Инструкции по списанию центра сертификации предприятия Windows и удалить все связанные объекты из Windows Server 2003 и Windows Server 2000

Код статьи: 889250 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
Развернуть все | Свернуть все

На этой странице

Аннотация

При установке центра сертификации (ЦС), сертификатами, выданными центром сертификации обычно представляют собой еще. Если баланс сертификаты обрабатываются различными клиентскими компьютерами инфраструктуры открытого ключа, проверка завершается неудачей и эти сертификаты не будут использоваться.

В данной статье описывается, как отменять невыполненные сертификаты и инструкции по выполнению различных задач, необходимых для успешного удаления центра сертификации. Кроме того в данной статье описывается несколько средств, которые можно использовать для удаления объектов центра сертификации из вашего домена.
Перейти к началу страницы | Отправить отзыв

ВВЕДЕНИЕ

Эта статья содержит пошаговые инструкции для списания Центр сертификации предприятия Microsoft Windows и удалить все связанные объекты Служба каталогов Active Directory.

Шаг 1: Отозвать все активные сертификаты, выданные ЦС предприятия

  1. Нажмите кнопку Начало, выберите пунктАдминистрирование, а затем нажмите кнопку Сертификации Центр.
  2. Развертывание центра сертификации и нажмите кнопку Выдан Сертификаты папка.
  3. В правой области щелкните одну из выданных сертификатов и нажмите клавиши CTRL + A для выделения всех выданных сертификатов.
  4. Щелкните правой кнопкой мыши выбранные сертификаты, нажмите кнопку Все Задачи, и выберите команду Отзыв сертификата.
  5. В Отзыв сертификатов диалоговое окно, Выберите вариант Прекращение работы как причина отзыва, а затем нажмите кнопку ОК.

Шаг 2: Увеличьте интервал публикации CRL

  1. В консоли управления центром сертификации (MMC) объект snap-in, правой кнопкой мыши Отозванные сертификаты папка, и выберите команду Свойства.
  2. В Интервал публикации CRL поле типа При наличии достаточно длинное целое значение, а затем нажмите ОК.
Примечание Должно быть время существования списка отзыва сертификатов (CRL) больше чем время жизни, остается на сертификаты, которые были отменено.

Шаг 3: Публикация нового списка отзыва Сертификатов

  1. В оснастке MMC центром сертификации, щелкните правой кнопкой мышиОтозванные сертификаты папка.
  2. Нажмите кнопку Все задачи, а затем нажмите кнопкуПубликация.
  3. В Публикация списка отзыва Сертификатов диалоговое окно, нажмите кнопкуНовый список отзыва Сертификатов, а затем нажмите кнопку ОК.

Шаг 4: Запретить все отложенные запросы

По умолчанию ЦС предприятия не сохранять запросы сертификатов. Однако администратор может изменить это поведение по умолчанию. Чтобы запретить все отложенные запросы на сертификаты, выполните следующие действия.
  1. В оснастке MMC центра сертификации, нажмите кнопку Ожидающие запросы на папку.
  2. В правой области выберите один из ожидающих запросов и Нажмите клавиши CTRL + A для выделения всех отложенных сертификатов.
  3. Щелкните правой кнопкой мыши выбранные запросы, нажмите кнопку Все Задачи, а затем нажмите кнопку Отклонить запрос.

Шаг 5: Удалите службы сертификации на сервере

  1. Чтобы остановить службы сертификации, нажмите кнопку Начало, Нажмите кнопку Запустить, тип cmdи нажмите кнопкуОК.
  2. В командной строке введите: Команда Certutil -Завершение работы, а затем нажмите клавишу ВВОД.
  3. Чтобы перечислить все хранилища ключей для локального компьютера, введите:Команда certutil-ключ в командной строке. Эта команда будет Отображение названий всех установленных поставщиков услуг криптографии (CSP) и хранилища ключей, связанных с каждым поставщиком. Помимо описанного ключа магазины, вы увидите имя центра сертификации в списке несколько раз, как показано на в этом примере.
    (1)Microsoft Base Cryptographic Provider v1.0:
  1a3b2f44-2540-408b-8867-51bd6b6ed413
  MS IIS DCOM ClientSYSTEMS-1-5-18
  MS IIS DCOM Server
  Windows2000 Enterprise Root CA
  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

  afd1bc0a-a93c-4a31-8056-c0b9ca632896
  Microsoft Internet Information Server
  NetMon
  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

