Ako vyradi� Windows podnikov� certifika�n� �rad a ako ho odstr�ni� v�etky s�visiace objekty z Windows Server 2003 a Windows Server 2000

Ke� odin�talujete certifika�n� �rad (CA), osved�enia, ktor� boli vydan� certifika�n�m �radom s� zvy�ajne st�le. Ak vynikaj�ce osved�en� spracov�vaj� r�zne verejn� Key Infrastructure klientske po��ta�e, overovanie zlyh� a t�chto certifik�tov nebude pou�it�.

Tento �l�nok popisuje, ako zru�i� vynikaj�ce certifik�ty a plni� r�zne in� �lohy, ktor� s� povinn� �spe�ne odin�talova� certifika�n� �rad. Navy�e, tento �l�nok popisuje nieko�ko pom�cok, ktor� m��ete pou�i� na v�m odstr�ni� CA objekty z va�ej dom�ny.

Tento �l�nok obsahuje krokov� postup vyradi� Microsoft Windows roz�ahlej siete a ako ho odstr�ni� v�etky s�visiace objekty z Adres�rov� slu�ba Active Directory.

Krok 1: Zru�i� v�etky akt�vne certifik�ty, ktor� vyd�vaj� podnik CA

1. Kliknite na tla�idlo �tart, uk�te na polo�kuAdministrat�vne n�stroje, a potom kliknite na tla�idlo Certifik�cia Org�n.
2. Roz��ri� v� CA a potom kliknite na tla�idlo Vydal Certifik�ty prie�inok.
3. Na pravej table kliknite na jednu z vydan�ch osved�en�, a potom stla�te kombin�ciu kl�vesov CTRL + A vyberte v�etky vydan� certifik�ty.
4. Kliknite prav�m tla�idlom na vybrat� certifik�ty, kliknite na tla�idlo V�etky �loh, a potom kliknite na tla�idlo Zru�enie osved�enia.
5. V Odvolan�ch certifik�tov dial�govom okne Kliknut�m vyberte Ukon�i� oper�cie ako d�vod pre zru�enie a potom kliknite na tla�idlo ok.

Krok 2: Zv��te interval uverejnenia zoznam zru�en�ch certifik�tov

1. V konzole certifika�n� org�n Microsoft Management Console (MMC) modul snap-in, prav�m tla�idlom my�i Zru�en� certifik�ty prie�inok a potom kliknite na tla�idlo Vlastnosti.
2. V CRL uverejnenia Interval zadajte vhodne dlh� hodnotu a potom kliknite na tla�idlo ok.

Pozn�mka �ivotnos� osved�enie zru�enie zoznamu (CRL) by mali by� dlh�ie ne� �ivotnos�, ktor� zost�va pre osved�enia, ktor� boli zru�en�.

Krok 3: Uverejni� nov� zoznam zru�en�ch certifik�tov

1. V certifika�n� org�n modulu konzoly MMC, kliknite prav�m tla�idlom my�iZru�en� certifik�ty prie�inok.
2. Kliknite na tla�idlo V�etky �lohy, a potom kliknite na tla�idloPublikovanie.
3. V Publikova� zoznam zru�en�ch certifik�tov dial�gov� okno, kliknite na tla�idloNov� zoznam zru�en�ch certifik�tov, a potom kliknite na tla�idlo ok.

Krok 4: Zabr�nil, �akaj�ce �iadosti

V predvolenom nastaven� podnik CA neuklad� �iadost� o certifik�ty. Av�ak spr�vca m��e zmeni� toto predvolen� spr�vanie. Aby zabr�nil, �akaj�ce osved�enie po�aduje, postupujte nasledovne:

1. V certifika�n� org�n modulu konzoly MMC, kliknite na tla�idlo �akaj�ce �iadosti prie�inok.
2. Na pravej table kliknite na jednu z �akaj�ce �iadosti a stla�te kombin�ciu kl�vesov CTRL + A vyberte v�etky �akaj�ce certifik�ty.
3. Kliknite prav�m tla�idlom na vybrat� �iadost�, kliknite na tla�idlo V�etky �lohy, a potom kliknite na tla�idlo Odmietnutie �iadosti.

