Oturum a�

Select the product you need help with

Windows kurulu� sertifika yetkilisini a��a almak ve Windows Server 2003 ve Windows Server 2000 t�m ili�kili nesneleri kald�rmak i�in

Makale numaras�: 889250 - Bu makalenin ge�erli oldu�u �r�nleri g�r�n.

Otomatik terc�me makalelerin ne oldu�unu a��klayan yaz�y� okumak i�in buraya t�klay�n

�ngilizce ve T�rk�e'yi yan yana g�r�nt�leme

Buraya t�klayarak �ngilizce ve T�rk�e'yi yan yana g�r�nt�leyebilirsiniz.

Hepsini a� | Hepsini kapa

Bir sertifika yetkilisi (ca) kald�rd��n�zda, ca taraf�ndan verilmi� sertifikalar� genellikle hala bekleyen. Bekleyen sertifikalar �e�itli ortak anahtar altyap�s� istemci bilgisayarlar taraf�ndan i�lenir, do�rulama ba�ar�s�z olur ve bu sertifikalar� kullan�lmaz.

Bu makalede, bekleyen sertifikalar� iptal etme ve ba�ar�yla bir CA'y� kald�rman�z gereken �e�itli g�revleri tamamlaman�z a��klan�r. Ayr�ca, ca nesnelerini kendi etki alan�ndan kald�rmak yard�mc� olmak i�in kullanabilece�iniz �e�itli hizmet programlar� anlat�lmaktad�r.

�ste | Geri Bildirim Ver

G�R��

Bu ad�m ad�m makalede nas�l a��a a��klar bir Microsoft Windows kurulu� CA's� ve t�m ili�kili nesneleri kald�rma Active Directory dizin hizmeti.

1. Ad�m: kurulu� CA's� taraf�ndan verilen t�m etkin sertifikalar�n iptal et

' I t�klat�n Ba�lat, i�aretY�netimsel Ara�larve ard�ndan Sertifika Yetki.
CA'n�z�n geni�letin ve sonra t�klat�n Verilen Sertifikalar klas�r.
Sa� b�lmede, verilen sertifikalar�n birini t�klat�n, ve verilen t�m sertifikalar� se�mek i�in ctrl + a tu�lar�na bas�n.
Se�ili Sertifikalar'� sa� t�klat�n,'� t�klat�n T�m G�revleri ' � Sertifikay� iptal et.
��inde Sertifika �ptali ileti�im kutusu se�mek i�in t�klat�n. ��lem sonu Bunun nedeni �ptal ve sonra TAMAM.

2. Ad�m: crl yay�mlama aral�� Art�r

Sertifika Yetkilisi Microsoft Y�netim Konsolu'nda (mmc) ek bile�enini sa� t�klat�n �ptal edilen sertifikalar� klas�r, ' � �zellikler.
��inde crl yay�mlama aral�� kutusuna yeterince uzun de�eri ve sonra TAMAM.

Not Sertifika iptal listesi (crl) �mr�n�n olmal�d�r kalan ya�am s�resi olan sertifikalar i�in daha uzun iptal edildi.

Ad�m 3: yeni bir crl yay�mlama

Sertifika Yetkilisi mmc ek bile�eninde, sa��ptal edilen sertifikalar� klas�r.
' I t�klat�n T�m G�revlerve ard�ndanYay�mlama.
��inde crl yay�mlama ileti�im kutusunu t�klat�nYeni crlve ard�ndan TAMAM.

4. Ad�m: bekleyen herhangi bir istek reddetme

Varsay�lan olarak, kurulu� CA's� sertifika isteklerini depolamaz. Ancak bir y�netici, bu varsay�lan davran�� de�i�tirebilirsiniz. Bekleyen reddetmek i�in Sertifika istekleri, a�a��daki ad�mlar� izleyin:

Sertifika Yetkilisi mmc ek bile�eninde t�klat�n Bekleyen istekleri klas�r.
Sa� b�lmede, beklemedeki istekler birini t�klat�n ve sonra t�m bekleyen sertifikalar� se�mek i�in ctrl + a tu�lar�na bas�n.
Se�ili istekleri sa� t�klat�n,'� t�klat�n T�m G�revlerive ard�ndan �ste�i reddetmek.

Ad�m 5: Sertifika Hizmetleri sunucusundan kald�r�n.

Sertifika Hizmetleri'ni durdurmak i�in t�klat�n Ba�lat, ' � t�klat�n �al��t�r, t�r� cmdveTAMAM.
Komut istemine yaz�n. certutil -kapatma, sonra enter tu�una bas�n.

