วิธีการ decommission หน่วยงานใบรับรอง Windows องค์กร และลบออบเจ็กต์ทั้งหมดที่เกี่ยวข้อง

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 889250 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

เมื่อคุณถอนการติดตั้งการรับรอง (CA), ใบรับรองที่นำออกใช้ตามที่ CA มีโดยทั่วไปจะยังคงค้างชำระ ถ้าใบรับรองค้างอยู่จะถูกประมวลผล โดยคอมพิวเตอร์ไคลเอนต์ที่โครงสร้างพื้นฐานของคีย์สาธารณะต่าง ๆ จะไม่ตรวจสอบ และจะไม่มีใช้ใบรับรองดังกล่าว

บทความนี้อธิบายวิธีการยกเลิกใบรับรองที่ค้างชำระและวิธีการทำงานอื่น ๆ ต่าง ๆ ที่จำเป็นที่เรียบร้อยแล้วถอนตัว CA นอกจากนี้ บทความนี้อธิบายเกี่ยวกับโปรแกรมอรรถประโยชน์ต่าง ๆ ที่คุณสามารถใช้เพื่อช่วยให้คุณสามารถเอาวัตถุ CA จากโดเมนของคุณ

คำแนะนำ

บทความทีละขั้นตอนนี้อธิบายวิธีการ decommission CA เป็นองค์กรการ Microsoft Windows และวิธีการเอาวัตถุที่เกี่ยวข้องทั้งหมดออกจากบริการไดเรกทอรี Active Directory

ขั้นตอนที่ 1: ยกเลิกใบรับรองที่ใช้งานอยู่ทั้งหมดที่มีการออกใช้ตาม CA ขององค์กร

  1. คลิกเริ่มชี้ไปที่เครื่องมือการจัดการและจากนั้น คลิกCertificationAuthority
  2. ขยาย CA ของคุณ แล้ว คลิ กโฟลเดอร์IssuedCertificates
  3. ในบานหน้าต่างด้านขวา คลิกหนึ่งในใบรับรองออกใช้ และจากนั้น กด CTRL + A เพื่อเลือกใบรับรองที่ออกใช้ทั้งหมด
  4. คลิกขวาใบรับรองที่เลือกAllTasksคลิก และจากนั้น คลิกยกเลิกใบรับรอง
  5. ในกล่องโต้ตอบการเพิกถอนใบรับรองคลิกเลือกหยุดของการดำเนินงานเป็นการ forrevocation เหตุผล และจากนั้น คลิกตกลง

ขั้นตอนที่ 2: เพิ่มช่วง CRL สิ่งพิมพ์

  1. ใน Console(MMC) การจัดการของ Microsoft ผู้ให้บริการออกใบรับรองสแนปอิน คลิกขวาที่โฟลเดอร์ใบรับรองที่ถูกเพิกถอนแล้ว คลิ กคุณสมบัติ
  2. ในกล่องช่วงเวลาของสิ่งพิมพ์ CRL , typea suitably ความยาวค่า นั้นแล้ว คลิกตกลง
หมายเหตุ อายุการใช้งานของรายการเพิกถอนใบรับรอง (CRL) ควรยาวกว่าอายุที่เหลือสำหรับใบรับรองที่ถูกเพิกถอนแล้ว

ขั้นตอนที่ 3: เผยแพร่ CRL ใหม่

  1. ในการออกใบรับรองหน่วยงาน MMC สแน็ปอิน คลิกขวาที่โฟลเดอร์ใบรับรองที่ถูกเพิกถอน
  2. คลิกงานทั้งหมดแล้ว คลิ กประกาศ
  3. ในกล่องโต้ตอบการเผยแพร่ CRLคลิกCRL ใหม่และจากนั้น คลิกตกลง

ขั้นตอนที่ 4: ปฏิเสธใด ๆ ที่ค้างอยู่รอการร้องขอ

โดยค่าเริ่มต้น enterprise CA เก็บการร้องขอใบรับรอง อย่างไรก็ตาม ผู้ดูแลสามารถเปลี่ยนลักษณะการทำงานเริ่มต้นนี้ เพื่อปฏิเสธการร้องขอใบรับรองที่ค้างอยู่ใด ๆ ให้ทำตามขั้นตอนเหล่านี้:
  1. ในการออกใบรับรองหน่วยงาน MMC สแน็ปอิน คลิกโฟลเดอร์คำขอ thePending
  2. ในบานหน้าต่างด้านขวา คลิกหนึ่งในคำขอที่ค้างอยู่ andthen กด CTRL + A เพื่อเลือกใบรับรองที่ค้างอยู่ทั้งหมด
  3. คลิกขวาร้องขอที่เลือก คลิAllTasksและจากนั้น คลิกปฏิเสธคำขอ