(5)Microsoft Enhanced Cryptographic Provider v1.0:
  1a3b2f44-2540-408b-8867-51bd6b6ed413
  MS IIS DCOM ClientSYSTEMS-1-5-18
  MS IIS DCOM Server
  Windows2000 Enterprise Root CA
  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

  afd1bc0a-a93c-4a31-8056-c0b9ca632896
  Microsoft Internet Information Server
  NetMon
  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Удалите закрытый ключ, связанный с центром сертификации. Для для этого, в командной строке следующую команду:
    Команда certutil - delkey CertificateAuthorityName
    Примечание Если имя центра сертификации содержит пробелы, заключите имя в кавычки метки.

    В этом примереCertificateAuthorityName Это предприятия Windows 2000 Корневой ЦС. Таким образом командной строки в этом примере приведен ниже:
    Команда certutil - delkey «Windows2000 корневого центра сертификации предприятия»
  5. Список хранилищ ключей еще раз, чтобы убедиться, что закрытый ключ для сертификации был удален.
  6. После удаления закрытого ключа центра сертификации, удаление Службы сертификации. Чтобы сделать это, выполните следующие действия.
    1. Закройте оснастку MMC центра сертификации в случае остаются открытыми.
    2. Нажмите кнопку Начало, выберите пункт Элемент управления «», а затем нажмите кнопку Добавление и удаление Программы.
    3. Нажмите кнопку Установка Windows Компоненты.
    4. В Компоненты поле, снимите флажок очередь Службы сертификации Установите флажок, нажмите кнопку Далее, а затем следуйте инструкциям, приведенным в Windows Мастер компонентов Чтобы завершить удаление сертификата Службы.

Шаг 6: Удалить объекты ЦС из службы каталогов Active Directory

При установке службы сертификации на сервере, является членом домена, некоторые объекты создаются в конфигурации контейнер в Active Directory.

Эти объекты являются следующие:
  • certificateAuthority объект
    • В CN = AIA, CN = открытого ключа Службы, CN = службы, CN = Configuration, DC =Корневой_домен_леса.
    • Содержит сертификат ЦС для ЦС.
    • Опубликовано доступ К сведения О центрах сертификации (AIA) расположение.
  • объект crlDistributionPoint
    • В CN =Имя_сервераCN = CDP, CN = открытого ключа Служба, CN = службы, CN = Configuration, DC =ForestRootDC = com.
    • Содержит список отзыва Сертификатов публикуются периодически по ЦЕНТР СЕРТИФИКАЦИИ.
    • Опубликованные точки распространения CRL (CDP) Расположение
  • certificationAuthority объект
    • В CN = центров сертификации, CN = открытого ключа Службы, CN = службы, CN = Configuration, DC =ForestRootDC = com.
    • Содержит сертификат ЦС для ЦС.
  • pKIEnrollmentService объект
    • В CN = службы подачи заявок, CN = открытого ключа Службы, CN = службы, CN = Configuration, DC =ForestRootDC = com.
    • Для создания центра сертификации предприятия.
    • Содержит сведения о типах сертификатов настроить центр сертификации для выпуска. Можно управлять разрешениями для данного объекта какие участники безопасности можно подать против этого ЦС.
При удалении ЦС только объект pKIEnrollmentService удаляется. Это не позволяет клиентам отправлять заявки списания ЦС. Поскольку сертификаты, которые сохраняются другие объекты выдан центром сертификации, возможно, все еще ожидающих обработки. Эти сертификаты должны быть отозван, следуя процедуре, в «шаг 1: отозвать все активные сертификаты, выданные ЦС предприятия"раздел.

Для Открытый ключ (Инфраструктура) клиентские компьютеры успешно обработать эти Выдающаяся сертификаты компьютеров необходимо найти информации О центрах сертификации Доступ (AIA) и распространения списков отзыва Сертификатов точки контуров в Active Directory. Он является хорошим следует отозвать все невыполненные сертификаты расширения времени жизни CRL и опубликовать список отзыва Сертификатов в Active Directory. Если баланс сертификаты обработано различными клиентами PKI, проверка завершается неудачей и эти сертификаты не будут использоваться.