Krok 5: Odin�talova� certifika�nej slu�by zo servera

1. Ak chcete zastavi� certifika�nej slu�by, kliknite na tla�idlo �tart, kliknite na tla�idlo Spusti�, typu cmd, a potom kliknut�mok.
2. Do pr�kazov�ho riadka zadajte certutil -vypnutie, a potom stla�te kl�ves ENTER.
3. Zoznam v�etk�ch k���ov�ch obchodov na lok�lnom po��ta�i, zadajtecertutil-k��� v pr�kazovom riadku. Tento pr�kaz nebude zobrazovanie n�zvov v�etk�ch nain�talovan�ch poskytovatelia kryptografick�ch slu�ieb (CSP) a k���ov�ch obchodov, ktor� s� spojen� s ka�d� poskytovate�. Medzi uveden� k��� obchody, zobraz� n�zov va�ej CA uveden� nieko�kokr�t, ako je uveden� v Nasleduj�ci pr�klad.

   (1)Microsoft Base Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
   
   (5)Microsoft Enhanced Cryptographic Provider v1.0:
     1a3b2f44-2540-408b-8867-51bd6b6ed413
     MS IIS DCOM ClientSYSTEMS-1-5-18
     MS IIS DCOM Server
     Windows2000 Enterprise Root CA
     MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
   
     afd1bc0a-a93c-4a31-8056-c0b9ca632896
     Microsoft Internet Information Server
     NetMon
     MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

4. Odstr�ni� s�kromn� k���, ktor� je priraden� certifika�n� �rad. Na to urobi�, do pr�kazov�ho riadka zadajte nasleduj�ce:
   certutil - delkey CertificateAuthorityName
   Pozn�mka Ak n�zov certifika�n�ho �radu obsahuje medzery, uzavrite meno do monitoringu zna�ky.
   
   V tomto pr�kladeCertificateAuthorityName je pou �vatelia Windows2000 podnik Hlavn�ho CA. Z tohto d�vodu pr�kazov�ho riadka v tomto pr�klade je nasledovn�:
   certutil - delkey "Windows2000 Enterprise Root CA"
5. Zoznam k���ov�ch obchodov op� na overenie toho, �e s�kromn� k��� pre va�e CA bol odstr�nen�.
6. Po odstr�nen� s�kromn� k��� pre v� CA, odin�talova� Certifika�nej slu�by. To chcete urobi�, postupujte nasledovne:
   1. Zatvorte modul certifika�n� org�n MMC, ak je st�le otvori�.
   2. Kliknite na tla�idlo �tart, uk�te na polo�ku Kontrola Porota, a potom kliknite na tla�idlo Pridanie alebo odstr�nenie Programy.
   3. Kliknite na tla�idlo Pridanie alebo odstr�nenie syst�mu Windows Komponenty.
   4. V Komponenty pole, kliknut�m zru�te za�iarknutie pol��ka The Certifik�t slu�by za�iarkavacie pol��ko, kliknite na tla�idlo �al��, a potom postupujte pod�a pokynov v Syst�m Windows Sprievodcu s��as�ami na dokon�enie odstra�ovania osved�enia Slu ieb.

Krok 6: Odstr�nenie CA objekty zo slu�by Active Directory

Ke� program Microsoft certifika�nej slu�by nain�talovan� na serveri, je �lenom dom�ny, viacer� objekty vytvoren� v konfigur�cii kontajner slu�by Active Directory.

Tieto objekty s� nasledovn�:

• certificateAuthority objekt
  • Umiestnen� pod ��seln� znak KN = AIA, CN = verejn�ho k���a Slu by, CN = slu�by, CN = Configuration, DC =ForestRootDomain.
  • Obsahuje certifik�t certifika�n�ho �radu pre certifika�n� �rad.
  • Uverejnen� �radom pr�stup k inform�ci�m (AIA) umiestnenie.
• crlDistributionPoint objekt
  • Nach�dzaj�ce sa v KN =N�zov_serveraCN = CDP, CN = verejn�ho k���a Slu�ba, CN = slu�by, CN = Configuration, DC =ForestRootDC = com.
  • Obsahuje zoznam zru�en�ch certifik�tov pravidelne uverej�uje CA.
  • Publikovan� distribu�n� miesto CRL (CDP) umiestnenie
• certificationAuthority objekt
  • Umiestnen� pod ��seln� znak KN = certifika�n� �rady, CN = verejn�ho k���a Slu by, CN = slu�by, CN = Configuration, DC =ForestRootDC = com.
  • Obsahuje certifik�t certifika�n�ho �radu pre certifika�n� �rad.
• pKIEnrollmentService objekt
  • Umiestnen� pod ��seln� znak KN = registr�cia slu�by, CN = verejn�ho k���a Slu by, CN = slu�by, CN = Configuration, DC =ForestRootDC = com.
  • Vytvoril podnik CA.
  • Obsahuje inform�cie o typy certifik�tov certifika�n� �rad bol konfigurovan� na probl�m. Povolenia pre tento objekt m��ete ovl�da� ktor� objekty zabezpe�enia mo�no prihl�si� vo�i tomuto CA.

Pri odin�talovan� CA iba pKIEnrollmentService objekt sa odstr�ni. Toto zabr�ni klientom pok��a prihl�si� proti vyraden� CA. Ostatn� objekty s� zachovan�, preto�e osved�enia, ktor� s� vydan� certifika�n�m �radom s� pravdepodobne st�le. Tieto certifik�ty musia by� zru�i� pod�a postupu uveden�ho v "krok 1: zru�enie v�etk�ch akt�vnych certifik�ty, ktor� vyd�vaj� podnik CA"oddielu.

Pre Verejn� Key Infrastructure (PKI) klientske po��ta�e �spe�ne spracova� vynikaj�ce certifik�ty po��ta�ov musia n�js� org�nu inform�cie Pr�stup (AIA) a RLS distrib�cie bod trasy v slu�be Active Directory. Je to dobr� v�chodisko my�lienka zru�� v�etky neuhraden� certifik�ty, pred�i� �ivotnos� RLS a uverejn� RLS v slu�be Active Directory. Ak s� vynikaj�ce certifik�ty spracov�van� r�znych klientov PKI, overovanie zlyh�, a tie certifik�ty sa nepou�ije.

Ak nie je prioritou zachova� Distribu�n� miesto CRL a AIA v slu�be Active Directory, m��ete odstr�ni� tieto objekty. Neodstra�ujte tieto objekty, Ak predpoklad�te na spracovanie jedn�ho alebo viacer�ch predt�m akt�vne digit�lne certifik�ty.

Odstr�ni� v�etky osved�enia Objektov slu�by Active Directory

Pozn�mka Nie ste mali odstr�ni� �abl�ny certifik�tov zo slu�by Active Directory a� po odstr�nen� v�etk�ch CA objektov v dom�novej �trukt�re slu�by Active Directory.

Ak chcete odstr�ni� v�etky osved�enia Objekty slu�by zo slu�by Active Directory, postupujte nasledovne:

1. Ur�i� CACommonName CA. To chcete urobi�, postupujte nasledovne:
   1. Kliknite na tla�idlo �tart, kliknite na tla�idlo Spusti�, typu cmd v Otvoren� a potom kliknite na ok.
   2. Typ certutil, a potom stla�te kl�ves ENTER.
   3. Poznamenajte si meno hodnota, ktor� patr� do v�ho CA. Pri posledn�ch krokov v tomto postupe budete potrebova� CACommonName.
2. Kliknite na tla�idlo �tart, uk�te na polo�kuAdministrat�vne n�stroje, a potom kliknite na tla�idlo Slu�ba Active Directory Lokality a slu�by.
3. Na Zobrazenie v ponuke kliknite na polo�kuZobrazi� uzle slu�ieb.
4. Rozbali� Slu�by, rozba�te Verejn� k��� Slu�by, a potom kliknite na tla�idlo AIA prie�inok.
5. Na pravej table kliknite prav�m tla�idlom my�iCertificationAuthority kliknite na polo�ku objekt pre va�e CAOdstr�ni�, a potom kliknite na tla�idlo �no.
6. V �avej table Active Directory Sites and Services MMC modul snap-in, kliknite na tla�idlo CDP prie�inok.
7. V pravej �asti okna vyh�adajte kontajnerov� objekt na Server, na ktorej je nain�talovan� certifika�nej slu�by. Kliknite prav�m tla�idlom na n�dobe, kliknite na tla�idlo Odstr�ni�, a potom kliknite na tla�idlo �no dva razy.
8. V �avej table Active Directory Sites and Services MMC modul snap-in, kliknite na tla�idlo Certifika�n� �radyuzol.
9. Na pravej table kliknite prav�m tla�idlom my�iCertificationAuthority kliknite na polo�ku objekt pre va�e CAOdstr�ni�, a potom kliknite na tla�idlo �no.
10. V �avej table Active Directory Sites and Services MMC modul snap-in, kliknite na tla�idlo Registr�cia slu�by uzol.
11. V pravej �asti okna skontrolujte pKIEnrollmentService objekt pre va�e CA bol odstr�nen�, ke� bola odin�talovan� certifika�nej slu�by. Ak objekt nie je odstr�nen�, kliknite prav�m tla�idlom na objekt, kliknite na tla�idloOdstr�ni�, a potom kliknite na tla�idlo �no.
12. Ak nie ste vyh�ada� v�etky objekty, by� ponechan� niektor� objekty slu�by Active Directory, po vykonan� t�chto krokov. Uklidit po CA, ktor� m��e ma� v�avo objektov v slu�be Active Directory, pou�ite tieto kroky s cie�om ur�i�, �i ak�ko�vek reklamn� predmety zost�vaj�:
    1. Pr�kazov�ho riadku zadajte nasledovn� pr�kaz a stla�te kl�ves ENTER:
       LDIFDE syst�mu - r "cn =CACommonName"-d" CN = verejn� k��� slu�by, CN = slu�by, CN = Configuration, DC =ForestRootDC = com "-f output.ldf
       V tomto pr�kaze CACommonName predstavuje meno hodnota, ktor� ste ur�ili v kroku 1. Napr�klad, ak meno hodnota "CA1 Contoso," zadajte nasledovn� pr�kaz:
       LDIFDE syst�mu - r "KN = CA1 Contoso" -d "KN = verejn�ho k���a slu�by, cn = slu�by, cn = configuration, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Otvorte remainingCAobjects.ldf s�bor v programe Pozn�mkov� blok. Nahradi� term�n "changetype: prida�" s "changetype: odstr�ni�. � Potom skontrolujte, �i objektov slu�by Active Directory, ktor� sa odstr�nia s� opr�vnen�.
    3. Do pr�kazov�ho riadka zadajte nasledovn� pr�kaz a stla�te kl�ves ENTER na odstr�nenie zost�vaj�cich CA objekty zo slu�by Active Directory:
       LDIFDE syst�mu -i -f remainingCAobjects.ldf
13. Odstr�nenie �abl�ny certifik�tov, ak ste si ist�, �e v�etky certifika�n� �rady boli vypusten�. Opakujte krok 12 na ur�enie, �i ak�ko�vek reklamn� predmety zost�vaj�.
    
    D�le�it� Pokia� boli odstr�nen� v�etky certifika�n� �rady, mus� �abl�ny certifik�tov neodstr�nia. Ak �abl�ny boli omylom odstr�nen�, postupujte nasledovne:
    1. Uistite sa, �e ste prihl�sen� na server so spustenou slu�bou certifika�nej slu�by ako podnik spr�vca.
    2. Do pr�kazov�ho riadka zadajte nasledovn� pr�kaz a stla�te kl�ves ENTER:
       CD % Windir%\System32
    3. Zadajte nasledovn� pr�kaz a stla�te kl�ves ENTER:
       regsvr32 /i:i/n /s certcli.dll
       T�to akcia op�tovne vytvor� �abl�ny certifik�tov v slu�be Active Directory.
       
    Ak chcete odstr�ni� �abl�ny certifik�tov, postupujte nasledovne.
    1. Na �avej table "Active Directory lokality a slu�by" MMC modulu, kliknite na polo�ku �abl�ny certifik�tov prie�inok.
    2. Na pravej table kliknite na polo�ku �abl�na certifik�tu a potom Stla�en�m kombin�cie kl�vesov CTRL + A vyberte v�etky �abl�ny. Kliknite prav�m tla�idlom na vybratej �abl�ny, kliknite na tla�idloOdstr�ni�, a potom kliknite na tla�idlo �no.

