar o CRL no Active Directory. Se os certificados pendentes forem processados pelos vários clientes PKI, a validação falhará e esses certificados não serão usados.

Se não for uma prioridade manter o ponto de distribuição crl e o AIA no Active Directory, você poderá remover esses objetos. Não remova esses objetos se você espera processar um ou mais dos certificados digitais anteriormente ativos.

Remover todos os objetos dos Serviços de Certificação do Active Directory

Observação

Você não deve remover modelos de certificado do Active Directory até remover todos os objetos de AC na floresta do Active Directory.

Para remover todos os objetos dos Serviços de Certificação do Active Directory, siga estas etapas:

  1. Determine o CACommonName da AC. Para fazer isso, siga estas etapas:

    1. Selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
    2. Digite certutil e pressione ENTER.
    3. Anote o valor name que pertence à sua AC. Você precisará do CACommonName para etapas posteriores neste procedimento.

  2. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Sites e Serviços do Active Directory.

  3. No menu Exibir , selecione Mostrar Nó de Serviços.

  4. Expanda Serviços, expanda Serviços de Chave Pública e selecione a pasta AIA.

  5. No painel direito, clique com o botão direito do mouse no objeto CertificationAuthority para sua AC, selecione Excluir e selecione Sim.

  6. No painel esquerdo do snap-in MMC de Sites e Serviços do Active Directory, selecione a pasta CDP.

  7. No painel direito, localize o objeto de contêiner para o servidor em que os Serviços de Certificados estão instalados. Clique com o botão direito do mouse no contêiner, selecione Excluir e selecione Sim duas vezes.

  8. No painel esquerdo do snap-in MMC de Sites e Serviços do Active Directory, selecione o nó Autoridades de Certificação .

  9. No painel direito, clique com o botão direito do mouse no objeto CertificationAuthority para sua AC, selecione Excluir e selecione Sim.

  10. No painel esquerdo do snap-in MMC de Sites e Serviços do Active Directory, selecione o nó Serviços de Registro .

  11. No painel direito, verifique se o objeto pKIEnrollmentService para sua AC foi removido quando os Serviços de Certificado foram desinstalados. Se o objeto não for excluído, clique com o botão direito do mouse no objeto, selecione Excluir e selecione Sim.

  12. Se você não localizou todos os objetos, alguns objetos poderão ser deixados no Active Directory depois de executar essas etapas. Para limpo após uma AC que pode ter deixado objetos no Active Directory, siga estas etapas para determinar se algum objeto AD permanece:

    1. Digite o seguinte comando em uma linha de comando e pressione ENTER:

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf

      Neste comando, CACommonName representa o valor Name que você determinou na etapa 1. Por exemplo, se o valor nome for CA1 Contoso, digite o seguinte:

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf

    2. Abra o arquivo restanteCAobjects.ldf no Bloco de Notas. Substitua o termo changetype: add with changetype: delete. Em seguida, verifique se os objetos do Active Directory que você excluirá são legítimos.

    3. Em um prompt de comando, digite o seguinte comando e pressione ENTER para excluir os objetos de AC restantes do Active Directory:

      ldifde -i -f remainingCAobjects.ldf

  13. Exclua os modelos de certificado se você tiver certeza de que todas as autoridades de certificado foram excluídas. Repita a etapa 12 para determinar se algum objeto AD permanece.

    Importante

    Você não deve excluir os modelos de certificado, a menos que todas as autoridades de certificado tenham sido excluídas. Se os modelos forem excluídos acidentalmente, siga estas etapas:

    1. Verifique se você está conectado a um servidor que está executando o Certificate Services como administrador da Empresa.

    2. Em um prompt de comando, digite o comando a seguir e pressione ENTER:

      cd %windir%\system32

    3. Digite o seguinte comando e pressione Enter:

      regsvr32 /i:i /n /s certcli.dll

      Essa ação recria os modelos de certificado no Active Directory.

    Para excluir os modelos de certificado, siga estas etapas.

    1. No painel esquerdo do snap-in MMC de Sites e Serviços do Active Directory , selecione a pasta Modelos de Certificado.
    2. No painel direito, selecione um modelo de certificado e pressione Ctrl+A para selecionar todos os modelos. Clique com o botão direito do mouse nos modelos selecionados, selecione Excluir e selecione Sim.

Etapa 7 – Excluir certificados publicados no objeto NtAuthCertificates

Depois de excluir os objetos de AC, você precisará excluir os certificados de AC que são publicados no NtAuthCertificates objeto. Use um dos seguintes comandos para excluir certificados de dentro do repositório NTAuthCertificates :

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Observação

Você deve ter permissões do Administrador Empresarial para executar essa tarefa.

A -viewdelstore ação invoca a interface do usuário de seleção de certificados no conjunto de certificados no atributo especificado. Você pode exibir os detalhes do certificado. Você pode cancelar a caixa de diálogo de seleção para não fazer alterações. Se você selecionar um certificado, esse certificado será excluído quando a interface do usuário fechar e o comando for totalmente executado.

Use o seguinte comando para ver o caminho LDAP completo para o objeto NtAuthCertificates no Active Directory:

certutil -viewdelstore -? | findstr "CN=NTAuth"

Etapa 8 – Excluir o banco de dados de AC

Quando os Serviços de Certificação são desinstalados, o banco de dados de AC fica intacto para que a AC possa ser recriada em outro servidor.

Para remover o banco de dados de AC, exclua a pasta %systemroot%\System32\Certlog .

Etapa 9 – Limpar controladores de domínio

Depois que a AC for desinstalada, os certificados emitidos para controladores de domínio devem ser removidos.

Para remover certificados emitidos para os controladores de domínio do Windows Server 2000, use o utilitário Dsstore.exe do Microsoft Windows 2000 Resource Kit.

Para remover certificados emitidos para os controladores de domínio do Windows Server 2000, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite cmd e pressione ENTER.

  2. Em um controlador de domínio, digite dsstore -dcmon no prompt de comando e pressione ENTER.

  3. Digite 3 e pressione ENTER. Essa ação exclui todos os certificados em todos os controladores de domínio.

    Observação

    O utilitário Dsstore.exe tentará validar certificados do controlador de domínio emitidos para cada controlador de domínio. Os certificados que não validam são removidos do respectivo controlador de domínio.

Para remover certificados emitidos para os controladores de domínio do Windows Server 2003, siga estas etapas.

Importante

Não use esse procedimento se você estiver usando certificados baseados em modelos de controlador de domínio versão 1.

  1. Selecione Iniciar, selecione Executar, digite cmd e pressione ENTER.

  2. No prompt de comando em um controlador de domínio, digite certutil -dcinfo deleteBad.

    Certutil.exe tenta validar todos os certificados DC emitidos para os controladores de domínio. Os certificados que não validam são removidos.

Para forçar a aplicação da política de segurança, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e pressione ENTER.
  2. Em um prompt de comando, digite o comando apropriado para a versão correspondente do sistema operacional e pressione ENTER:

    • Para Windows Server 2000:

      secedit /refreshpolicy machine_policy /enforce

    • Para Windows Server 2003:

      gpupdate /force