Cum sã cum dezactivez o autoritate de certificare de Intreprindere Windows ºi cum pentru a elimina toate legate de obiecte din Windows Server 2003 ºi Windows Server 2000

Atunci când tu uninstall o autoritate de certificare (CA), certificatele de pe care au fost emise de CA sunt de obicei încã neonorate. Dacã certificatele restante sunt prelucrate de cãtre diverse computerele client Public cheie infrastructurii, validare va eºua, ºi nu vor fi utilizate aceste certificate.

Acest articol descrie cum sã revoce certificatele restante ºi cum pentru a finaliza diverse alte sarcini, care sunt necesare pentru a dezinstala cu succes o CA. În plus, acest articol descrie mai multe utilitare pe care le puteþi utiliza pentru a vã ajuta sã eliminaþi CA obiecte din domeniu.

Acest articol etapizat descrie cum dezactivez o Microsoft Windows enterprise CA ºi cum de a elimina toate legate de obiecte la Serviciul director active directory.

Pasul 1: Revoca toate certificatele active, care sunt emise de cãtre întreprinderea CA

1. Faceþi clic pe Start, indicaþi spreInstrumente de administrare, apoi faceþi clic pe Certificare Autoritatea.
2. Extindeþi dumneavoastrã CA ºi apoi faceþi clic pe Eliberat Certificate folderul.
3. În panoul din dreapta, faceþi clic pe unul dintre certificatele eliberate, ºi apoi apãsaþi CTRL + A pentru a selecta toate eliberate certificatele.
4. Faceþi clic dreapta pe certificatele selectat, faceþi clic pe Toate Sarcini, apoi faceþi clic pe Revocã certificatul.
5. În Revocare certificat caseta de dialog, Faceþi clic pentru a selecta Încetarea func?ionãrii ca motivul Revocare, ºi apoi faceþi clic pe ok.

Pasul 2: Mãriþi intervalul de publicarea LCR

1. În autoritatea de certificare Microsoft Management Console (MMC) de completare snap-in, faceþi clic dreapta Certificate revocate folder, apoi faceþi clic pe Proprietãþi.
2. În LCR publicarea Interval caseta, tip o valoare corespunzãtor lung, ºi apoi faceþi clic pe ok.

Notã Durata de viaþã de listã de revocare certificat (CRL) ar trebui sã fie mai mult decât durata de viaþã care rãmâne de certificate care au fost revocat.

Pasul 3: Publica un nou LCR

1. În certificare autoritatea snap-in MMC, faceþi clic dreapta peCertificate revocate folderul.
2. Faceþi clic pe Toate sarcinile, apoi faceþi clic pePublicã.
3. În Publicã LCR caseta de dialog, faceþi clic peLCR noi, apoi faceþi clic pe ok.

Pasul 4: Neagã orice curs cererilor

În mod implicit, o întreprindere CA nu stocheazã cereri de certificat. Cu toate acestea, un administrator poate modifica acest comportament implicit. Pentru a refuza orice curs cereri de certificat, urmaþi aceºti paºi:

1. În certificare autoritatea snap-in MMC, faceþi clic pe Curs cererilor folder.
2. În panoul din dreapta, faceþi clic pe unul dintre cererilor în curs, ?i apoi apãsaþi CTRL + A pentru a selecta toate certificatele în aºteptare.
3. Faceþi clic dreapta pe cererile selectate, faceþi clic pe Toate Sarcini, apoi faceþi clic pe Refuza cererea.

Pasul 5: Uninstall certificat servicii de pe server

1. Pentru a opri certificat servicii, faceþi clic pe Start, Faceþi clic pe A alerga, tip cmd, faceþi clic peok.
2. La promptul de comandã, tastaþi certutil -shutdown, apoi apãsaþi ENTER.
3. Pentru a lista toate magazinele cheie pentru computerul local, tastaþicertutil-cheie la promptul de comandã. Aceastã comandã va afiºeazã numele tuturor furnizorilor instalate de servicii criptografice (CSP) ºi magazine cheie care sunt asociate cu fiecare furnizor. Printre cheie enumerate magazine, veþi vedea numele dumneavoastrã CA enumerate mai multe ori, a?a cum se aratã în urmãtorul exemplu.