Krok 7: Odstr�ni� certifik�ty uverejnen� na NtAuthCertificates objekt

Po odstr�nen� CA objektov, budete musie� odstr�ni� certifik�ty CA s� uverejnen� na NtAuthCertificates objekt. Pou�ite jeden z nasledovn�ch pr�kazov odstr�ni� certifik�ty do NTAuthCertificates skladu:The -viewdelstore Akcia vyvol� V�ber certifik�tu UI s�bor certifik�tov v �pecifikovan�ch attibute. M��ete zobrazi� podrobnosti certifik�tu. M��ete zru�i� z dial�gov�ho okna V�ber vykon�va� �iadne zmeny. Ak vyberiete osved�enie, toto osved�enie sa vyp���a ke� UI zatvor� a �pln� vykonanie pr�kazu.

Pou�ite nasledovn� pr�kaz zobrazi� cel� LDAP cestu k NtAuthCertificates objekt Active Directory:

Krok 8: Odstr��te datab�zy CA

Pri odin�talovan� certifika�n�ch slu�ieb je datab�za CA zosta� neporu�en� tak, �e certifika�n� �rad, mo�no znova vytvori� na inom serveri.

Na odstr�nenie CA datab�za, odstr�ni� %systemroot%\System32\Certlog prie�inok.

Krok 9: Vy�isti� radi�e dom�ny

Po odin�talovan� certifika�n� �rad mus� by� odstr�nen� certifik�ty, ktor� boli vydan� na radi�och dom�ny.

Chcete odstr�ni� certifik�ty, ktor� boli vydan� na radi�och dom�ny Windows Server 2000, pou�ite pom�cku Dsstore.exe od spolo�nosti Microsoft Windows 2000 Resource Kit.

Ak chcete odstr�ni� certifik�ty, ktor� boli vydan� s radi�mi dom�ny syst�mu Windows 2000 Server, postupujte nasledovne:

1. Kliknite na tla�idlo �tart, kliknite na tla�idlo Spusti�, typu cmd, a potom stla�te kl�ves ENTER.
2. V radi�i dom�ny, zadajte dsstore - dcmon Pr�kazov� riadok a potom stla�te kl�ves ENTER.
3. Typ 3, a potom stla�te kl�ves ENTER. T�to akcia odstr�ni v�etky certifik�ty na v�etk�ch radi�och dom�ny.
   
   Pozn�mka Dsstore.exe utilita sa pok�si overi� dom�nu radi� certifik�ty, ktor� vyd�vaj� na ka�dom radi�i dom�ny. Certifik�ty, ktor� nie je valid�ciu sa odstr�nia zo svojich pr�slu�n�ch dom�nov� radi�.

Ak chcete odstr�ni� certifik�ty, ktor� boli vydan� radi�e dom�n syst�mu Windows Server 2003, postupujte nasledovne.

D�le�it� Tento postup nepou��vajte, ak pou��vate certifik�ty, ktor� s� zalo�en� na verziu 1 dom�ny radi� �abl�ny.

1. Kliknite na tla�idlo �tart, kliknite na tla�idlo Spusti�, typu cmd, a potom stla�te kl�ves ENTER.
2. Do pr�kazov�ho riadka na radi�i dom�ny, zadajte certutil - dcinfo deleteBad.

Certutil.exe sa pok�si overi� v�etky DC certifik�ty, ktor� vyd�vaj� na radi�och dom�ny. Certifik�ty, ktor� nie je valid�ciu bud� odstr�nen�.

Na vyn�tenie uplat�ovania bezpe�nostnej politiky, postupujte nasledovne:

1. Kliknite na tla�idlo �tart, kliknite na tla�idlo Spusti�, typ cmd v Otvoren� pol��ko a potom stla�te kl�ves ENTER.
2. Do pr�kazov�ho riadka nap�te zodpovedaj�ci pr�kaz pre zodpovedaj�ce verziu opera�n�ho syst�mu a potom stla�te kl�ves ENTER:
   • Pre syst�m Windows Server 2000: secedit/refreshpolicy machine_policy / enforce
   • Pre syst�m Windows Server 2003: gpupdate/Force