Як деактивувати Windows підприємство сертифікації та видалення всіх пов'язаних об'єктів

Переклади статей Переклади статей
Номер статті: 889250 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

Підсумки

Під Вільний час видалення сертифікації (ЦС), сертифікати, які були випущені CA, як правило ще не врегульовані. Якщо видатні сертифікати обробляються різні Public Key Infrastructure клієнтські комп'ютери, перевірки не вдасться, і ці сертифікати не використовуватимуться.

Ця стаття описує як відкликати видатні сертифікатів і як повне різні завдання, які необхідно успішно видалити CA. Крім того, у цій статті описано різноманітні інструменти, які можна використовувати, щоб допомогти вам видалити CA об'єктів з домену.

Введення

У цій статті розповідається, як вивести з експлуатації Microsoft Windows підприємство CA та видалення всіх пов'язаних об'єктів зі служби каталогів служба Active Directory.

Крок 1: Скасувати всі активні сертифікати видані на підприємстві CA

  1. Натисніть кнопку Пуск, виберіть командуАдмініструваннята виберіть CertificationAuthority.
  2. Розширити ваш CA а потім клацніть каталог вхідних повідомлень IssuedCertificates .
  3. У правій області клацніть одне виданих сертифікатів і натисніть сполучення клавіш CTRL + A, щоб Виділити все видані сертифікати.
  4. Клацніть правою кнопкою миші вибрані сертифікати, натисніть AllTasks та натисніть кнопку Скасувати сертифікат.
  5. У діалоговому вікні Скасованих сертифікатів встановіть Припинити операцію як причина forrevocation і натисніть кнопку ОК.

Крок 2: Збільшити інтервал публікації списку CRL

  1. У Сертифікаційний орган Microsoft управління Console(MMC) оснастка клацніть правою кнопкою миші каталог вхідних повідомлень Відкликано сертифікатів і натисніть кнопку Властивості.
  2. У полі Інтервал публікації CRL typea відповідним чином довгі значення та натисніть кнопку ОК.
Примітка. Довічна список відкликаний сертифікат (CRL) повинні бути більше, ніж життя, що залишається для сертифікати, відкликані.

Крок 3: Опублікувати новий списку CRL

  1. У на Сертифікаційний орган оснастка MMC клацніть правою кнопкою каталог вхідних повідомленьВідкликано сертифікати .
  2. Виберіть пункт Усі завданняа потім клацнітьопублікувати.
  3. У діалоговому вікні Опублікувати CRL клацнітьНовий CRLі натисніть кнопку ОК.

Крок 4: Заперечують будь-яку очікуванні запити

Типово підприємство CA не зберігає сертифікат запити. Однак, адміністратор може змінити цю настройку за промовчанням. Щоб заборонити будь-які запити очікування сертифікат, виконайте такі дії:
  1. У на Сертифікаційний орган оснастка MMC клацніть каталог вхідних повідомлень thePending запити.
  2. В області праворуч клацніть один із незакінчений запити, andthen прес CTRL + A, щоб Виділити все очікування сертифікати.
  3. Клацніть правою кнопкою миші виділений запити, клацніть AllTasksта виберіть команду Відхилити запит.

Крок 5: Видалити служби сертифікації від сервера

  1. Щоб зупинити служби сертифікації, натисніть кнопку почати, натисніть кнопку запустити, тип cmdі натисніть кнопку ОК.
  2. У командному рядку введіть certutil-завершення роботи, а потім натисніть клавішу Enter.
  3. У командному рядку введітьcertutil-ключ, а потім натисніть клавішу Enter. Ця команда буде відображено імена всіх встановлених криптографічні постачальників послуг (CSP) і ключових магазинів, які пов'язані з кожної пошукової служби. У списку серед зазначених ключових магазинів буде ім'я вашого CA. Ім'я, будуть перераховані кілька разів, як показано в наступному прикладі:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Видалити за допомогою закритого ключа, пов'язаного з КР. Для цього, у командному рядку введіть таку команду та натисніть клавішу Enter:
    certutil - delkey CertificateAuthorityName
    Примітка. Якщо ваше ім'я CA пробілами, візьміть його ім'я в quotationmarks.