ขั้นตอนที่ 5: ถอน Certificate Services จากเซิร์ฟเวอร์

  1. เมื่อต้องการหยุดบริการใบรับรอง คลิกเริ่มคลิกเรียกใช้ชนิด คำสั่งแล้ว คลิกตกลง
  2. ที่พรอมต์คำสั่ง พิมพ์ certutil-ปิดเครื่องแล้ว กด Enter
  3. ที่พรอมต์คำสั่ง พิมพ์certutil-คีย์แล้ว กด Enter คำสั่งนี้จะแสดงชื่อของตัวทั้งหมดที่ติดตั้งเข้ารหัสลับให้บริการ (CSP) และร้านค้าที่เกี่ยวข้องกับผู้ให้บริการแต่ละคีย์ อยู่ในรายการเก็บคีย์ที่แสดงจะเป็นชื่อของ CA ของคุณ ชื่อจะแสดงรายการหลายครั้ง ดังที่แสดงในตัวอย่างต่อไปนี้:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. ลบคีย์ส่วนตัวที่เกี่ยวข้องกับ CA เมื่อต้องการทำเช่นนี้ ที่พร้อมท์คำสั่ง พิมพ์คำสั่งต่อไปนี้ และกด Enter:
    certutil - delkey CertificateAuthorityName
    หมายเหตุ ถ้าชื่อของ CA ของคุณประกอบด้วยช่องว่าง ล้อมชื่อดังกล่าวใน quotationmarks

    ในตัวอย่างนี้ ชื่อผู้ให้บริการออกใบรับรองคือ "Windows2000 องค์กร Root CA " ดังนั้น บรรทัดคำสั่งในตัวอย่างนี้จะเป็นดังนี้:
    certutil - delkey "Windows2000 Enterprise Root CA"
  5. รายการคีย์ร้านค้าอีกครั้งเพื่อตรวจสอบว่า มีการลบคีย์ส่วนตัวสำหรับ CA ของคุณ
  6. หลังจากที่คุณลบคีย์ส่วนตัวสำหรับ CA ของคุณ ถอนการติดตั้ง Certificate Services เมื่อต้องการทำเช่นนี้ ทำตามขั้นตอนต่อไป ขึ้นอยู่กับรุ่นของ Windows Server ที่คุณกำลังทำงานอยู่

    Windows Server 2003
    1. ปิดสแน็ปอิน MMC ของผู้ให้บริการออกใบรับรองนั้นยังคงเปิดอยู่
    2. คลิกเริ่มชี้ไปที่'แผงควบคุม'และจากนั้น คลิกเพิ่มหรือเอาโปรแกรมออก
    3. คลิก เพิ่ม/เอาคอมโพเนนต์ของ Windows ออก
    4. ในกล่องส่วนประกอบคลิกเพื่อยกเลิกเลือกกล่องกาเครื่องหมายCertificate Servicesคลิกถัดไปและจากนั้น ทำตามคำแนะนำในตัวช่วยสร้างคอมโพเนนต์ของ Windows เพื่อทำการลบ Certificate Services
    Windows Server 2008 และรุ่นที่ใหม่กว่า

    ถ้าคุณกำลังถอนการติดตั้ง enterprise CA เป็นสมาชิกในองค์กร Admins หรือเท่ากับ ไม่ต่ำสุดที่ต้องการเพื่อทำตามขั้นตอนนี้ สำหรับข้อมูลเพิ่มเติม ให้ดู ปฏิบัติตามบทบาทการจัดการ.

