Windows kurumsal sertifika yetkilisinin yetkisini alma ve tüm ilgili nesneleri kaldırma

Bu adım adım makalede, Microsoft Windows kurumsal CA'sının yetkisini alma ve Active Directory dizin hizmetinden ilgili tüm nesnelerin nasıl kaldırılacağı açıklanır.

Şunlar için geçerlidir: Windows Server
Özgün KB numarası: 889250

Özet

Bir sertifika yetkilisini (CA) kaldırdığınızda, CA tarafından verilen sertifikalar genellikle hala olağanüstü durumdadır. Bekleyen sertifikalar çeşitli Ortak Anahtar Altyapısı istemci bilgisayarları tarafından işlenirse doğrulama başarısız olur ve bu sertifikalar kullanılmaz.

Bu makalede, bekleyen sertifikaları iptal etme ve CA'yı başarıyla kaldırmak için gereken diğer çeşitli görevlerin nasıl tamamlandığı açıklanmaktadır. Ayrıca, bu makalede CA nesnelerini etki alanınızdan kaldırmanıza yardımcı olmak için kullanabileceğiniz çeşitli yardımcı programlar açıklanmaktadır.

1. Adım - Kurumsal CA tarafından verilen tüm etkin sertifikaları iptal etme

  1. Başlat'ı seçin, Yönetimsel Araçlar'ın üzerine gelin ve sertifika yetkilisi'ni seçin.
  2. CA'nızı genişletin ve Verilen Sertifikalar klasörünü seçin.
  3. Sağ bölmede, verilen sertifikalardan birini seçin ve ardından CTRL+A tuşlarına basarak verilen tüm sertifikaları seçin.
  4. Seçili sertifikalara sağ tıklayın, Tüm Görevler'i ve ardından Sertifikayı İptal Et'i seçin.
  5. Sertifika İptali iletişim kutusunda, iptal nedeni olarak İşlemi Durdur'u ve ardından Tamam'ı seçin.

2. Adım - CRL yayın aralığını artırma

  1. Sertifika Yetkilisi Microsoft Yönetim Konsolu (MMC) ek bileşeninde İptal Edilen Sertifikalar klasörüne sağ tıklayın ve özellikler'i seçin.
  2. CRL Yayın Aralığı kutusuna uygun bir uzun değer yazın ve Tamam'ı seçin.

Not

Sertifika İptal Listesi'nin (CRL) ömrü, iptal edilen sertifikalar için kalan yaşam süresinden daha uzun olmalıdır.

3. Adım - Yeni crl yayımlama

  1. Sertifika Yetkilisi MMC ek bileşeninde İptal Edilen Sertifikalar klasörüne sağ tıklayın.
  2. Tüm Görevler'i ve ardından Yayımla'yı seçin.
  3. CRL Yayımla iletişim kutusunda Yeni CRL'yi ve ardından Tamam'ı seçin.

4. Adım - Bekleyen istekleri reddetme

Varsayılan olarak, kuruluş CA'sı sertifika isteklerini depolamaz. Ancak, bir yönetici bu varsayılan davranışı değiştirebilir. Bekleyen sertifika isteklerini reddetmek için şu adımları izleyin:

  1. Sertifika Yetkilisi MMC ek bileşeninde Bekleyen İstekler klasörünü seçin.
  2. Sağ bölmede bekleyen isteklerden birini seçin ve ardından CTRL+A tuşlarına basarak bekleyen tüm sertifikaları seçin.
  3. Seçili isteklere sağ tıklayın, Tüm Görevler'i ve ardından İsteği Reddet'i seçin.

5. Adım - Sertifika Hizmetleri'ni sunucudan kaldırma

  1. Sertifika Hizmetleri'ni durdurmak için Başlat'ı seçin, Çalıştır'ı seçin, cmd yazın ve tamam'ı seçin.

  2. Komut isteminde certutil -shutdown yazın ve Enter tuşuna basın.

  3. Komut isteminde certutil -getreg CA\CSP\Provider yazın ve Enter tuşuna basın. Çıkıştaki Sağlayıcı değerini not edin. Örneğin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:
    
      Provider REG_SZ = Microsoft Software Key Storage Provider
    CertUtil: -getreg command completed successfully.
    

    Değer Microsoft Strong Şifreleme Sağlayıcısı veya Microsoft Gelişmiş Şifreleme Sağlayıcısı v1.0 ise, CertUtil -Key yazın ve Enter tuşuna basın.
    Değer Microsoft Yazılım Anahtarı Depolama Sağlayıcısı ise , CertUtil -CSP KSP -Key yazın ve Enter tuşuna basın.
    Değer başka bir değerse , CertUtil -CSP <PROVIDER NAME> -Key yazın ve Enter tuşuna basın.

    Bu komut, yüklü tüm şifreleme hizmeti sağlayıcılarının (CSP) ve her sağlayıcıyla ilişkili anahtar depolarının adlarını görüntüler. Listelenen anahtar depoları arasında listelenen ad CA'nızın adı olacaktır. Ad, aşağıdaki örnekte gösterildiği gibi birkaç kez listelenir:

    (1) Microsoft Temel Şifreleme Sağlayıcısı v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Sunucusu
    Windows2000 Enterprise Kök CA
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

    (5) Microsoft Gelişmiş Şifreleme Sağlayıcısı v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Sunucusu
    Windows2000 Enterprise Kök CA
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

  4. CA ile ilişkili özel anahtarı silin. Bunu yapmak için komut isteminde aşağıdaki komutu yazın ve Enter tuşuna basın:

    certutil -delkey CertificateAuthorityName
    

    Not

    CA adınız boşluk içeriyorsa, adı tırnak içine alın.

    Bu örnekte, sertifika yetkilisi adı Windows2000 Kurumsal Kök CA'dır. Bu nedenle, bu örnekteki komut satırı aşağıdaki gibidir:

    certutil -delkey "Windows2000 Enterprise Root CA"
    
  5. CA'nızın özel anahtarının silindiğini doğrulamak için anahtar depolarını yeniden listeleyin.

  6. CA'nızın özel anahtarını sildikten sonra Sertifika Hizmetleri'ni kaldırın. Bunu yapmak için, çalıştırdığınız Windows Server sürümüne bağlı olarak bu adımları izleyin.

    Kurumsal CA'yı kaldırıyorsanız, Enterprise Admins üyeliği veya eşdeğeri, bu yordamı tamamlamak için gereken en düşük değerdir. Daha fazla bilgi için bkz. Role-Based Yönetimi Uygulama.

    CA'yı kaldırmak için şu adımları izleyin:

    1. Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve Sunucu Yöneticisi'ı seçin.
    2. Rol Özeti'nin altında Rolleri Kaldır'ı seçerek Rol Kaldırma Sihirbazı'nı başlatın ve ardından İleri'yi seçin.
    3. Active Directory Sertifika Hizmetleri onay kutusunu temizlemek için seçin ve ardından İleri'yi seçin.
    4. Kaldırma Seçeneklerini Onayla sayfasında, bilgileri gözden geçirin ve kaldır'ı seçin.
    5. Internet Information Services (IIS) çalışıyorsa ve kaldırma işlemine devam etmeden önce hizmeti durdurmanız istenirse Tamam'ı seçin.
    6. Rol Kaldırma Sihirbazı tamamlandıktan sonra sunucuyu yeniden başlatın. Bu işlem, kaldırma işlemini tamamlar.

    Tek bir sunucuda birden çok Active Directory Sertifika Hizmetleri (AD CS) rol hizmeti yüklüyse yordam biraz farklıdır. CA'yı kaldırmak ancak diğer AD CS rol hizmetlerini tutmak için aşağıdaki adımları izleyin.

    Not

    Bu yordamı tamamlamak için CA'yı yükleyen kullanıcıyla aynı izinlerle oturum açmanız gerekir. Kurumsal CA'yı kaldırıyorsanız, Enterprise Admins üyeliği veya eşdeğeri, bu yordamı tamamlamak için gereken en düşük değerdir. Daha fazla bilgi için bkz. Role-Based Yönetimi Uygulama.

    1. Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve Sunucu Yöneticisi'ı seçin.
    2. Roller Özeti'nin altında Active Directory Sertifika Hizmetleri'ni seçin.
    3. Rol Hizmetleri'nin altında Rol Hizmetlerini Kaldır'ı seçin.
    4. Sertifika Yetkilisi onay kutusunu temizlemek için seçin ve ardından İleri'yi seçin.
    5. Kaldırma Seçeneklerini Onayla sayfasında, bilgileri gözden geçirin ve kaldır'ı seçin.
    6. IIS çalışıyorsa ve kaldırma işlemine devam etmeden önce hizmeti durdurmanız istenirse Tamam'ı seçin.
    7. Rol Kaldırma Sihirbazı tamamlandıktan sonra sunucuyu yeniden başlatmanız gerekir. Bu işlem, kaldırma işlemini tamamlar.

    Çevrimiçi Yanıtlayıcı hizmeti gibi kalan rol hizmetleri kaldırılan CA'dan verileri kullanacak şekilde yapılandırılmışsa, bu hizmetleri farklı bir CA'yı destekleyecek şekilde yeniden yapılandırmanız gerekir. CA kaldırıldıktan sonra sunucuda aşağıdaki bilgiler kalır:

    • CA veritabanı.
    • CA ortak ve özel anahtarları.
    • Ca'nın Kişisel deposundaki sertifikaları.
    • AD CS kurulumu sırasında paylaşılan bir klasör belirtildiyse, CA'nın paylaşılan klasördeki sertifikaları.
    • CA zincirinin Güvenilen Kök Sertifika Yetkilileri deposundaki kök sertifikası.
    • CA zincirinin Ara Sertifika Yetkilileri deposundaki ara sertifikaları.
    • CA'nın CRL'sini.

    Varsayılan olarak, CA'yı kaldırıp yeniden yüklerken bu bilgiler sunucuda tutulur. Örneğin, tek başına CA'yı kurumsal CA olarak değiştirmek istiyorsanız CA'yı kaldırıp yeniden yükleyebilirsiniz.

6. Adım - CA nesnelerini Active Directory'den kaldırma

Bir etki alanının üyesi olan bir sunucuya Microsoft Sertifika Hizmetleri yüklendiğinde, Active Directory'deki yapılandırma kapsayıcısında birkaç nesne oluşturulur.

Bu nesneler aşağıdaki gibidir:

  • certificateAuthority nesnesi

    • CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain konumunda bulunur.
    • CA için CA sertifikasını içerir.
    • Yayımlanan Yetkili Bilgileri Erişimi (AIA) konumu.
  • crlDistributionPoint nesnesi

    • CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com konumunda bulunur.
    • CA tarafından düzenli aralıklarla yayımlanan CRL'yi içerir.
    • Yayımlanan CRL Dağıtım Noktası (CDP) konumu.
  • certificationAuthority nesnesi

    • CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com konumunda bulunur.
    • CA için CA sertifikasını içerir.
  • pKIEnrollmentService nesnesi

    • CN=Kayıt Hizmetleri,CN=Ortak Anahtar Hizmetleri,CN=Hizmetler,CN=Yapılandırma,DC=ForestRoot,DC=com konumunda bulunur.
    • Kuruluş CA'sı tarafından oluşturulur.
    • CA'nın vermek üzere yapılandırdığı sertifika türleri hakkında bilgi içerir. Bu nesnedeki izinler, bu CA'ya hangi güvenlik sorumlularının kaydedilebileceğini denetleyebilir.

CA kaldırıldığında, yalnızca pKIEnrollmentService nesnesi kaldırılır. Bu, istemcilerin yetkisi alınmış CA'ya kaydolmaya çalışmasını engeller. CA tarafından verilen sertifikalar büyük olasılıkla hala olağanüstü olduğundan diğer nesneler korunur. Bu sertifikaların , 1. Adım - Kurumsal CA tarafından verilen tüm etkin sertifikaları iptal etme bölümündeki yordam izlenerek iptal edilmesi gerekir.

Ortak Anahtar Altyapısı (PKI) istemci bilgisayarlarının bu bekleyen sertifikaları başarıyla işlemesi için, bilgisayarların Active Directory'de Yetkili Bilgi Erişimi (AIA) ve CRL dağıtım noktası yollarını bulması gerekir. Tüm bekleyen sertifikaları iptal etmek, CRL'nin ömrünü uzatmak ve CRL'yi Active Directory'de yayımlamak iyi bir fikirdir. Bekleyen sertifikalar çeşitli PKI istemcileri tarafından işlenirse doğrulama başarısız olur ve bu sertifikalar kullanılmaz.

Active Directory'de CRL dağıtım noktasını ve AIA'yı korumak öncelikli değilse, bu nesneleri kaldırabilirsiniz. Eski etkin dijital sertifikalardan birini veya daha fazlasını işlemeyi bekliyorsanız bu nesneleri kaldırmayın.

Active Directory'den tüm Sertifika Hizmetleri nesnelerini kaldırma

Not

Active Directory ormanındaki tüm CA nesnelerini kaldırana kadar Active Directory'den sertifika şablonlarını kaldırmamalısınız.

Active Directory'den tüm Sertifika Hizmetleri nesnelerini kaldırmak için şu adımları izleyin:

  1. CA'nın CACommonName değerini belirleyin. Bunu yapmak için şu adımları uygulayın:

    1. Başlat'ı seçin, Çalıştır'ı seçin, kutusuna cmd yazın ve ardından Tamam'ı seçin.
    2. certutil yazın ve ENTER tuşuna basın.
    3. CA'nıza ait Olan Ad değerini not edin. Bu yordamın sonraki adımları için CACommonName gerekir.
  2. Başlat'ı seçin, Yönetimsel Araçlar'ın üzerine gelin ve ardından Active Directory Siteleri ve Hizmetleri'ni seçin.

  3. Görünüm menüsünde Hizmetler Düğümünü Göster'i seçin.

  4. Hizmetler'i genişletin, Ortak Anahtar Hizmetleri'ni genişletin ve ardından AIA klasörünü seçin.

  5. Sağ bölmede, CA'nızın CertificationAuthority nesnesine sağ tıklayın, Sil'i ve ardından Evet'i seçin.

  6. Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde CDP klasörünü seçin.

  7. Sağ bölmede Sertifika Hizmetleri'nin yüklü olduğu sunucunun kapsayıcı nesnesini bulun. Kapsayıcıya sağ tıklayın, Sil'i ve ardından evet'i iki kez seçin.

  8. Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde Sertifika Yetkilileri düğümünü seçin.

  9. Sağ bölmede, CA'nızın CertificationAuthority nesnesine sağ tıklayın, Sil'i ve ardından Evet'i seçin.

  10. Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde Kayıt Hizmetleri düğümünü seçin.

  11. Sağ bölmede Sertifika Hizmetleri kaldırıldığında CA'nız için pKIEnrollmentService nesnesinin kaldırıldığını doğrulayın. Nesne silinmezse, nesneye sağ tıklayın, Sil'i ve ardından Evet'i seçin.

  12. Tüm nesneleri bulamadıysanız, bu adımları gerçekleştirdikten sonra bazı nesneler Active Directory'de bırakılabilir. Active Directory'de nesneleri kalmış olabilecek bir CA'dan sonra temizlemek için, herhangi bir AD nesnesinin kalıp kalmadığını belirlemek için şu adımları izleyin:

    1. Komut satırına aşağıdaki komutu yazın ve ENTER tuşuna basın:

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf
      

      Bu komutta , CACommonName 1. adımda belirttiğiniz Ad değerini temsil eder. Örneğin, Ad değeri CA1 Contoso ise, aşağıdakileri yazın:

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf
      
    2. Not Defteri'nde kalanCAobjects.ldf dosyasını açın. changetype: add terimini changetype: delete ile değiştirin. Ardından, sildiğiniz Active Directory nesnelerinin geçerli olup olmadığını doğrulayın.

    3. Komut isteminde, aşağıdaki komutu yazın ve ardından kalan CA nesnelerini Active Directory'den silmek için ENTER tuşuna basın:

      ldifde -i -f remainingCAobjects.ldf
      
  13. Tüm sertifika yetkililerinin silindiğinden eminseniz sertifika şablonlarını silin. Herhangi bir AD nesnesinin kalıp kalmadığını belirlemek için 12. adımı yineleyin.

    Önemli

    Tüm sertifika yetkilileri silinmediği sürece sertifika şablonlarını silmemelisiniz. Şablonlar yanlışlıkla silinirse şu adımları izleyin:

    1. Sertifika Hizmetleri çalıştıran bir sunucuda Kuruluş yöneticisi olarak oturum açtığınızdan emin olun.

    2. Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:

      cd %windir%\system32
      
    3. Aşağıdaki komutu yazın ve ENTER tuşuna basın:

      regsvr32 /i:i /n /s certcli.dll
      

      Bu eylem, Active Directory'de sertifika şablonlarını yeniden oluşturur.

    Sertifika şablonlarını silmek için aşağıdaki adımları izleyin.

    1. Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde Sertifika Şablonları klasörünü seçin.
    2. Sağ bölmede bir sertifika şablonu seçin ve ardından Ctrl+A tuşlarına basarak tüm şablonları seçin. Seçili şablonlara sağ tıklayın, Sil'i ve ardından Evet'i seçin.

7. Adım - NtAuthCertificates nesnesine yayımlanan sertifikaları silme

CA nesnelerini sildikten sonra, nesnede yayımlanan NtAuthCertificates CA sertifikalarını silmeniz gerekir. Aşağıdaki komutlardan birini kullanarak depodan NTAuthCertificates sertifikaları silin:

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"
certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Not

Bu görevi gerçekleştirmek için Kuruluş Yöneticisi izinlerine sahip olmanız gerekir.

Eylem, -viewdelstore belirtilen öznitelikteki sertifika kümesinde sertifika seçimi kullanıcı arabirimini çağırır. Sertifika ayrıntılarını görüntüleyebilirsiniz. Değişiklik yapmak için seçim iletişim kutusundan iptal edebilirsiniz. Bir sertifika seçerseniz, kullanıcı arabirimi kapatıldığında ve komut tam olarak yürütülürken bu sertifika silinir.

Active Directory'nizdeki NtAuthCertificates nesnesinin tam LDAP yolunu görmek için aşağıdaki komutu kullanın:

certutil -viewdelstore -? | findstr "CN=NTAuth"

8. Adım - CA veritabanını silme

Sertifika Hizmetleri kaldırıldığında, CA veritabanının başka bir sunucuda yeniden oluşturulabilmesi için CA veritabanı olduğu gibi bırakılır.

CA veritabanını kaldırmak için %systemroot%\System32\Certlog klasörünü silin.

9. Adım - Etki alanı denetleyicilerini temizleme

CA kaldırıldıktan sonra, etki alanı denetleyicilerine verilen sertifikaların kaldırılması gerekir.

Windows Server 2000 etki alanı denetleyicilerine verilen sertifikaları kaldırmak için Microsoft Windows 2000 Kaynak Seti'nden Dsstore.exe yardımcı programını kullanın.

Windows Server 2000 etki alanı denetleyicilerine verilmiş sertifikaları kaldırmak için şu adımları izleyin:

  1. Başlat'ı seçin, Çalıştır'ı seçin, cmd yazın ve ENTER tuşuna basın.

  2. Bir etki alanı denetleyicisinde, komut istemine dsstore -dcmon yazın ve ENTER tuşuna basın.

  3. 3 yazın ve ENTER tuşuna basın. Bu eylem, tüm etki alanı denetleyicilerindeki tüm sertifikaları siler.

    Not

    Dsstore.exe yardımcı programı, her etki alanı denetleyicisine verilen etki alanı denetleyicisi sertifikalarını doğrulamayı dener. Doğrulanmamış sertifikalar ilgili etki alanı denetleyicilerinden kaldırılır.

Windows Server 2003 etki alanı denetleyicilerine verilen sertifikaları kaldırmak için aşağıdaki adımları izleyin.

Önemli

Sürüm 1 etki alanı denetleyicisi şablonlarını temel alan sertifikalar kullanıyorsanız bu yordamı kullanmayın.

  1. Başlat'ı seçin, Çalıştır'ı seçin, cmd yazın ve ENTER tuşuna basın.

  2. Bir etki alanı denetleyicisindeki komut istemine certutil -dcinfo deleteBad yazın.

    Certutil.exe etki alanı denetleyicilerine verilen tüm DC sertifikalarını doğrulamaya çalışır. Doğrulanmamış sertifikalar kaldırılır.

Güvenlik ilkesinin uygulanmasını zorlamak için şu adımları izleyin:

  1. Başlat'ı seçin, Çalıştır'ı seçin, kutusuna cmd yazın ve ENTER tuşuna basın.
  2. Komut isteminde, işletim sisteminin ilgili sürümü için uygun komutu yazın ve ENTER tuşuna basın:
    • Windows Server 2000 için:

      secedit /refreshpolicy machine_policy /enforce
      
    • Windows Server 2003 için:

      gpupdate /force