    У цьому прикладі ім'я сертифіката влади є "Windows2000 підприємство корінь CA." Таким чином, командний рядок в цьому прикладі виглядає наступним чином:
    certutil - delkey "Windows2000 підприємство кореневий ЦС"
  5. Список ключових магазини ще раз, щоб переконатися, що приватний ключ для вашого CA було видалено.
  6. Після видалення закритий ключ для вашого CA, видалити служби сертифікації. Для цього виконайте такі інтерактивні елементи, залежно від версії Windows Server, яку ви використовуєте.

    Windows Server 2003
    1. Закрити оснастка MMC орган сертифікації, якщо це як і раніше відкритий.
    2. Натисніть кнопку Пуск, виберіть Панель керуваннята виберіть пункт Установка й видалення програм.
    3. Натисніть кнопку Додати/видалити компоненти Windows.
    4. У полі компонентів клацніть зніміть прапорець поруч із пунктом Служби сертифікації , натисніть кнопку Даліі дотримуйтесь інструкцій у майстрі компонентів Windows видалення служби сертифікації.
    Windows Server 2008 і пізніших версій

    Якщо ви видаляєте підприємства CA, членство в Enterprise адміністраторам, або еквівалент, є мінімальним, потрібний для виконання цієї процедури. Щоб отримати додаткові відомості див. Здійснення рольового адміністрації.

    Щоб видалити Такси, виконайте такі дії:
    1. Натисніть кнопку Пуск, виберіть команду Адмініструванняі натисніть кнопку Server Manager.
    2. Ролі резюменатисніть кнопку Видалити ролей для запуску майстра видалити ролей і натисніть кнопку Далі.
    3. Зніміть прапорець поруч із пунктом Сертифікат служб служба Active Directory і натисніть кнопку Далі.
    4. На сторінці Підтвердження видалення параметрів огляд інформації та натисніть кнопку Видалити.
    5. Якщо запущено інформаційних служб Інтернету (IIS), буде запропоновано зупинити службу, перш ніж продовжити з процесу видалення натисніть кнопку ОК.
    6. Після того, як видалити ролей майстер закінчена, перезавантажте сервер. Це завершує процес видалення.
    Процедура є дещо відрізняється, за наявності кількох служб служба Active Directory сертифікат (оголошення CS) роль служби, інстальовані на одному сервері. Щоб видалити Такси, але зберегти інші служба сертифікації AD CS роль застосунок-служба, виконайте такі інтерактивні елементи.

    Примітка.Вам необхідно увійти до системи з ті ж самі дозволи, як користувач, який установлював CA для виконання цієї процедури. Якщо ви видаляєте підприємства CA, членство в Enterprise адміністраторам, або еквівалент, є мінімальним, потрібний для виконання цієї процедури. Щоб отримати додаткові відомості див. Здійснення рольового адміністрації.
    1. Натисніть кнопку Пуск, виберіть команду Адмініструванняі натисніть кнопку Server Manager.
    2. Ролі резюмеклацніть Сертифікат служб служба Active Directory.
    3. Під Ролей застосунок-службанатисніть кнопку Видалити роль послуг.
    4. Зніміть прапорець поруч із пунктом Центром сертифікації і натисніть кнопку Далі.
    5. На сторінці Підтвердження видалення параметрів огляд інформації та натисніть кнопку Видалити.
    6. Якщо IIS запущено, відобразиться зупинити службу, перш ніж продовжити процес видалення протокол IMAP, натисніть кнопку ОК.
    7. Після того, як закінчена майстра видалити ролей, потрібно перезапустити сервер. Це завершує процес видалення.
    Якщо залишилися роль послуг, таких як онлайн автовідповідач служби, були налаштовані на сценарій виконання даних від видалити Каліфорнія, потрібно перенастроїти ці застосунок-служба на підтримку різних CA. Після того, як видаляти Такси, така інформація залишається на сервері:
    • CA бази даних
    • CA відкритими та закритими ключами
    • Сертифікати на CA у сховищі особистих
    • Сертифікати на CA у спільній папці, якщо спільні папки було вказано під Вільний час інсталяції служба сертифікації AD CS
    • CA ланцюг кореневого сертифіката у сховищі довірених кореневих центрів сертифікації
    • CA ланцюжок проміжних сертифікатів у сховищі проміжних центри сертифікації
    • В CA CRL
    За промовчанням ця інформація зберігається на сервері, у випадку, якщо ви видалити та повторно інсталювати CA. Наприклад, може видалити і перевстановити CA, якщо ви хочете змінити автономний CA на підприємстві CA.

Крок 6: Видалення CA об'єктів служба Active Directory

Коли Microsoft служби сертифікації встановлено на сервері, який входить до складу домену, кілька об'єкти, створені в конфігурації контейнерів в служба Active Directory.

Ці об'єкти є наступні:
  • certificateAuthority об'єкта
    • Розташована в CN = AIA, CN = громадських основних послуг, CN = послуг, CN конфігурації, DC = =ForestRootDomain.
    • Містить сертифікат центру сертифікації для CA.
    • Розташування публікації авторитет інформації доступу (AIA).
  • crlDistributionPoint об'єкта
    • Розташована в CN =Ім'я сервераCN = CDP, CN = громадських ключовим сервісом, CN = послуг, CN конфігурації, DC = =ForestRootDC = com.
    • Містить CRL періодично опубліковані CA.
    • Розташування публікації точка розповсюдження списку CRL (CDP)
  • certificationAuthority об'єкта
    • Розташована в CN = центри сертифікації, CN = громадських основних послуг, CN = послуг, CN конфігурації, DC = =ForestRootDC = com.
    • Містить сертифікат центру сертифікації для CA.
  • pKIEnrollmentService об'єкта
    • Розташована в CN = зарахування послуг, CN = громадських основних послуг, CN = послуг, CN конфігурації, DC = =ForestRootDC = com.
    • Створено підприємство CA.
    • Містить відомості про типи сертифікатів CA був налаштований на питання. Дозволів на цей об'єкт можна контролювати, які безпеки принципи можна записатися проти цього CA.
Коли видалив CA, тільки pKIEnrollmentService об'єкт буде видалено. Це запобігає клієнтів намагається вступити проти списаних CA. Інші предмети зберігаються, тому що сертифікати, що видаються CA, ймовірно, ще не врегульовані. Ці сертифікати повинні бути скасована за наступні процедури в в "Крок 1: скасувати всі активні сертифікати видані на підприємстві CA" розділу.

Для громадської інфраструктури ключа ((PKI) клієнтські комп'ютери успішно обробити ці видатні сертифікати комп'ютери повинні знайдіть авторитет інформації доступу (AIA) і CRL розподілу точка контури в служба Active Directory. Це гарна ідея, щоб скасувати всі сертифікати видатні подовжуєте строк до списку CRL та опублікувати у списку CRL в служба Active Directory. Якщо видатні сертифікати обробляються різні PKI клієнтів, перевірки не вдасться, і ці сертифікати не використовуватимуться.

Якщо це не є пріоритетом для підтримки Точка розподілення CRL і AIA у служба Active Directory, ви можете видалити цих об'єктів. Не видаляйте ці об'єкти, якщо ви збираєтеся обробляти один або кілька раніше активні цифрових сертифікатів.

Видалити всі об'єкти сертифікації послуг з служба Active Directory

Примітка. Не слід знімати сертифікат шаблони з служба Active Directory, поки після того, як видалити всі об'єкти CA в лісі служба Active Directory.