    เมื่อต้องการถอนการติดตั้ง CA ให้ทำตามขั้นตอนเหล่านี้:
    1. คลิกเริ่มชี้ไปที่เครื่องมือการจัดการและจากนั้น คลิกตัวจัดการเซิร์ฟเวอร์
    2. ภายใต้ข้อมูลสรุปของบทบาทคลิกเอาออกบทบาทเพื่อเริ่มตัวช่วยสร้างการเอาออกบทบาท และจากนั้น คลิกถัดไป
    3. คลิกเพื่อล้างกล่องกาเครื่องหมายCertificate Services สำหรับไดเรกทอรีที่ใช้งานอยู่และจากนั้น คลิกถัดไป
    4. บนหน้าตัวเลือกยืนยันการลบตรวจทานข้อมูล และจากนั้น คลิกเอาออก
    5. ถ้า Internet Information Services (IIS) กำลังรันอยู่ และคุณได้รับพร้อมท์เพื่อหยุดการบริการก่อนที่คุณดำเนินกระบวนการถอนการติดตั้ง คลิกตกลง
    6. หลังจากเสร็จสิ้นตัวช่วยสร้างการเอาออกบทบาท เริ่มเซิร์ฟเวอร์ใหม่ เสร็จสิ้นขั้นตอนการถอนการติดตั้ง
    ขั้นตอนจะแตกต่างเล็กน้อยถ้าคุณมีบริการบทบาทบริการใบรับรองไดเรกทอรีที่ใช้งานอยู่ (AD CS) หลายที่ติดตั้งอยู่บนเซิร์ฟเวอร์เดียวกัน เมื่อต้องการถอนการติดตั้ง CA แต่เก็บบริการอื่น ๆ บทบาท AD CS ให้ทำตามขั้นตอนเหล่านี้

    หมายเหตุคุณต้องเข้าสู่ระบบ ด้วยสิทธิ์เดียวกันเป็นผู้ใช้ที่ได้ติดตั้ง CA จะทำกระบวนงานนี้ ถ้าคุณกำลังถอนการติดตั้ง enterprise CA เป็นสมาชิกในองค์กร Admins หรือเท่ากับ ไม่ต่ำสุดที่ต้องการเพื่อทำตามขั้นตอนนี้ สำหรับข้อมูลเพิ่มเติม ให้ดู ปฏิบัติตามบทบาทการจัดการ.
    1. คลิกเริ่มชี้ไปที่เครื่องมือการจัดการและจากนั้น คลิกตัวจัดการเซิร์ฟเวอร์
    2. ภายใต้ข้อมูลสรุปของบทบาทคลิกCertificate Services สำหรับไดเรกทอรีที่ใช้งานอยู่
    3. ภายใต้บทบาทบริการคลิกเอาบริการบทบาท
    4. คลิกเพื่อล้างกล่องกาเครื่องหมายรับรองและจากนั้น คลิกถัดไป
    5. บนหน้าตัวเลือกยืนยันการลบตรวจทานข้อมูล และจากนั้น คลิกเอาออก
    6. ถ้าคุณกำลังเรียกใช้ IIS และพรอมต์ให้คุณหยุดบริการก่อนที่คุณดำเนินกระบวนการถอนการติดตั้ง คลิกตกลง
    7. หลังจากที่ตัวช่วยสร้างการเอาออกบทบาทเสร็จสมบูรณ์แล้ว คุณต้องเริ่มต้นเซิร์ฟเวอร์ เสร็จสิ้นขั้นตอนการถอนการติดตั้ง
    ถ้าเหลือบทบาทบริการ เช่นการบริการ ผู้ตอบสนองออนไลน์ถูกกำหนดค่าเพื่อใช้ข้อมูลจากการติดตั้ง CA คุณต้องกำหนดค่าการบริการเหล่านี้จะสนับสนุน CA แตกต่างกัน หลังจาก CA จะถอนการติดตั้ง ข้อมูลต่อไปนี้จะถูกปล่อยบนเซิร์ฟเวอร์:
    • ฐานข้อมูลของ CA
    • คีย์ส่วนตัว และสาธารณะของ CA
    • ใบรับรอง CA นั้นในเก็บส่วนบุคคล
    • ใบรับรอง CA นั้นในโฟลเดอร์ที่ใช้ร่วมกัน ถ้ามีระบุในระหว่างการติดตั้ง CS โฆษณาในโฟลเดอร์ที่ใช้ร่วมกัน
    • ใบรับรองหลักของสาย CA ในเก็บหน่วยงานออกใบรับรองหลักที่เชื่อถือได้
    • ใบรับรองระดับกลางห่วงโซ่ CA ในเก็บใบรับรองระดับกลาง
    • CRL ของ CA
    โดยค่าเริ่มต้น รายละเอียดนี้ถูกเก็บอยู่บนเซิร์ฟเวอร์ในกรณีที่คุณจะถอนการติดตั้ง และจากนั้น ติดตั้ง CA ตัวอย่างเช่น คุณอาจถอนการติดตั้ง และการติดตั้ง CA หากคุณต้องการเปลี่ยนแบบสแตนด์อโลน CA เป็น enterprise CA