Если он не является приоритетом для поддержания точку CDP и AIA в Active Directory, можно удалить эти объекты. Не удаляйте эти объекты, если ожидается, что для обработки одного или нескольких ранее активного цифровых сертификатов.

Удалить все сертификации Службы объектов из службы каталогов Active Directory

Примечание Не следует удалять шаблоны сертификатов из Active Directory до, после удаления всех объектов ЦС в лесу Active Directory.

Чтобы удалить все сертификации Службы объектов из Active Directory, выполните следующие действия.
  1. Определение CACommonName ЦС. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип cmd В диалоговом окне Открыть поле, а затем нажмите кнопку ОК.
    2. Тип Команда Certutil, а затем нажмите клавишу ВВОД.
    3. Запомните или запишите Имя значение, которое относится к сертификации. Для последующих шагов этой процедуры потребуется CACommonName.
  2. Нажмите кнопку Начало, выберите пунктАдминистрирование, а затем нажмите кнопку Active Directory Веб-узлы и службы.
  3. На Представление меню, нажмите кнопкуПоказать узел служб.
  4. Разверните узел Службы, разверните узел Открытый ключ Службы, а затем нажмите кнопку AIA папка.
  5. В правой области щелкните правой кнопкой мышиCertificationAuthority объект для центра сертификации, нажмите кнопкуУдалить, а затем нажмите кнопку Да.
  6. В левой области окна Active Directory — сайты и службы MMC оснастку, нажмите кнопку CDP папка.
  7. В правой панели найдите объект-контейнер для сервер, где установлены службы сертификации. Щелкните правой кнопкой мыши контейнер Нажмите кнопку Удалить, а затем нажмите кнопку Да два раза.
  8. В левой области окна Active Directory — сайты и службы MMC оснастку, нажмите кнопку Центры сертификацииузел.
  9. В правой области щелкните правой кнопкой мышиCertificationAuthority объект для центра сертификации, нажмите кнопкуУдалить, а затем нажмите кнопку Да.
  10. В левой области окна Active Directory — сайты и службы MMC оснастку, нажмите кнопку Службы подачи заявок узел.
  11. В правой панели убедитесь, что pKIEnrollmentService для центра сертификации был удален при удалении служб сертификации была. Если объект не удаляется, щелкните правой кнопкой мыши объект, нажмите кнопкуУдалить, а затем нажмите кнопку Да.
  12. Если вы не может найти все объекты, некоторые объекты могут остаться в Active Directory после выполнения этих действий. Для очистки после ЦС, который может оставить объекты в Active Directory, выполните следующие действия для определения, остаются ли объекты AD.
    1. Введите в командной строке следующую команду и нажмите клавишу ВВОД:
      LDIFDE - r "cn =CACommonName"-d" CN открытый ключ службы, CN = службы, CN = Конфигурация, DC = =ForestRootDC = com "output.ldf -f
      В этой команде CACommonName представляет Имя значение, указанное на шаге 1. Например если Имя значение — «Contoso CA1», введите следующую команду:
      LDIFDE - r "cn = CA1 Contoso" -d "cn открытого ключа службы, cn = службы, cn = = configuration, dc = contoso, dc = com" remainingCAobjects.ldf -f
    2. Откройте в блокноте файл remainingCAobjects.ldf. Заменить термин "changetype: добавить" с "changetype: удаление.» Затем проверьте законны ли объекты Active Directory, которые будут удалены.
    3. В командной строке введите следующую команду и нажмите клавишу ENTER, чтобы удалить оставшиеся объекты ЦС из службы каталогов Active Directory:
      ldifde -i -f remainingCAobjects.ldf
  13. Удаление шаблонов сертификатов, если вы уверены, что все центры сертификации будут удалены. Повторяйте шаг 12, чтобы определить, остаются ли объекты AD.