Щоб видалити всі об'єкти сертифікації послуг з служба Active Directory, виконайте такі дії:
  1. Визначити CACommonName CA. Для цього виконайте такі інтерактивні елементи.
    1. Натисніть кнопку почати, натисніть кнопку запустити, тип cmd у відкриті вікна а потім клацніть OK.
    2. Тип certutil, а потім натисніть клавішу ENTER.
    3. Занотуйте ім'я -значення, що належить до вашої CA. Вам знадобиться на CACommonName для наступних етапах в цій процедурі.
  2. Натисніть кнопку ПускпунктАдмініструваннята виберіть пункт активне DirectorySites і послуг.
  3. У меню вигляд виберіть командуПоказати застосунок-служба вузол.
  4. Розширюємо застосунок-службарозширити Громадських KeyServicesта виберіть пункт папка AIA .
  5. У правій області вікна клацніть правою кнопкою миші наCertificationAuthority об'єкт для вашого CA, натиснітьВидалитиі натисніть кнопку так.
  6. У лівій області Active Directory-сайты и ServicesMMC оснастка, клацніть на CDP папки.
  7. В області праворуч знайдіть контейнерного об'єкта для theserver, якому інстальовано сертифікат послуг. Клацніть правою кнопкою миші контейнер, клацніть Видалитиі натисніть кнопку так два рази.
  8. У лівій області Active Directory-сайты и ServicesMMC оснастка клацніть вузол Центрів сертифікації.
  9. У правій області вікна клацніть правою кнопкою миші наCertificationAuthority об'єкт для вашого CA, натиснітьВидалитиі натисніть кнопку так.
  10. У лівій області Active Directory-сайты и ServicesMMC оснастка клацніть вузол Зарахування застосунок-служба .
  11. У правій області переконайтеся, що pKIEnrollmentServiceobject для вашого CA зняли коли сертифікат послуг було видалено. Не видалити ifthe об'єкт, клацніть правою кнопкою миші об'єкт, натиснітьВидалитиі натисніть кнопку так.
  12. Якщо ви не знайти всі об'єкти, деякі об'єкти може залишитися в служба Active Directory після того, як ви виконувати такі інтерактивні елементи. Щоб прибирати за ЦС, який, можливо, залишила об'єктів у служба Active Directory, виконайте наведені нижче інтерактивні елементи для визначення, чи будь-які оголошення об'єкти залишаються
    1. Введіть наступну команду в командному рядку та натисніть клавішу ENTER:
      Програма LDIFDE - r "cn =CACommonName"-d" CN = громадських основних послуг, CN = послуг, CN конфігурації, DC = =ForestRootDC = com "output.ldf -f
      У цій команді CACommonName представляє ім'я значення, визначене на кроці 1. Наприклад, якщо ім'я значення "СА1 Contoso", введіть таке:
      LDIFDE - r "cn = СА1 Contoso" -d "cn = громадських основних послуг, cn = послуг, cn = конфігурації, dc = contoso, dc = com" remainingCAobjects.ldf -f
    2. Відкрити remainingCAobjects.ldf файл в Блокноті. Замінити термін "changetype: додати" з "changetype: видалити.»Потім перевірити, чи правомірні служба Active Directory об'єкти, які буде видалено.
    3. У командному рядку введіть таку команду та натисніть клавішу ENTER, щоб видалити залишилися CA об'єкти з Active Directory:
      Програма LDIFDE -i -f-remainingCAobjects.ldf
  13. Видалити сертифікат шаблони, якщо ви впевнені, що всі служби сертифікації видалення. Повторіть крок 12, щоб визначити, чи є будь-які оголошення об'єкти залишаються.

    Важливо. Не шаблонів сертифікатів, які потрібно видалити, якщо видалено всі служби сертифікації. Якщо шаблони випадково видалені, виконайте такі дії:
    1. Переконайтеся що ви arelogged на сервер, який працює під керуванням служби сертифікації й Enterpriseadministrator.
    2. У командному рядку введіть таку команду та натисніть клавішу ENTER:
      CD%WINDIR%\system32
    3. Введіть таку команду та натисніть клавішу ENTER:
      regsvr32 /i:i /n /scertcli.dll
      Ця дія наново створює thecertificate шаблони у службі служба Active Directory.
    Щоб видалити сертифікат шаблони, виконайте такі інтерактивні елементи.
    1. У лівій області оснастка MMC «Служб служба Active Directory сайтів і» клацніть сертифікат Templatesfolder.
    2. В області праворуч клацніть шаблон сертифіката та thenpress CTRL + A, щоб Виділити все шаблони. Клацніть правою кнопкою миші виділений шаблони, натиснітьВидалитиі натисніть кнопку так.

Крок 7: Видалити сертифікатів, що опубліковані на NtAuthCertificates об'єкт

Після видалення CA об'єктів, ви повинні видалити сертифікатів центру сертифікатів, які публікуються до NtAuthCertificates об'єкта. Видалити сертифікати від в рамках NTAuthCertificates магазину за допомогою будь-який з наступних команд:
certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN = відкритий ключ
застосунок-служба,..., DC = ForestRoot, DC = com? cACertificate? бази? objectclass = certificationAuthority"

certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN = відкритий ключ
застосунок-служба,..., DC = ForestRoot, DC = com? cACertificate? бази? objectclass = pKIEnrollmentService "
Примітка. Дозвіл підприємства адміністратора для виконання цього завдання.
-Viewdelstore дія викликає вибір сертифіката інтерфейсу користувача на знімальному майданчику сертифікатів у вказаному attibute. Можна переглянути відомості про сертифікат. Ви можете відмінити поза діалогове вікно вибору зробити ніяких змін. Якщо вибрати сертифікат цього сертифіката видаляється коли UI закривається, і команда повністю виконана.

Використовувати наступну команду, щоб побачити повний LDAP шлях до NtAuthCertificates об'єкту в Active Directory:
certutil магазину-? | findstr "CN = NTAuth"

Крок 8: Видалити CA базу даних

Коли видалив сертифікації послуг, база даних CA залишається незмінним, щоб CA може бути відновлена на іншому сервері.

Щоб видалити CA базу даних, видаліть каталог вхідних повідомлень %systemroot%\System32\Certlog.

Крок 9: очищення контролерів домену

Після того, як видаляти CA, сертифікати, які були випущені на контролерах домену потрібно видалити.

Видалити сертифікати, які були випущені на контролерах домену Windows Server 2000, використайте утиліту Dsstore.exe від Microsoft Windows 2000 Resource Kit.

Видалити сертифікати, які були випущені на контролерах домену Windows Server 2000, виконайте такі дії:
  1. Натисніть кнопку почати, натисніть кнопку запустити, тип cmd, а потім натисніть клавішу ENTER.
  2. На контролері домену введіть dsstore - dcmon в командному рядку та натисніть клавішу ENTER.
  3. Тип 3, а потім натисніть клавішу ENTER. Ця дія видалить всі сертифікати на всіх контролерах домену.

    Примітка. Утиліта Dsstore.exe буде намагатися перевірити домен контролер сертифікати видані до кожного контролера домену. Сертифікати, які специфікації не видаляються з їх відповідних контролера.
Видалити сертифікати, які були випущені на контролерах домену Windows Server 2003, виконайте такі інтерактивні елементи.

Важливо. Не використовуйте цю процедуру, якщо ви використовуєте сертифікати, які базуються на версію 1 домен контролер шаблони.
  1. Натисніть кнопку почати, натисніть кнопку запустити, тип cmd, а потім натисніть клавішу ENTER.
  2. У командному рядку на контролері домену введіть certutil - dcinfo deleteBad.
Certutil.exe намагається перевірити всі DC сертифікати, що видаються для контролерів домену. Сертифікати, які специфікації не видаляються.

Для примусового застосування політики безпеки, виконайте такі дії:
  1. Натисніть кнопку почати, натисніть кнопку запустити, тип cmd у відкриті вікна а потім натисніть клавішу ENTER.
  2. У командному рядку введіть відповідну команду для відповідна версія операційної системи і натисніть клавішу ENTER:
    • Для Windows Server 2000: secedit /refreshpolicy machine_policy / забезпечення дотримання
    • Для Windows Server 2003: gpupdate /force

Властивості

Номер статті: 889250 - Востаннє переглянуто: 24 жовтня 2013 р. - Редакція: 2.0
Застосовується до:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
Ключові слова: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 889250

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com