ขั้นตอนที่ 6: เอาวัตถุ CA จากไดเรกทอรีที่ใช้งานอยู่

เมื่อมีการติดตั้ง Microsoft Certificate Services บนเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมน มีสร้างวัตถุต่าง ๆ ในการตั้งค่าคอนฟิกคอนเทนเนอร์ใน Active Directory

วัตถุเหล่านี้จะเป็นดังนี้:
  • วัตถุ certificateAuthority
    • อยู่ใน CN AIA, CN = =บริการคีย์สาธารณะ CN =บริการ CN =การตั้งค่าคอนฟิก DC =ForestRootDomain.
    • ประกอบด้วยใบรับรอง CA สำหรับ CA
    • ตำแหน่งการเข้าถึงข้อมูลของผู้ให้บริการออก (AIA) ที่เผยแพร่
  • วัตถุ crlDistributionPoint
    • อยู่ใน CN =ชื่อเซิร์ฟเวอร์, CN = CDP, CN =บริการคีย์สาธารณะ CN =บริการ CN =การตั้งค่าคอนฟิก DC =ForestRoot, DC = com
    • ประกอบด้วย CRL เผยแพร่ โดย CA เป็นระยะ ๆ
    • ตำแหน่งที่ตั้งของจุดแจกจ่าย CRL (CDP) ที่เผยแพร่แล้ว
  • วัตถุ certificationAuthority
    • อยู่ใน CN รับรอง CN = =บริการคีย์สาธารณะ CN =บริการ CN =การตั้งค่าคอนฟิก DC =ForestRoot, DC = com
    • ประกอบด้วยใบรับรอง CA สำหรับ CA
  • วัตถุ pKIEnrollmentService
    • อยู่ใน CN =บริการลงทะเบียน CN =บริการคีย์สาธารณะ CN บริการ CN = =การตั้งค่าคอนฟิก DC =ForestRoot, DC = com
    • สร้างตาม CA ขององค์กร
    • ประกอบด้วยรายละเอียดเกี่ยวกับชนิดของใบรับรอง CA มีการกำหนดค่าการตัดสินค้าจากคลัง สิทธิ์บนวัตถุนี้สามารถควบคุมความปลอดภัยที่รักษาสามารถลงทะเบียนกับ CA นี้
เมื่อ CA จะถอนการติดตั้ง วัตถุ pKIEnrollmentService เท่านั้นที่จะถูกเอาออก ซึ่งป้องกันไคลเอนต์จากการพยายามลงทะเบียนกับ decommissioned CA วัตถุอื่น ๆ จะถูกคงไว้เนื่องจากอาจจะมีใบรับรองที่ออก โดย CA ยังคงค้างชำระ ใบรับรองเหล่านี้ต้องถูกเพิกถอน โดยทำตามขั้นตอนในการ "ขั้นตอนที่ 1: การยกเลิกใบรับรองที่ใช้งานอยู่ทั้งหมดที่ออก โดยองค์กร CA " ส่วน

สำหรับโครงสร้างพื้นฐานของคีย์สาธารณะ (PKI) คอมพิวเตอร์ไคลเอนต์ให้เสร็จเรียบร้อยแล้วประมวลผลใบรับรองเหล่านี้คงค้าง คอมพิวเตอร์ต้องหาตำแหน่งเข้าถึงข้อมูลของผู้ให้บริการออก (AIA) และ CRL การกระจายจุดพาธในไดเรกทอรีที่ใช้งานอยู่ เป็นความคิดที่ดีเพื่อยกเลิกใบรับรองที่ค้างอยู่ทั้งหมด ขยายอายุการใช้งานของ CRL และการเผยแพร่ CRL ที่ในไดเรกทอรีที่ใช้งานอยู่ ถ้าใบรับรองค้างอยู่จะถูกประมวลผล โดยไคลเอ็นต์ PKI ต่าง ๆ จะไม่ตรวจสอบ และจะไม่มีใช้ใบรับรองดังกล่าว