   (1)Microsoft Base Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
   
   (5)Microsoft Enhanced Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

4. ªtergeþi cheia privatã care este asociat cu CA. Pentru a aceasta, tastaþi urmãtoarele la promptul de comandã:
   certutil - delkey CertificateAuthorityName
   Notã Dacã numele CA conþine spaþii, includeþi numele cota?iei marcheazã.
   
   În acest exemplu,CertificateAuthorityName este întreprindere Windows2000 Root CA. Prin urmare, linia de comandã în acest exemplu este urmãtorul:
   certutil - delkey "Windows2000 Intreprindere Root CA"
5. Lista magazine cheie din nou pentru a verifica dacã cheia privatã pentru CA dumneavoastrã a fost ºters.
6. Dupã ce ºtergeþi cheia privatã pentru CA dumneavoastrã, uninstall Certificat de servicii. Pentru aceasta, urmaþi aceºti paºi:
   1. Aproape de completare snap-in MMC autoritã?ii de certificare dacã este deschide încã.
   2. Faceþi clic pe Start, indicaþi spre Control Panoul, apoi faceþi clic pe Adãugarea sau eliminarea Programe.
   3. Faceþi clic pe Add/Remove Windows Componente.
   4. În Componente Faceþi clic pentru a debifa caseta The Certificat de servicii caseta de selectare, faceþi clic pe Urmãtorul, apoi urmaþi instrucþiunile din Windows Expert componente pentru a termina eliminarea certificatului Servicii.

Pasul 6: Eliminarea CA obiectele din Active Directory

Când Microsoft certificat servicii este instalat pe un server care este membru al unui domeniu, mai multe obiecte sunt create în configuraþia containerul în Active Directory.

Aceste obiecte sunt urmãtoarele:

• obiectul certificateAuthority
  • Situat în NC = AIA, NC = cheia publicã Servicii, NC = servicii, NC = configurare, DC =ForestRootDomain.
  • Conþine CA certificatul pentru CA.
  • Publicat autoritatea informaþii de acces (AIA) locaþie.
• obiectul crlDistributionPoint
  • Situat în NC =ServerNameNC = CDP, NC = cheia publicã Service, NC = servicii, NC = configurare, DC =ForestRootDC = com.
  • Conþine CRL publicate periodic de cãtre CA.
  • Punctul de distribuþie publicate LCR (CDP) locaþie
• obiectul certificationAuthority
  • Situat în NC = autoritãþi de certificare, NC = cheia publicã Servicii, NC = servicii, NC = configurare, DC =ForestRootDC = com.
  • Conþine CA certificatul pentru CA.
• obiectul pKIEnrollmentService
  • Situat în NC = servicii de înscriere, NC = cheia publicã Servicii, NC = servicii, NC = configurare, DC =ForestRootDC = com.
  • Created by întreprinderea CA.
  • Conþine informaþii despre tipurile de certificate a fost configurat CA eliberarea. Permisiunile pentru acest obiect poate controla principii de securitate care pot înscrie împotriva CA acest.

Când CA este dezinstalat, numai obiectul pKIEnrollmentService este eliminat. Acest lucru previne clienþilor la încercarea de a înscrie împotriva CA scos astfel din uz. Alte obiecte sunt pãstrate pentru cã certificatele care sunt emise de cãtre CA sunt, probabil, încã neonorate. Aceste certificate trebuie revocat urmând procedura în „pasul 1: revoca toate active Certificatele sunt emise de cãtre întreprinderea CA"secþiune.

Pentru Public cheie infrastructurii (PKI) computerele client pentru cu succes procesul de acestea certificatele restante, computerele trebuie sã gãsiþi informaþii autoritatea Acces (AIA) ?i distribu?ie CRL punctul cãi în Active Directory. Acesta este un bun ideea de a revoca toate certificatele restante, extinde durata de viaþã a LCR, ?i publicã LCR în Active Directory. Dacã certificatele restante prelucrate de cãtre clienþii PKI diferite, validare va eºua, ?i certificatele nu va fi utilizatã.

Dacã aceasta nu este o prioritate pentru a menþine punct distribu?ie CRL ?i AIA în Active Directory, aveþi posibilitatea sã eliminaþi aceste obiecte. Nu eliminaþi aceste obiecte dacã vã aºteptaþi sã procesul de una sau mai multe certificate digitale activ anterior.

Eliminaþi toate certificare Servicii de obiectele din Active Directory

Notã Nu ar trebui sã eliminaþi certificat ºabloane din Active Directory pânã dupã ce eliminaþi toate CA obiecte în Pãdurea Active Directory.

