Cum de a dezafecta o autoritate de certificare de intreprinderi Windows și a elimina toate legate de obiecte

Traduceri articole Traduceri articole
ID articol: 889250 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

Rezumat

Atunci când tu uninstall o autoritate de certificare (CA), certificatele care au fost emise de CA sunt de obicei încă neonorate. Dacă certificatele restante sunt prelucrate de calculatoare diferite client Public cheie de infrastructura, validarea nu va reuși, și aceste certificate nu vor fi utilizate.

Acest articol descrie cum se revoca certificatele restante și modul de a completa diferite alte sarcini care sunt obligate să cu succes dezinstala un CA. în plus, acest articol descrie mai multe utilitate care le puteți utiliza pentru a vă ajuta să eliminați CA obiecte de pe domeniu.

INTRODUCERE

Acest articol etapizat descrie cum să dezactivați un Microsoft Windows enterprise CA și cum de a elimina toate obiectele legate de la serviciul director Active Directory.

Pasul 1: Revocarea tuturor certificatelor active, care sunt emise de întreprindere CA

  1. Faceți clic pe Start, indica?i spreInstrumente de administrare, și apoi faceți clic pe CertificationAuthority.
  2. Extinde CA dumneavoastră, și apoi faceți clic pe folderul IssuedCertificates .
  3. În panoul din dreapta, faceți clic pe unul din certificatele eliberate, și apoi apăsați CTRL + A pentru a selecta toate eliberate certificatele.
  4. Certificatele selectate, faceți clic pe AllTasks, și apoi atunci pocnitură Revocarea certificatului.
  5. În casetă de dialog Revocarea certificatului , faceți clic pentru a selecta Să înceteze de funcționare ca forrevocation motiv, și apoi faceți clic pe OK.

Pasul 2: Măriți intervalul de publicare LCR

  1. În autoritate de certificare Microsoft Management Console(MMC) snap-in, faceți clic dreapta pe folderul Certificate revocate , și apoi faceți clic pe Proprietăți.
  2. În caseta de Interval de publicare LCR , facturare corespunzător marcă de timp valoare și apoi faceți clic pe OK.
Notă Durata de viață a Listă tabel de revocare certificat (LCR) ar trebui să fie mai lungă decât durata de viață care rămâne pentru certificate care au fost revocate.

Pasul 3: Publica un nou LCR

  1. În certificarea autoritatea de completare snap-in MMC, faceți clic dreapta pe folderulCertificate revocate .
  2. Faceți clic pe Toate sarcinile, și apoi faceți clic pepublicare.
  3. În casetă de dialog Publicare LCR , faceți clic peNou LCR, și apoi faceți clic pe OK.

Pasul 4: Neagă orice în așteptarea cereri

implicit, o întreprindere CA nu păstrează cererile de certificat. Cu toate acestea, un administrator poate modifica acest comportament implicit. Pentru a nega orice cereri de certificat în așteptare, urmați acești pași:
  1. În certificarea autoritatea de completare snap-in MMC, faceți clic pe folderul de solicitări thePending.
  2. În panoul din dreapta, faceți clic pe una dintre cererile în curs, andthen apăsați CTRL + A pentru a selecta toate certificatele în așteptare.
  3. Cererile selectate, faceți clic pe AllTasks, și apoi atunci pocnitură Refuza cererea.

Pasul 5: Uninstall certificat de consolidare servicii de la server

  1. Pentru a opri certificat consolidare servicii, faceți clic pe Start, faceți clic pe Run, tip cmd, apoi faceți clic pe OK.
  2. La linia Către de comandă, tastați certutil-shutdown, apoi apăsați Enter.
  3. La linia Către de comandă, tastațicertutil-cheie, apoi apăsați Enter. Această comandă va afișa nume de sign-in toți furnizorii de instalat consolidare servicii criptografice (CSP) și cheie de magazine, care sunt asociate cu fiecare furnizor. Listat printre magazinele listate cheie va fi nume de sign-in tău CA. nume de sign-in va fi listat de mai multe ori, așa cum se arată în exemplul următor:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Ștergeți cheia privată asociată cu CA. Pentru aceasta, în linia Către de comandă, tastați următoarea comandă, și apoi apăsați Enter:
    certutil - delkey CertificateAuthorityName
    Notă Dacă nume de sign-in dumneavoastră CA conține spații, includeți nume de sign-in în quotationmarks.

    În acest exemplu, nume de sign-in de autoritate certificat este "Windows2000 Intreprindere Root CA." Prin urmare, linia Către de comandă în acest exemplu este după cum urmează:
    certutil - delkey "Windows2000 Intreprindere Root CA"
  5. Listă tabel de magazine cheie din nou pentru a verifica că a fost șters cheia privată pentru CA dvs.
  6. După ce ștergeți cheia privată pentru CA dumneavoastră, dezinstalați serviciile de certificat. Pentru aceasta, urmați acești pași, în funcție de versiunea de Windows Server care se execută.

    Windows Server 2003
    1. Aproape de completare snap-in MMC de autoritate de certificare dacă este încă deschis.
    2. Faceți clic pe Start, indicați spre Panou de controlși apoi faceți clic pe Adăugare sau eliminare programe.
    3. Faceți clic pe Adăugare/eliminare componente Windows.
    4. În caseta de componente , face?i clic pentru a goliți casetă de selectare Certificat de consolidare servicii , faceți clic pe Nextși apoi urmați instrucțiunile din Expertul de componente Windows pentru a termina eliminarea certificatului serviciilor.
    Windows Server 2008 și versiunile ulterioare

    Dacă sunt dezinstalarea o întreprindere CA, membru în întreprindere administratori, sau echivalent, este nivelul minim care este necesar pentru a finaliza această procedură. Pentru informații suplimentare, consultați Punerea în aplicare bazate pe rolul administrației.

    Pentru a dezinstala un CA, urmați acești pași:
    1. Faceți clic pe Start, indica?i spre Instrumente de administrare, și apoi faceți clic pe Server Manager.
    2. Sub Roluri Rezumat, faceți clic pe Eliminați roluri pentru a porni Expertul de roluri de eliminare, și apoi faceți clic pe Următorul.
    3. Faceți clic pentru a debifa casetă de selectare consolidare servicii Active Directory pentru certificate , și apoi faceți clic pe Următorul.
    4. Confirma îndepărtarea opțiuni în pagina, revedeți informațiile și apoi faceți clic pe Eliminare.
    5. Dacă se execută Internet Information Services (IIS) și vi se cere să opriți serviciul înainte de a continua cu procesul de dezinstalare, faceți clic pe OK.
    6. După ce eliminați roluri expertul este terminat, reporniți server. Acest lucru se încheie procesul de dezinstalare.
    Procedura este puțin diferit, dacă aveți mai multe consolidare servicii de rolul serviciilor de certificat Active Directory (AD CS) instalat pe un singur server. Pentru a dezinstala un CA, dar menține alte consolidare servicii de rolul AD CS, urmați acești pași.

    NotăTrebuie să faceți conecta cu acelea?i permisiuni ca utilizatorului care a instalat CA pentru a finaliza această procedură. Dacă sunt dezinstalarea o întreprindere CA, membru în întreprindere administratori, sau echivalent, este nivelul minim care este necesar pentru a finaliza această procedură. Pentru informații suplimentare, consultați Punerea în aplicare bazate pe rolul administrației.
    1. Faceți clic pe Start, indica?i spre Instrumente de administrare, și apoi faceți clic pe Server Manager.
    2. În Rolurile Rezumat, faceți clic pe consolidare servicii Active Directory pentru certificate.
    3. consolidare servicii de roluri, faceți clic pe Eliminați rolul serviciilor.
    4. Faceți clic pentru a debifa casetă de selectare De certificare , și apoi faceți clic pe Următorul.
    5. Confirma îndepărtarea opțiuni în pagina, revedeți informațiile și apoi faceți clic pe Eliminare.
    6. În cazul în care se execută IIS și vi se cere să opriți serviciul înainte de a continua cu procesul de dezinstalare, faceți clic pe OK.
    7. După ce eliminați roluri expertul este terminat, trebuie să reporniți serverul. Acest lucru se încheie procesul de dezinstalare.
    Dacă restul rolul serviciile, serviciul Online de răspuns, au fost configurate să folosească datele de dezinstalat CA, trebuie să reconfigureze aceste consolidare servicii pentru a sprijini un CA diferite. Dupa ce este dezinstalat un CA, următoarele informații este lăsat pe server:
    • Baza acoperire de date CA
    • CA cheile publice și private
    • CA certificatele în magazinul de Personal
    • CA certificatele în folderul partajat, dacă un folder partajat a fost specificat în timpul setup AD CS
    • Lanț CA certificat rădăcină în magazinul de autorită?i de certificare rădăcină de încredere
    • Lanț CA intermediare certificate în magazinul de autorită?i intermediare de certificare
    • CA LCR
    implicit, această informație este păstrat pe serverul în cazul în care sunteți dezinstalarea și reinstalarea apoi CA. De exemplu, ai s-ar putea să dezinstalați și să reinstalați CA în cazul în care doriți să modificați un stand-alone CA la o întreprindere CA.

Pasul 6: Elimina CA obiectele din Active Directory

Atunci când Microsoft certificat serviciilor este instalat pe un server care este membru al unui domeniu, mai multe obiecte sunt create în recipientul de configurare în Active Directory.

Aceste obiecte sunt după cum urmează:
  • certificateAuthority obiect
    • Situat în NC = AIA, NC = consolidare servicii cheie publică, NC = consolidare servicii, NC = configurare, DC =ForestRootDomain.
    • Conține certificatul CA pentru CA.
    • Loca?ia publicată autorită?ii informații acces (AIA).
  • crlDistributionPoint obiect
    • Situat în NC =ServerNameCN = CDP, NC = Serviciul Public cheie, NC = consolidare servicii, NC = configurare, DC =ForestRootDC = com.
    • Conține LCR periodic publicat de CA.
    • Loca?ia publicată de punctul de distribuție LCR (PDC)
  • certificationAuthority obiect
    • Situat în NC = autorită?i de certificare, NC = consolidare servicii cheie publică, NC = consolidare servicii, NC = configurare, DC =ForestRootDC = com.
    • Conține certificatul CA pentru CA.
  • pKIEnrollmentService obiect
    • Situat în NC = consolidare servicii de înscriere, NC = consolidare servicii cheie publică, NC = consolidare servicii, NC = configurare, DC =ForestRootDC = com.
    • Create de întreprinderea de CA.
    • Contine informatii despre tipurile de certificate a fost configurat CA problema. Permisiunile pentru acest obiect pot controla care directori pot înscrie împotriva este CA de securitate.
Când CA este dezinstalat, numai obiectul pKIEnrollmentService este eliminat. Acest lucru previne clienti la încercarea de a inscrie împotriva CA dezafectate. Alte obiecte se rețin deoarece certificatele sunt emise de CA sunt, probabil, încă neonorate. Aceste certificate trebuie să fie revocat urmând procedura în "Pasul 1: revocarea tuturor certificatelor active, care sunt emise de întreprindere CA" secțiune.

Pentru computerele client infrastructurii de cheie publică (PKI) pentru a procesa cu succes aceste certificate restante, computere trebuie să localizați distribuție punct căi autoritatea informații acces (AIA) și LCR în Active Directory. Este o idee bună să revoce toate certificatele restante, extinde durata de viață a LCR și publică LCR în Active Directory. Dacă certificatele restante sunt prelucrate de clienti diverse PKI, validarea nu va reuși, și aceste certificate nu vor fi utilizate.

În cazul în care nu este o prioritate pentru a menține punctul de distribuție LCR și AIA din Active Directory, puteți elimina aceste obiecte. Elimina aceste obiecte, dacă vă așteptați să proceseze unuia sau mai multor certificate digitale anterior activ.

Îndepărtați toate obiectele de consolidare servicii de certificare din Active Directory

Notă Nu ar trebui să elimine certificat template-uri din Active Directory până după ce eliminați toate CA obiecte în pădurea Active Directory.