ถ้าไม่มีลำดับความสำคัญเพื่อรักษาจุดแจกจ่าย CRL และ AIA ในไดเรกทอรีที่ใช้งานอยู่ คุณสามารถเอาวัตถุเหล่านี้ เอาวัตถุเหล่านี้ถ้าคุณคาดว่าจะดำเนินการอย่างน้อยหนึ่งใบรับรองดิจิทัลเคยใช้งานอยู่

เอาวัตถุบริการออกใบรับรองทั้งหมดจากไดเรกทอรีที่ใช้งานอยู่

หมายเหตุ คุณไม่ควรลบแม่แบบใบรับรองจากไดเรกทอรีที่ใช้งานอยู่จนกระทั่งหลังจากที่คุณลบวัตถุ CA ทั้งหมดในฟอเรสต์ไดเรกทอรีที่ใช้งานอยู่

เมื่อต้องการลบวัตถุบริการออกใบรับรองทั้งหมดจากไดเรกทอรีที่ใช้งานอยู่ ให้ทำตามขั้นตอนเหล่านี้:
  1. กำหนด CACommonName ของ CA ในการดำเนินการดังกล่าว ให้ทำตามขั้นตอนต่อไปนี้
    1. คลิกเริ่มคลิกเรียกใช้ชนิด คำสั่ง ในการเปิดกล่อง และจากนั้น คลิกตกลง
    2. ชนิด certutilแล้ว กด ENTER
    3. ให้จดชื่อค่าที่เป็นของ CA ของคุณ คุณจะต้องการ CACommonName สำหรับขั้นตอนต่อไปในภายหลังในขั้นตอนนี้
  2. คลิกเริ่มชี้ไปที่เครื่องมือการจัดการและจากนั้น คลิDirectorySites ที่ใช้งานอยู่และบริการ
  3. บนเมนูมุมมองคลิกแสดงโหนดบริการ
  4. ขยายบริการขยายKeyServices สาธารณะและจากนั้น คลิกโฟลเดอร์AIA
  5. ในบานหน้าต่างด้านขวา ให้คลิกขวาCertificationAuthority วัตถุสำหรับ CA ของคุณ คลิกลบและจากนั้น คลิกใช่
  6. ในบานหน้าต่างด้านซ้ายของไซต์ไดเรกทอรีที่ใช้งานอยู่และ ServicesMMC สแนปอิน คลิกCDP โฟลเดอร์
  7. ในบานหน้าต่างด้านขวา ค้นหาวัตถุคอนเทนเนอร์สำหรับ theserver ที่ติดตั้ง Certificate Services คลิกขวาที่คอนเทนเนอร์ คลิกลบแล้ว คลิ กใช่สองครั้ง
  8. ในบานหน้าต่างด้านซ้ายของไซต์ไดเรกทอรีที่ใช้งานอยู่และสแนปอิน ServicesMMC คลิกโหนดออกใบรับรอง
  9. ในบานหน้าต่างด้านขวา ให้คลิกขวาCertificationAuthority วัตถุสำหรับ CA ของคุณ คลิกลบและจากนั้น คลิกใช่
  10. ในบานหน้าต่างด้านซ้ายของไซต์ไดเรกทอรีที่ใช้งานอยู่และสแนปอิน ServicesMMC คลิกโหนดบริการลงทะเบียน
  11. ในบานหน้าต่างด้านขวา ตรวจสอบว่า การ pKIEnrollmentServiceobject สำหรับ CA ของคุณถูกเอาออกเมื่อ Certificate Services ถูกถอนการติดตั้ง วัตถุ Ifthe จะไม่ถูกลบ คลิกขวาวัตถุ คลิกลบแล้ว คลิ กใช่
  12. ถ้าคุณไม่ได้ระบุตำแหน่งวัตถุทั้งหมด ไม่มีบางวัตถุอาจสามารถปล่อยในไดเรกทอรีที่ใช้งานอยู่หลังจากคุณทำตามขั้นตอนเหล่านี้ การล้างหลังจาก CA ที่อาจมีปล่อยวัตถุใน Active Directory ให้ทำตามขั้นตอนเหล่านี้เพื่อกำหนดว่า วัตถุใด ๆ AD ยังคงอยู่:
    1. พิมพ์คำสั่งต่อไปนี้ที่บรรทัดคำสั่ง และกด ENTER:
      ldifde - r " cn =CACommonName" -d " CN =บริการคีย์สาธารณะ CN =บริการ CN =การตั้งค่าคอนฟิก DC =ForestRoot, DC = com " output.ldf -f
      ในคำสั่งนี้ CACommonName แสดงค่าของชื่อที่คุณกำหนดไว้ในขั้นตอนที่ 1 ตัวอย่างเช่น ถ้าค่าชื่อเป็น "CA1 Contoso" พิมพ์ต่อไปนี้:
      ldifde - r " cn = CA1 Contoso " -d " cn =บริการคีย์สาธารณะ cn บริการ cn = =การตั้งค่าคอนฟิก dc = contoso, dc = com " remainingCAobjects.ldf -f
    2. เปิดแฟ้ม remainingCAobjects.ldf ใน Notepad แทนคำ " changetype: เพิ่ม" กับ " changetype: ลบ"แล้ว ตรวจสอบว่า วัตถุ Active Directory ที่คุณจะลบไม่ถูกต้องหรือไม่
    3. ที่พรอมต์คำสั่ง พิมพ์คำสั่งต่อไปนี้ และจากนั้น กด ENTER เพื่อลบวัตถุ CA ที่เหลือจากไดเรกทอรีที่ใช้งานอยู่:
      ldifde -i -f remainingCAobjects.ldf
  13. ลบแม่แบบใบรับรองถ้าคุณแน่ใจว่า เก็บใบรับรองทั้งหมดจะถูกลบ ให้ทำซ้ำขั้นตอนที่ 12 เพื่อกำหนดว่า วัตถุใด ๆ AD ยังคงอยู่