Pentru a elimina toate certificare Servicii de obiectele din Active Directory, urmaþi aceºti paºi:

1. Determina CACommonName de CA. Pentru aceasta, urmaþi aceºti paºi:
   1. Faceþi clic pe Start, faceþi clic pe A alerga, tip cmd în Deschise casetã ºi apoi faceþi clic pe ok.
   2. Tip certutil, apoi apãsaþi ENTER.
   3. Asiguraþi-o notã de nume valoarea cãreia îi aparþine CA dumneavoastrã. CACommonName veþi avea nevoie pentru mai târziu paºii din aceastã procedurã.
2. Faceþi clic pe Start, indicaþi spreInstrumente de administrare, apoi faceþi clic pe Active Directory Site-uri ºi servicii.
3. Pe Vizualizare meniu, faceþi clic peAratã servicii nod.
4. Extinde Servicii, extindeþi Cheia publicã Servicii, apoi faceþi clic pe AIA folderul.
5. În panoul din dreapta, faceþi clic dreapta peCertificationAuthority obiect pentru CA dvs., faceþi clic peªtergere, apoi faceþi clic pe da.
6. În panoul din stânga al Active Directory Sites and Services MMC snap-in, faceþi clic pe CDP folderul.
7. În panoul din dreapta, localizaþi obiectul container pentru server în cazul în care certificatul de servicii este instalat. Faceþi clic dreapta pe recipient, Faceþi clic pe ªtergere, apoi faceþi clic pe da douã ori.
8. În panoul din stânga al Active Directory Sites and Services MMC snap-in, faceþi clic pe Autoritãþi de certificarenod.
9. În panoul din dreapta, faceþi clic dreapta peCertificationAuthority obiect pentru CA dvs., faceþi clic peªtergere, apoi faceþi clic pe da.
10. În panoul din stânga al Active Directory Sites and Services MMC snap-in, faceþi clic pe Servicii de înscriere nod.
11. În panoul din dreapta, verificaþi pKIEnrollmentService obiect pentru dumneavoastrã CA a fost eliminate atunci când a fost dezinstalat certificat servicii. Dacã obiectul nu este ºtearsã, faceþi clic dreapta pe obiect, faceþi clic peªtergere, apoi faceþi clic pe da.
12. Dacã nu gãsiþi toate obiectele, unele obiecte poate fi lãsat în Active Directory dupã ce efectuaþi aceºti paºi. Pentru a curãþa dupã o AC care poate au pãrãsit obiectele din Active Directory, urmaþi aceºti paºi pentru a determina dacã orice obiecte AD rãmâne:
    1. Tastaþi urmãtoarea comandã la o linie de comandã ºi apoi apãsaþi ENTER:
       LDIFDE - r "NC =CACommonName"-d" NC = servicii publice cheie, NC = servicii, NC = configurare, DC =ForestRootDC = com "-f output.ldf
       În aceastã comandã, CACommonName reprezintã nume valoarea pe care aþi determinat-o în pasul 1. De exemplu, dacã nume valoarea este "CA1 Contoso," tastaþi urmãtoarele:
       LDIFDE - r "NC = CA1 Contoso" -d "NC = servicii cheie publicã, NC = servicii, NC = configurare, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Deschideþi fiºierul remainingCAobjects.ldf în Notepad. Se înlocuie?te termenul "changetype: adaugã" cu "changetype: ºtergeþi." Apoi, verificaþi dacã obiectelor Active Directory care se va ºterge sunt legitime.
    3. La promptul de comandã, tastaþi comanda urmãtoare, ºi apoi apãsaþi ENTER pentru a ºterge rãmase CA obiectele din Active Directory:
       LDIFDE -i remainingCAobjects.ldf -f
13. ªtergeþi ºabloanele de certificat dacã sunteþi sigur cã toate autoritã?ile certificatul au fost ºterse. Repetaþi pasul 12 pentru a determina dacã orice obiecte AD rãmâne.
    
    Important Trebuie sã nu ºtergeþi ºabloanele de certificat excepþia cazului în care autoritã?ile de certificat au fost ºterse. În cazul în care ºabloane sunt ºterse accidental, urmaþi aceºti paºi:
    1. Asiguraþi-vã cã sunteþi Faceþi Log on la un server care executã servicii certificat ca întreprindere administrator.
    2. La promptul de comandã, tastaþi comanda urmãtoare, ºi apoi apãsaþi ENTER:
       CD-ul %windirsystem32%\
    3. Tastaþi urmãtoarea comandã, ºi apoi apãsaþi ENTER:
       regsvr32 /i:i n/s certcli.dll
       Aceastã acþiune creeazã din nou certificat de template-uri în Active Directory.
       