Pentru a elimina toate obiectele de consolidare servicii de certificare din Active Directory, urmați acești pași:
  1. Determina CACommonName de CA. Pentru aceasta, urmați acești pași:
    1. Faceți clic pe Start, faceți clic pe Run, tip cmd în Deschidere cutie, și apoi faceți clic pe OK.
    2. Tip certutil, apoi apăsați ENTER.
    3. Asigurați-o notă din valoarea de nume care aparține CA dvs. Trebuie CACommonName pentru pași mai târziu în această procedură.
  2. Faceți clic pe Start, indica?i spreInstrumente de administrare, și apoi faceți clic pe Active DirectorySites și consolidare servicii.
  3. În meniul vizualizare Proiect , faceți clic peNodul de consolidare servicii Arată.
  4. Extinde serviciile, extinde Publice KeyServices, și apoi faceți clic pe folderul AIA .
  5. În panoul din dreapta, faceți clic dreapta peCertificationAuthority obiect pentru CA dumneavoastră, faceți clic peștergețiși apoi faceți clic pe Da.
  6. În panou din partea stângă de la site-uri Active și ServicesMMC snap-in, faceți clic pe CDP dosar.
  7. În panoul din dreapta, localizați obiectul container pentru theserver în cazul în care certificatul serviciilor este instalat. Container, faceți clic pe Ștergere, și apoi atunci pocnitură Da de două ori.
  8. În panou din partea stângă de site-uri Active și ServicesMMC de completare snap-in, faceți clic pe nodul de Autorită?i de certificare.
  9. În panoul din dreapta, faceți clic dreapta peCertificationAuthority obiect pentru CA dumneavoastră, faceți clic peștergețiși apoi faceți clic pe Da.
  10. În panou din partea stângă de site-uri Active și ServicesMMC de completare snap-in, faceți clic pe nodul de consolidare servicii de înscriere .
  11. În panoul din dreapta, verificați că pKIEnrollmentServiceobject pentru dumneavoastră CA a fost eliminat atunci când certificatul de consolidare servicii a fost dezinstalat. Carmen obiect nu este șters, faceți clic dreapta pe obiectul, faceți clic peștergețiși apoi faceți clic pe Da.
  12. Dacă nu făcut-găsi?i toate obiectele, unele obiecte pot fi lăsat în Active Directory după ce efectuați acești pași. Pentru a curăța după un CA care poate au lăsat obiecte în Active Directory, urmați acești pași pentru a determina dacă orice obiecte AD rămâne:
    1. Tastați următoarea comandă la o linia Către de comandă, și apoi apăsați ENTER:
      LDIFDE - r "NC =CACommonName"-d" NC = consolidare servicii cheie publică, NC = consolidare servicii, NC = configurare, DC =ForestRootDC = com "-f output.ldf
      În această comandă, CACommonName reprezintă valoarea de nume care ați determinat în pasul 1. De exemplu, dacă nume de sign-in este "CA1 Contoso", tastați următoarele:
      LDIFDE - r "NC = CA1 Contoso" -d "NC = consolidare servicii cheie publică, NC = consolidare servicii, NC = configurare, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Deschideți fișierul remainingCAobjects.ldf în Notepad. Înlocui termenul "changetype: Adauga" cu "changetype: șterge."Apoi, verifica dacă obiectelor Active Directory care va șterge sunt legitime.
    3. La linia Către de comandă, tastați următoarea comandă, și apoi apăsați ENTER pentru a șterge rămase CA obiectele din Active Directory:
      LDIFDE -i remainingCAobjects.ldf -f
  13. Ștergeți șabloane certificat dacă sunteți sigur că toate autoritățile certificatul au fost șterse. Repetați pasul 12 pentru a determina dacă orice obiecte AD rămân.

    Importante Nu trebuie să ștergeți șabloane certificat excepția cazului în care toate Autorită?ile certificatoare au fost șterse. Dacă șabloanele sunt șterse accidental, urmați acești pași:
    1. Asigurați-vă că ați arelogged pe un server care execută consolidare servicii de certificat ca Enterpriseadministrator.
    2. La linia Către de comandă, tastați următoarea comandă, și apoi apăsați ENTER:
      CD%WINDIR%\system32
    3. Tastați următoarea comandă, și apoi apăsați ENTER:
      regsvr32 /i:i /n /scertcli.dll
      Această acțiune creează nou thecertificate template-uri în Active Directory.
    Pentru a șterge certificat template-uri, urmați acești pași.
    1. În panou din partea stângă de completare snap-in MMC "Active Director site-uri și servicii", faceți clic pe Templatesfolder certificat.
    2. În panoul din dreapta, faceți clic pe un certificat șablon și thenpress CTRL + A pentru a selecta toate template-uri. Faceți clic dreapta pe template-uri selectate, faceți clic peștergețiși apoi faceți clic pe Da.