    สิ่งสำคัญ คุณไม่ต้องลบแม่แบบใบรับรองนอกจากหน่วยงานใบรับรองได้ถูกลบไปแล้ว ถ้าแม่แบบถูกลบโดยไม่ตั้งใจ ให้ทำตามขั้นตอนเหล่านี้:
    1. ให้แน่ใจว่าคุณ arelogged บนไปยังเซิร์ฟเวอร์ที่กำลังเรียกใช้บริการใบรับรองเป็น Enterpriseadministrator
    2. บนหน้าจอพร้อมรับคำสั่ง พิมพ์คำสั่งต่อไปนี้ และกด ENTER:
      cd%windir%\system32
    3. พิมพ์คำสั่งต่อไปนี้ และกด ENTER:
      regsvr32 /i:i /n /scertcli.dll
      การกระทำนี้สร้างแม่แบบ thecertificate ในไดเรกทอรีที่ใช้งานอยู่อีกครั้ง
    เมื่อต้องการลบแม่แบบใบรับรอง ให้ทำตามขั้นตอนเหล่านี้
    1. ในบานหน้าต่างด้านซ้ายของสแน็ปอิน MMC "Active Directory ไซต์และบริการ" คลิก Templatesfolder ในใบรับรอง
    2. ในบานหน้าต่างด้านขวา คลิกแม่แบบใบรับรอง และ thenpress CTRL + A เพื่อเลือกแม่แบบทั้งหมด คลิกขวาแม่แบบที่เลือก คลิกลบและจากนั้น คลิกใช่

ขั้นตอนที่ 7: ลบใบรับรองที่ถูกประกาศไปยังวัตถุ NtAuthCertificates

หลังจากที่คุณลบวัตถุ CA คุณต้องลบใบรับรอง CA ที่ประกาศไปยังวัตถุNtAuthCertificates ใช้คำสั่งต่อไปนี้เพื่อลบใบรับรองจากภายในร้านค้า NTAuthCertificates:
certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN =คีย์สาธารณะ
บริการ,..., DC = ForestRoot, DC = com ? cACertificate ? พื้นฐาน? objectclass = certificationAuthority"

certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN =คีย์สาธารณะ
บริการ,..., DC = ForestRoot, DC = com ? cACertificate ? พื้นฐาน? objectclass = pKIEnrollmentService "
หมายเหตุ คุณต้องมีสิทธิ์ของผู้ดูแลระบบขององค์กรเพื่อดำเนินงานนี้
การดำเนินการ- viewdelstoreเรียกใช้รายการการเลือกใบรับรอง UI บนชุดของใบรับรองใน attibute ที่ระบุ คุณสามารถดูรายละเอียดใบรับรอง คุณสามารถยกเลิกออกจากกล่องโต้ตอบที่เลือกเพื่อทำการเปลี่ยนแปลงไม่ ถ้าคุณเลือกใบรับรอง ใบรับรองนั้นจะถูกลบออกเมื่อปิด UI และดำเนินการคำสั่งทั้งหมด