Yerel bilgisayar i�in t�m anahtar depolar� listelemek i�in a�a��dakileri yaz�n:certutil-anahtar komut isteminde. Bu komutu olacakt�r. t�m y�kl� olan �ifreleme hizmeti sa�lay�c�lar�n�n (csp) adlar�n� g�r�nt�leme ve her sa�lay�c� ile ili�kili anahtar depolar. Listelenen anahtar aras�nda ma�azalar, g�sterildi�i gibi birka� kez listelenen ca ad�n� g�r�rs�n�z A�a��daki �rnek.

(1)Microsoft Base Cryptographic Provider v1.0:
  1a3b2f44-2540-408b-8867-51bd6b6ed413
  MS IIS DCOM ClientSYSTEMS-1-5-18
  MS IIS DCOM Server
  Windows2000 Enterprise Root CA
  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

  afd1bc0a-a93c-4a31-8056-c0b9ca632896
  Microsoft Internet Information Server
  NetMon
  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

(5)Microsoft Enhanced Cryptographic Provider v1.0:
  1a3b2f44-2540-408b-8867-51bd6b6ed413
  MS IIS DCOM ClientSYSTEMS-1-5-18
  MS IIS DCOM Server
  Windows2000 Enterprise Root CA
  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

  afd1bc0a-a93c-4a31-8056-c0b9ca632896
  Microsoft Internet Information Server
  NetMon
  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

ca ile ili�kili �zel anahtar� silin. ��in Bunu yapmak i�in komut isteminde a�a��dakileri yaz�n:
certutil - delkey CertificateAuthorityName
Not ca ad�n�z bo�luklar i�eriyorsa, t�rnak i�inde ad� al�n i�aretler.

Bu �rnekte,CertificateAuthorityName Windows2000 kurulu� K�k ca. Bu nedenle, bu �rnekte komut sat�r� a�a��dad�r:
certutil - delkey "Windows2000 kurulu� k�k sertifika yetkilisi"
�zel anahtar yeniden do�rulamak i�in anahtar depolar� listelemek CA'n�z�n silindi.
CA'n�z�n �zel anahtar� sildikten sonra kald�rma Sertifika Hizmetleri. Bunu yapmak i�in �u ad�mlar� izleyin:
1. �yleyse sertifika yetkilisi mmc ek bile�enini kapat�n hala a��k.
2. ' I t�klat�n Ba�lat, i�aret Denetim Panelive ard�ndan Ekleme veya kald�rma Programlar.
3. ' I t�klat�n Windows Ekle/Kald�r Bile�enleri.
4. ��inde Bile�enleri kutusunu temizlemek i�in t�klat�n , Sertifika Hizmetleri onay kutusunu, t�klat�n Sonrakive ard�ndan y�nergeleri izleyin. Windows Bile�enleri Sihirbaz� Sertifika kald�rmay� tamamlamak i�in Hizmetleri.

6. Ad�m: ca nesnelerini Active Directory'den kald�rma

Ne zaman Microsoft Sertifika Hizmetleri y�kl� bir sunucuda, �yesiyse, etki alan� yap�land�rmas�nda birka� nesne olu�turulur Active Directory'deki kapsay�c�.

Bu nesneler �unlard�r:

certificateAuthority nesnesi
- cn bulunan AIA, cn = Public Key = Services, cn = Services, cn = Configuration, dc =ForestRootDomain.
- ca i�in ca sertifikas�n� i�erir.
- Yetkili bilgi eri�imi (AIA) yay�mland� konum.
crlDistributionPoint nesnesi
- Bulunan CN =SunucuAd�cn = cdp, cn = Public Key Hizmeti, cn = Services, cn = Configuration, dc =ForestRootdc = com.
- Taraf�ndan d�zenli olarak yay�mlanan crl i�eriyor. CA.
- Yay�mlanm�� crl da��t�m noktas� (cdp) Konum
certificationAuthority nesnesi
- cn bulunan sertifika yetkilileri, cn = Public Key = Services, cn = Services, cn = Configuration, dc =ForestRootdc = com.
- ca i�in ca sertifikas�n� i�erir.
pKIEnrollmentService nesnesi
- cn bulunan kay�t Services, cn = Public Key = Services, cn = Services, cn = Configuration, dc =ForestRootdc = com.
- Kurulu� CA's� taraf�ndan olu�turulur.
- Sertifika t�rleri hakk�nda bilgi i�erir. yap�land�r�lm�� ca verilecek. Bu nesne �zerindeki izinleri kontrol edebilirsiniz hangi g�venlik sorumlular�na kar�� bu ca kaydettirebilirsiniz.

ca kald�r�ld��nda, pKIEnrollmentService nesnesi kald�r�l�r. Bu istemciler kar�� kaydolma de�i�tirmelerine engel olur ca a��a. Sertifikalar, ��nk� di�er nesneler korunur ca taraf�ndan verilen b�y�k olas�l�kla hala �st�n olan. Bu sertifikalar olmal�d�r yordam� izleyerek �ptal "Ad�m 1: t�m etkin iptal et Kurulu� CA's� taraf�ndan verilen sertifikalar"b�l�m�.

��in Bu ba�ar�yla i�lemek i�in ortak anahtar altyap�s� (PKI) istemci bilgisayarlar� Bekleyen sertifika yetkilisi bilgileri bilgisayarlar� bulun Eri�imi (AIA) ve crl da��t�m yollar� Active Directory'de i�aretleyin. Yarar T�m bekleyen sertifikalar� iptal etmek, CRL'nin ya�am s�resini uzatmak i�in fikir, ve crl, Active Directory'de yay�mlayabilirsiniz. Bekleyen sertifikalar �e�itli PKI istemciler taraf�ndan i�lenen, do�rulama ba�ar�s�z olur ve bu Sertifika kullan�lmaz.

Korumak i�in �ncelikli de�ilse crl da��t�m noktas� ve Active Directory AIA bunlar� kald�rabilirsiniz nesneler. A�a��dakilerden birini veya birka��n� i�lemek d��n�yorsan�z, bu nesneleri kald�rmay�n Eskiden etkin dijital sertifikalar.

T�m sertifika kald�rma Active Directory Hizmetleri nesneleri

Not Active Directory orman�nda t�m ca nesnelerini kald�rd�ktan sonra Sertifika �ablonlar� kadar Active Directory'den kald�rmamal�s�n�z.

T�m sertifika kald�rmak i�in Active Directory Hizmetleri nesneleri i�in �u ad�mlar� izleyin:

CA'�n CACommonName belirler. Bunu yapmak i�in �u ad�mlar� izleyin:
1. ' I t�klat�n Ba�lat,'� t�klat�n �al��t�r, t�r� cmd i�inde A��k kutusunu t�klat�n ve sonra TAMAM.
2. T�r� certutil, sonra enter tu�una bas�n.
3. Not Ad� ca i�in ait de�eri. Bu yordam�n sonraki ad�mlar i�in CACommonName gerekir.
' I t�klat�n Ba�lat, i�aretY�netimsel Ara�larve ard�ndan Active Directory Siteleri ve Hizmetleri.
�zerinde G�r�n�m men�s�n� t�klat�nHizmetler d��m�n� G�ster.
Geni�let Hizmetleri, geni�letme Ortak anahtar Hizmetlerive ard�ndan AIA klas�r.
Sa� b�lmede sa� t�klat�nCertificationAuthority CA'n�z�n nesne �Silve ard�ndan Evet.
Sol b�lmesinde Active Directory Siteleri ve Hizmetleri mmc ek bile�enini t�klat�n CDP klas�r.
Sa� b�lmede kapsay�c� nesnesini bulun Sertifika Hizmetleri'nin y�kl� oldu�u sunucu. Kapsay�c�y� sa� t�klat�n, ' � t�klat�n Silve ard�ndan Evet iki kez.
Sol b�lmesinde Active Directory Siteleri ve Hizmetleri mmc ek bile�enini t�klat�n Sertifika yetkililerid��m.
Sa� b�lmede sa� t�klat�nCertificationAuthority CA'n�z�n nesne �Silve ard�ndan Evet.
Sol b�lmesinde Active Directory Siteleri ve Hizmetleri mmc ek bile�enini t�klat�n Kay�t hizmetleri d��m.
Sa� b�lmede do�rulamak pKIEnrollmentService Sertifika Hizmetleri kald�r�ld��nda, CA'n�z�n nesne kald�r�ld�. E�er Nesne silinmez, nesneyi sa� t�klat�n,'� t�klat�nSilve ard�ndan Evet.
T�m nesneleri bulamad�, bu ad�mlar� ger�ekle�tirdikten sonra baz� nesneler Active Directory i�inde kalm�� olabilir. Nesneleri Active Directory i�inde kalan bir CA'y� sonra temizlemek i�in herhangi bir ad nesneleri kalan olup olmad��n� belirlemek i�in �u ad�mlar� izleyin:
1. Komut sat�r�nda a�a��daki komutu yaz�n ve enter tu�una bas�n:
  Ldifde - r "cn =CACommonName"-d" cn = Public Key Services, cn = Services, cn = Configuration, dc =ForestRootdc = com "-f output.ldf
  Bu komutta, CACommonName temsil eder Ad� 1. ad�mda belirlenen de�eri. �rne�in, Ad� "CA1 Contoso" de�erdir a�a��dakileri yaz�n:
  Ldifde - r "CN = CA1 Contoso =" -d "CN = ortak anahtar services, cn = services, cn = configuration, dc = contoso, dc = com" -f remainingCAobjects.ldf
2. RemainingCAobjects.ldf dosyas�n� Not Defteri'nde a��n. Terimi yerine "changetype: ekleme" ile "changetype: Sil." Ard�ndan, silecek, Active Directory nesneleri yasal olup olmad��n� do�rulay�n.
3. Komut istemine a�a��daki komutu yaz�n ve sonra kalan ca nesnelerini Active Directory'den silmek i�in enter tu�una bas�n:
  ldifde -i -f remainingCAobjects.ldf
Sertifika �ablonlar�, t�m sertifika yetkililerinin silindi�ini eminseniz silin. 12 ad nesneleri kalan olup olmad��n� belirlemek i�in yineleyin.

�nemli Sertifika yetkilileri silininceye sertifika �ablonlar� silmemeniz gerekir. �ablonlar� yanl��l�kla sildiyseniz, a�a��daki ad�mlar� izleyin:
1. Siz oldu�unuzdan emin olun Sertifika Hizmetleri, Kurumsal �al��an bir sunucuya oturum a�m�� Y�netici.
2. Komut istemine a�a��daki komutu yaz�n ve enter tu�una bas�n:
  CD %WINDIR%\System32
3. A�a��daki komutu yaz�n ve enter tu�una bas�n:
  regsvr32 /i:i /n /s certcli.dll
  Bu eylemi yeniden olu�turur. Active Directory'de sertifika �ablonlar�.
Sertifika �ablonlar�'n� silmek i�in a�a��daki ad�mlar� izleyin.
1. Sol b�lmede "Active Directory Siteleri ve Hizmetleri" mmc ek bile�eni, sertifika �ablonlar�'n� t�klat�n klas�r.
2. Sa� b�lmede, bir sertifika �ablonu t�klat�n ve sonra T�m �ablonlar� se�mek i�in ctrl + a tu�lar�na bas�n. Se�ili �ablonu sa� t�klat�n,'� t�klat�nSilve ard�ndan Evet.

7. Ad�m: sertifikalar� NtAuthCertificates nesneyi yay�mlayan Sil

ca nesnelerini sildikten sonra yay�mlan�r ca sertifikalar� silmek zorunda NtAuthCertificates Nesne. NTAuthCertificates deposundaki sertifikalar� silmek i�in a�a��daki komutlardan birini kullan�n:

certutil - viewdelstore ldap: / / / cn = NtAuthCertificates, cn = Public Key
Hizmetleri,..., dc =ForestRootdc = com? cACertificate? temel? objectclass = certificationAuthority

certutil - viewdelstore ldap: / / / cn = NtAuthCertificates, cn = Public Key
Hizmetleri,..., dc =ForestRootdc = com? cACertificate? temel? objectclass = pKIEnrollmentService

Not Bu g�revi ger�ekle�tirmek i�in Kurumsal y�netici izinlerinizin olmas� gerekir.

, -viewdelstore Eylem k�mesi belirtilen attibute sertifikalar�, sertifika se�im kullan�c� Arabiriminin �a��r�r. Sertifika ayr�nt�lar� g�r�nt�leyebilirsiniz. Se�imi ileti�im d��nda hi�bir de�i�iklik iptal edebilirsiniz. Bir sertifika se�erseniz, bu sertifikan�n UI kapat�r ve tam komut y�r�t�l�r silinir.

Tam ldap yolunu g�rmek i�in a�a��daki komutu kullan�n. NtAuthCertificates Active Directory nesnesi:

certutil store-? |}] Findstr "cn = NTAuth"

8. Ad�m: ca veritaban� silme

Sertifika Hizmetleri kald�r�ld��nda, ca veritaban�nda de�il. B�ylece ca ba�ka bir sunucuda yeniden dokunulmadan.

��in ca veritaban�ndan kald�rmak i�in %systemroot%\System32\Certlog Sil klas�r.

9. Ad�m: etki alan� denetleyicilerini temiz

Etki alan� denetleyicileri i�in verilmi� sertifikalar bir ca kald�r�ld�ktan sonra kald�r�lmal�d�r.

Windows Server 2000 etki alan� denetleyicilerine verilmi� sertifikalar� kald�rmak i�in Microsoft Windows 2000 Resource Kit'ten Dsstore.exe yard�mc� program�n� kullan�n.

Windows Server 2000 etki alan� denetleyicileri i�in verilen sertifikalar� kald�rmak i�in �u ad�mlar� izleyin:

' I t�klat�n Ba�lat,'� t�klat�n �al��t�r, t�r� cmd, sonra enter tu�una bas�n.
Bir etki alan� denetleyicisinde yaz�n dsstore - dcmon Komut istemine yaz�p ENTER tu�una BASIN.
T�r� 3, sonra enter tu�una bas�n. Bu eylem, t�m etki alan� denetleyicilerinde t�m sertifika siler.

Not Her etki alan� denetleyicisi verilen etki alan� denetleyicisi sertifikalar� do�rulamak Dsstore.exe yard�mc� program� deneyecek. Kendi etki alan� denetleyicisi olmayan do�rulama sertifikalar� kald�r�l�r.

Windows Server 2003 etki alan� denetleyicilerine verilmi� sertifikalar� kald�rmak i�in a�a��daki ad�mlar� izleyin.

�nemli S�r�m 1 etki alan� denetleyicisi �ablonlar�na dayal� sertifikalar kullan�yorsan�z, bu yordam� kullanmay�n.

' I t�klat�n Ba�lat,'� t�klat�n �al��t�r, t�r� cmd, sonra enter tu�una bas�n.
Bir etki alan� denetleyicisinde komut istemine yaz�n. certutil - dcinfo deleteBad.

Verilen etki alan� denetleyicileri dc sertifikalar� do�rulamak certutil.exe �al��r. Olmayan do�rulama sertifikalar� kald�r�l�r.

G�venlik ilkesinin zorlamak i�in a�a��daki ad�mlar� izleyin:

' I t�klat�n Ba�lat,'� t�klat�n �al��t�r, t�r� cmd i�inde A��k kutusuna ve sonra da enter tu�una bas�n.
Komut isteminde, ilgili i�letim sistemi s�r�m� i�in uygun komutu yaz�n ve enter tu�una bas�n:
- Windows Server 2000 i�in: secedit/refreshpolicy machine_policy / enforce
- Windows Server 2003 i�in: gpupdate/force

�ste | Geri Bildirim Ver

�zellikler

Makale numaras�: 889250 - Son G�zden Ge�irme: 02 Mart 2012 Cuma - G�zden ge�irme: 1.0

Bu makaledeki bilginin uyguland�� durum:

Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Small Business Server 2003 Premium Edition
Microsoft Windows Small Business Server 2003 Standard Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Server

kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMttr

Otomatik Terc�me

�NEML�: Bu makale, bir ki�i taraf�ndan �evrilmek yerine, Microsoft makine-�evirisi yaz�l�m� ile �evrilmi�tir. Microsoft size hem ki�iler taraf�ndan �evrilmi�, hem de makine-�evrisi ile �evrilmi� makaleler sunar. B�ylelikle, bilgi bankam�zdaki t�m makalelere, kendi dilinizde ula�m�� olursunuz. Bununla birlikte, makine taraf�ndan �evrilmi� makaleler m�kemmel de�ildir. Bir yabanc�n�n sizin dilinizde konu�urken yapabilece�i hatalar gibi, makale; kelime da�arc��, s�z dizim kurallar� veya dil bilgisi a��s�ndan yanl��lar i�erebilir. Microsoft, i�eri�in yanl�� evrimi veya onun m��teri taraf�ndan kullan�m�ndan do�an; kusur, hata veya zarardan sorumlu de�ildir. Microsoft ayr�ca makine �evirisi yaz�l�m�n� s�k�a g�ncellemektedir.

Makalenin �ngilizcesi a�a��daki gibidir:889250

(http://support.microsoft.com/kb/889250/en-us/ )

�ste | Geri Bildirim Ver