Pasul 7: Șterge certificate publicat la obiectul NtAuthCertificates

După ce ștergeți obiectele CA, trebuie să ștergeți CA certificatele care sunt publicate la obiectul NtAuthCertificates . Utilizați oricare din următoarele comenzi pentru a șterge certificate de la magazinul de NTAuthCertificates:
certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, NC = cheie publică
consolidare servicii,..., DC = ForestRoot, DC = com? cACertificate? bază? objectclass = certificationAuthority"

certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, NC = cheie publică
consolidare servicii,..., DC = ForestRoot, DC = com? cACertificate? bază? objectclass = pKIEnrollmentService "
Notă Trebuie să aveți permisiuni de Administrator de întreprindere pentru a efectua această sarcină.
Acțiunea - viewdelstore invocă certificat de selecție UI setul de certificate în attibute specificat. Se pot vizualiza detaliile certificatului. Puteți anula din casetă de dialog de selecție pentru a face nici o modificare. Dacă selectați un certificat, respectivul certificat se elimină atunci când se închide interfața utilizator și comanda complet este executat.

Utilizați următoarea comandă pentru a vedea LDAP cale completă la NtAuthCertificates obiectul în Active Directory:
certutil magazin-? | Findstr "NC = NTAuth"

Pasul 8: Șterge baza acoperire de date CA

Când consolidare servicii de certificare este dezinstalat, CA baza acoperire de date este lăsat intact, astfel încât CA poate fi re-creat pe un alt server.

Pentru a elimina CA baza acoperire de date, șterge folderul %systemroot%\System32\Certlog.

Pasul 9: Curăța controlerii de domeniu

Dupa ce CA este dezinstalat, certificate care au fost emise pentru controlerii de domeniu trebuie să fie eliminate.

Pentru a elimina certificate care au fost emise pentru controlerii de domeniu Windows Server 2000, utilizați utilitarul Dsstore.exe din Microsoft Windows 2000 Resource Kit.

Pentru a elimina certificate care au fost eliberate pentru controlerii de domeniu Windows Server 2000, urmați acești pași:
  1. Faceți clic pe Start, faceți clic pe Run, tip cmd, apoi apăsați ENTER.
  2. Pe un controler de domeniu, tipul de dsstore - dcmon la linia Către de comandă, și apoi apăsați ENTER.
  3. Tip 3, apoi apăsați ENTER. Această acțiune șterge toate certificatele pe toate controlerele de domeniu.

    Notă Utilitarul Dsstore.exe va încerca să valideze certificatele de controler de domeniu care sunt emise pentru fiecare controler de domeniu. Certificatele care validează nu sunt eliminate din lor controler de domeniu respectiv.
Pentru a elimina certificate care au fost emise pentru controlerii de domeniu Windows Server 2003, urma?i ace?ti pa?i.

Importante Utilizați această procedură, dacă tu ești folosire certificate care se bazează pe versiunea 1 domeniu controler de șabloane.
  1. Faceți clic pe Start, faceți clic pe Run, tip cmd, apoi apăsați ENTER.
  2. La linia Către de comandă pe un controler de domeniu, tipul certutil - dcinfo deleteBad.
Certutil.exe încearcă să valideze toate certificatele DC care sunt emise pentru controlerii de domeniu. Certificatele care validează nu sunt eliminate.

Pentru a forța aplicarea politicii de securitate, urmați acești pași:
  1. Faceți clic pe Start, faceți clic pe Run, tip cmd în Deschidere cutie, și apoi apăsați ENTER.
  2. La linia Către de comandă, tastați comanda corespunzătoare pentru versiunea corespunzătoare a sistemului de operare, și apoi apăsați ENTER:
    • Pentru Windows Server 2000: machine_policy de /refreshpolicy secedit / impune
    • Pentru Windows Server 2003: gpupdate Force

Proprietă?i

ID articol: 889250 - Ultima examinare: 24 octombrie 2013 - Revizie: 3.0
Se aplică la:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
Cuvinte cheie: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtro
Traducere automată
IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată ?i poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate ?i articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cuno?tin?e în mai multe limbi. Articolele traduse automat ?i post-editate pot con?ine gre?eli de vocabular, sintaxă ?i/sau gramatică. Microsoft nu este responsabil de inexactită?ile, erorile sau daunele cauzate de traducerea gre?ită a con?inutului sau de utilizarea acestuia de către clien?i. Găsi?i mai multe informa?ii despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 889250

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com