ใช้คำสั่งต่อไปนี้เพื่อดูเส้นทางของ LDAP แบบเต็มไปยังวัตถุNtAuthCertificatesในไดเรกทอรีที่ใช้งานอยู่ของคุณ:
ร้านค้า certutil-? | findstr " CN = NTAuth "

ขั้นตอนที่ 8: ลบฐานข้อมูล CA

เมื่อบริการออกใบรับรองจะถอนการติดตั้ง CA ฐานข้อมูลถูกทิ้งไว้ตามเดิมเพื่อให้ CA สามารถถูกสร้างบนเซิร์ฟเวอร์อื่นใหม่

เมื่อต้องการลบฐานข้อมูล CA ลบโฟลเดอร์ %systemroot%\System32\Certlog

ขั้นตอนที่ 9: ล้างข้อมูลตัวควบคุมโดเมน

หลังจาก CA จะถอนการติดตั้ง ใบรับรองที่นำออกใช้กับตัวควบคุมโดเมนต้องถูกเอาออก

เมื่อต้องการลบใบรับรองที่นำออกใช้กับตัวควบคุมโดเมน Windows Server 2000 ใช้ยูทิลิตี Dsstore.exe จาก Microsoft Windows 2000 Resource Kit

เมื่อต้องการลบใบรับรองที่ได้ออกไปยังตัวควบคุมโดเมน Windows Server 2000 ให้ทำตามขั้นตอนเหล่านี้:
  1. คลิกเริ่มคลิกเรียกใช้ชนิด คำสั่งแล้ว กด ENTER
  2. บนตัวควบคุมโดเมน พิมพ์ dsstore - dcmon ที่พรอมต์คำสั่ง จากนั้นกด ENTER
  3. ชนิด 3แล้ว กด ENTER การกระทำนี้ลบใบรับรองทั้งหมดในตัวควบคุมโดเมนทั้งหมด

    หมายเหตุ โปรแกรมอรรถประโยชน์นี้ Dsstore.exe จะพยายามตรวจสอบใบรับรองตัวควบคุมโดเมนที่ออกไปแต่ละตัวควบคุมโดเมน ใบรับรองที่ไม่มีการตรวจสอบจะถูกเอาออกจากตัวควบคุมโดเมนที่เกี่ยวข้องของพวกเขา
เมื่อต้องการลบใบรับรองที่นำออกใช้กับตัวควบคุมโดเมน Windows Server 2003 ให้ทำตามขั้นตอนเหล่านี้

สิ่งสำคัญ ใช้ขั้นตอนนี้ถ้าคุณกำลังใช้ใบรับรองที่ยึดตามแม่แบบตัวควบคุมโดเมนที่ 1 ของรุ่น
  1. คลิกเริ่มคลิกเรียกใช้ชนิด คำสั่งแล้ว กด ENTER
  2. พรอมต์คำสั่งบนตัวควบคุมโดเมน certutil - dcinfo deleteBad.
Certutil.exe พยายามตรวจสอบใบรับรอง DC ทั้งหมดที่ออกให้กับตัวควบคุมโดเมน ใบรับรองที่ไม่มีการตรวจสอบจะถูกเอาออก

เมื่อต้องการบังคับให้โปรแกรมประยุกต์ของนโยบายการรักษาความปลอดภัย ให้ทำตามขั้นตอนเหล่านี้:
  1. คลิกเริ่มคลิกเรียกใช้ชนิด คำสั่ง ในการเปิดกล่อง แล้วกด ENTER
  2. ที่พรอมต์คำสั่ง พิมพ์คำสั่งที่เหมาะสมสำหรับรุ่นของระบบปฏิบัติการที่สอดคล้องกัน จากนั้น กด ENTER:
    • สำหรับ Windows Server 2000: secedit /refreshpolicy machine_policy / บังคับใช้
    • สำหรับ Windows Server 2003: gpupdate /force

คุณสมบัติ

หมายเลขบทความ (Article ID): 889250 - รีวิวครั้งสุดท้าย: 24 ตุลาคม 2556 - Revision: 5.0
ใช้กับ
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
Keywords: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:889250

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com