    Pentru a ºterge certificat de template-uri, urmaþi aceºti paºi.
    1. În panoul din stânga al "Active Directory site-urile ºi serviciile" MMC snap-in, faceþi clic pe ºabloane certificat folderul.
    2. În panoul din dreapta, faceþi clic pe un certificat ºablon, apoi apãsaþi CTRL + A pentru a selecta toate ºabloanele. Faceþi clic dreapta pe template-uri selectate, faceþi clic peªtergere, apoi faceþi clic pe da.

Pasul 7: ªtergeþi certificate publicat obiectului NtAuthCertificates

Dupã ce ºtergeþi obiectele CA, trebuie sã ºtergeþi CA certificatele care sunt publicate NtAuthCertificates obiect. Utilizaþi una dintre urmãtoarele comenzi pentru a ºterge certificatele din în magazin NTAuthCertificates:The -viewdelstore acþiune invocã selecþia certificat UI pe un set de certificate în attibute specificatã. Vizualizarea detaliilor certificatului. Aveþi posibilitatea sã revocaþi de dialog de selecþie pentru a face nici o modificare. Dacã selectaþi un certificat, respectivul certificat se eliminã când se închide UI ºi comanda este executat pe deplin.

Utilizaþi urmãtoarea comandã pentru a vedea calea LDAP completã NtAuthCertificates obiect în Active Directory:

Pasul 8: ªtergeþi baza de date CA

Atunci când este dezinstalat serviciile de certificare, este baza de date CA stânga intacte, astfel încât CA poate fi lor pe alt server.

Pentru a Eliminaþi CA baza de date, ºtergeþi %systemroot%\System32\Certlog folderul.

Pasul 9: Curãþa controlerele de domeniu

Dupã CA este dezinstalat, trebuie eliminate certificatelor care au fost eliberate la controlerele de domeniu.

Pentru a elimina certificate care au fost eliberate la controlerele de domeniu Windows Server 2000, utilizaþi utilitarul Dsstore.exe din Microsoft Windows 2000 Resource Kit.

Pentru a elimina certificate care au fost eliberate la controlerele de domeniu Windows Server 2000, urmaþi aceºti paºi:

1. Faceþi clic pe Start, faceþi clic pe A alerga, tip cmd, apoi apãsaþi ENTER.
2. Pe un controler de domeniu, de tip dsstore - dcmon la promptul de comandã, apoi apãsaþi ENTER.
3. Tip 3, apoi apãsaþi ENTER. Aceastã acþiune ºterge toate certificatele pe toate controlerele de domeniu.
   
   Notã Utilitarul Dsstore.exe va încerca sã valideze certificatele de controler de domeniu, care sunt emise pentru fiecare controler de domeniu. Certificatele care valideazã nu sunt eliminate din lor controler de domeniu respective.

Pentru a elimina certificate care au fost eliberate la controlerele de domeniu Windows Server 2003, urmaþi aceºti paºi.

Important Nu utilizaþi aceastã procedurã dacã utilizaþi certificatele care se bazeazã pe versiunea 1 domeniu controler de ºabloane.

1. Faceþi clic pe Start, faceþi clic pe A alerga, tip cmd, apoi apãsaþi ENTER.
2. La promptul de comandã pe un controler de domeniu, de tip certutil - dcinfo deleteBad.

Certutil.exe încearcã sã valideze toate certificatele DC care sunt emise pentru controlerii de domeniu. Certificatele care valideazã nu sunt eliminate.

Pentru a forþa aplicarea politicii de securitate, urmaþi aceºti paºi:

1. Faceþi clic pe Start, faceþi clic pe A alerga, tip cmd în Deschise cutie, ºi apoi apãsaþi ENTER.
2. La promptul de comandã, tastaþi comanda corespunzãtoare pentru versiunea corespunzãtoare a sistemului de operare, ºi apoi apãsaþi ENTER:
   • Pentru Windows Server 2000: secedit /refreshpolicy machine_policy / enforce
   • Pentru Windows Server 2003: gpupdate /force