    Важные Не следует удалять шаблоны сертификатов, пока не будут удалены все центры сертификации. Если шаблоны случайно удалены, выполните следующие действия.
    1. Убедитесь, что вы являетесь вход на сервер под управлением службы сертификации предприятия Администратор.
    2. В командной строке введите следующую команду и нажмите клавишу ВВОД:
      компакт-диск %Windir%\System32
    3. Введите следующую команду и нажмите клавишу ВВОД:
      regsvr32 /i:i /n /s Certcli.dll
      В результате повторно создаются шаблоны сертификатов в Active Directory.
    Чтобы удалить шаблоны сертификатов, выполните следующие действия.
    1. В левой области окна «службы Active Directory сайты и» MMC оснастку, щелкните шаблоны сертификатов папка.
    2. В области справа выберите шаблон сертификата, а затем Нажмите сочетание клавиш CTRL + A, чтобы выделить все шаблоны. Щелкните правой кнопкой мыши выбранные шаблоны, нажмите кнопкуУдалить, а затем нажмите кнопку Да.

Шаг 7: Удаление сертификатов публикуются на объект NtAuthCertificates

После удаления объектов центра сертификации необходимо удалить сертификаты ЦС, которые будут опубликованы на NtAuthCertificates объект. Удалить сертификаты из хранилища NTAuthCertificates, воспользуйтесь одним из следующих команд:
Команда certutil - viewdelstore ldap: / / / CN = NtAuthCertificates, CN = открытого ключа
Службы,..., DC =ForestRootDC = com? cACertificate? базового? objectclass = certificationAuthority

Команда certutil - viewdelstore ldap: / / / CN = NtAuthCertificates, CN = открытого ключа
Службы,..., DC =ForestRootDC = com? cACertificate? базового? objectclass = pKIEnrollmentService
Примечание Для выполнения этой задачи требуются права администратора предприятия.
В -viewdelstore действие вызывает пользовательского Интерфейса выбора сертификата на наборе сертификаты из указанного атрибута. Можно просмотреть сведения о сертификате. Диалоговое окно выбора, чтобы не вносить изменения, можно отменить. Выбрать сертификат, сертификат удаляется при закрытии пользовательского Интерфейса и полностью выполняется команда.

Используйте следующую команду, чтобы увидеть полный путь LDAP NtAuthCertificates объект в Active Directory:
хранилище Certutil-? | Команда findstr "CN = NTAuth"

Шаг 8: Удаление базы данных ЦС

При удалении служб сертификации является база данных ЦС Таким образом, чтобы центр сертификации может быть восстановлена на другом сервере, остаются без изменений.

Для Удаление базы данных ЦС, удалите %systemroot%\System32\Certlog папка.

Шаг 9: Очистка контроллеров домена

После удаления центра сертификации, сертификаты, которые были выданы на контроллеры домена должны быть удалены.

Чтобы удалить сертификаты, которые были выданы на контроллерах домена Windows Server 2000, используйте программу Dsstore.exe с Microsoft Windows 2000 Resource Kit.

Чтобы удалить сертификаты, выданные на контроллерах домена Windows Server 2000, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип cmd, а затем нажмите клавишу ВВОД.
  2. На контроллере домена введите: dsstore - dcmon в командной строке и нажмите клавишу ВВОД.
  3. Тип 3, а затем нажмите клавишу ВВОД. Это приведет к удалению всех сертификатов на всех контроллерах домена.

    Примечание Служебная программа Dsstore.exe будет предпринята попытка проверки сертификатов контроллеру домена, которые выпущены для каждого контроллера домена. Не проверять сертификаты удаляются из их соответствующего контроллера домена.
Чтобы удалить сертификаты, которые были выданы на контроллерах домена Windows Server 2003, выполните следующие действия.

Важные Не используйте эту процедуру, если используются сертификаты, основанные на контроллер шаблоны версии 1 домена.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип cmd, а затем нажмите клавишу ВВОД.
  2. Введите в командной строке на контроллере домена Команда certutil - dcinfo deleteBad.
Certutil.exe пытается проверить все DC сертификаты, выпущенные для контроллеров домена. Сертификаты, которые не проверяют, удаляются.

Для принудительного применения политики безопасности выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, TYPE cmd В диалоговом окне Открыть в поле и нажмите клавишу ВВОД.
  2. В командной строке введите соответствующую команду для соответствующей версии операционной системы и нажмите клавишу ВВОД:
    • В Windows Server 2000: SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE
    • В Windows Server 2003: GPUpdate /Force
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 889250 - Последнее изменение :: 17 июня 2011 г. - Редакция: 5.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:889250
(http://support.microsoft.com/kb/889250/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы