Làm th? nào đ? vô hi?u hóa m?t t? ch?c ch?ng ch? doanh nghi?p c?a Windows và lo?i b? các đ?i tư?ng liên quan đ?n t?t c?

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 889250 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

Tóm t?t

Khi b?n g? cài đ?t chuyên bi?t m?t th?m quy?n xác th?c (CA), ch?ng ch? đư?c phát hành b?i CA là thư?ng v?n xu?t s?c. N?u gi?y ch?ng nh?n xu?t s?c đư?c x? l? b?i các máy tính khách hàng cơ s? h? t?ng khóa công c?ng khác nhau, xác nh?n s? không thành công, và nh?ng ch?ng ch? s? không đư?c s? d?ng.

Bài vi?t này mô t? làm th? nào đ? thu h?i gi?y ch?ng nh?n xu?t s?c và làm th? nào đ? hoàn thành nhi?u tác v? khác, đư?c yêu c?u đ? thành công g? b? m?t CA. ngoài ra, bài vi?t này mô t? m?t s? ti?n ích mà b?n có th? s? d?ng đ? giúp b?n lo?i b? các đ?i tư?ng CA t? mi?n c?a b?n.

GI?I THI?U

Bài vi?t t?ng bư?c này mô t? làm th? nào đ? vô hi?u hóa m?t doanh nghi?p Microsoft Windows CA, và làm th? nào đ? lo?i b? t?t c? các đ?i tư?ng có liên quan t? b?n ghi d?ch v? m?c tin thư thoại Thư mục Họat động.

Bư?c 1: Thu h?i t?t c? các ch?ng ch? ho?t đ?ng đư?c phát hành b?i doanh nghi?p CA

  1. Nh?p vào B?t đ?u, đi?m đ?nCông c? qu?n tr?, và sau đó nh?p vào CertificationAuthority.
  2. M? r?ng c?a b?n CA, và sau đó nh?p vào m?c tin thư thoại IssuedCertificates .
  3. Trong ngăn ph?i, b?m vào m?t trong các gi?y ch?ng nh?n đ? ban hành, và sau đó nh?n CTRL + A đ? Chọn Tất cả c?p gi?y ch?ng nh?n.
  4. B?m chu?t ph?i vào ch?ng ch? đ? ch?n, b?m vào AllTasks, và sau đó b?m vào Thu h?i ch?ng ch?.
  5. Trong hộp thoại Thu h?i ch?ng ch? , b?m vào đ? ch?n Ng?ng ho?t đ?ng như l? do forrevocation, và sau đó nh?p vào OK.

Bư?c 2: Tăng kho?ng th?i gian xu?t b?n CRL

  1. ? các c?p gi?y ch?ng nh?n quy?n Microsoft qu?n l? Console(MMC) snap-in, b?m chu?t ph?i vào m?c tin thư thoại Thu h?i ch?ng ch? , và sau đó b?m thu?c tính.
  2. Trong Kho?ng th?i gian xu?t b?n CRL h?p, typea phù h?p dài giá tr?, và sau đó nh?p vào OK.
Lưu ? Đ?i c?a danh sách thu h?i ch?ng ch? (CRL) nên dài hơn đ?i c?n l?i gi?y ch?ng nh?n đ? b? thu h?i.

Bư?c 3: Xu?t b?n m?t CRL m?i

  1. ? các c?p gi?y ch?ng nh?n quy?n MMC snap-in, b?m chu?t ph?i vào m?c tin thư thoạiThu h?i gi?y ch?ng nh?n .
  2. Nh?p vào T?t c? các nhi?m v?, và sau đó nh?p vàoxu?t b?n.
  3. Trong hộp thoại Xu?t b?n CRL , b?m vàoM?i CRL, và sau đó nh?p vào OK.

Bư?c 4: T? ch?i b?t k? đang ch? gi?i quy?t yêu c?u

theo m?c đ?nh, m?t doanh nghi?p CA không lưu tr? ch?ng ch? yêu c?u. Tuy nhiên, ngư?i qu?n tr? có th? thay đ?i hành vi m?c đ?nh này. Đ? t? ch?i b?t c? yêu c?u đang ch? x? l? ch?ng ch?, h?y làm theo các bư?c sau:
  1. Trong các c?p gi?y ch?ng nh?n quy?n MMC snap-in, h?y nh?p vào thePending yêu c?u m?c tin thư thoại.
  2. Trong ngăn ph?i, b?m vào m?t trong các yêu c?u đang ch? gi?i quy?t, andthen báo chí CTRL + A đ? Chọn Tất cả đang ch? x? l? gi?y ch?ng nh?n.
  3. B?m chu?t ph?i vào các yêu c?u đ? ch?n, b?m vào AllTasks, và sau đó nh?p vào T? ch?i yêu c?u.

Bư?c 5: G? cài đ?t chuyên bi?t b?n ghi d?ch v? ch?ng ch? t? h? ph?c v?

  1. Đ? ng?ng b?n ghi d?ch v? ch?ng ch?, b?m vào B?t đ?u, b?m ch?y, lo?i CMD, và sau đó nh?p vào OK.
  2. T?i d?u ki?m nh?c l?nh, g? t?t máy certutil, và sau đó nh?n Enter.
  3. T?i d?u ki?m nh?c l?nh, g?certutil – ch?a khóa, và sau đó nh?n Enter. L?nh này s? hi?n th? các tên c?a t?t c? các nhà cung c?p b?n ghi d?ch v? m?t m? đư?c cài đ?t chuyên bi?t (CSP) và các c?a hàng chính có liên quan đ?n m?i nhà cung c?p. Đư?c li?t kê trong s? các c?a hàng quan tr?ng đư?c li?t kê s? là tên c?a b?n CA. Tên s? đư?c li?t kê nhi?u l?n, như minh ho? trong ví d? sau:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Xoá khoá riêng là liên k?t v?i CA. Đ? làm đi?u này, m?t d?u ki?m nh?c l?nh, g? l?nh sau, và sau đó nh?n Enter:
    certutil - delkey CertificateAuthorityName
    Lưu ? N?u tên CA có t?i toàn, kèm theo tên t?i quotationmarks.

    Trong ví d? này, gi?y ch?ng nh?n quy?n tên là "Windows2000 doanh nghi?p CA gốc." V? v?y, các dòng lệnh trong ví d? này là như sau:
    certutil - delkey "Windows2000 doanh nghi?p g?c CA"
  5. Danh sách các c?a hàng chính m?t l?n n?a đ? xác minh r?ng ch?a khóa riêng cho CA c?a b?n đ? đư?c xóa.
  6. Sau khi b?n xóa khóa riêng cho CA c?a b?n, g? cài đ?t chuyên bi?t b?n ghi d?ch v? ch?ng ch?. Đ? làm đi?u này, h?y làm theo các bư?c sau, tùy thu?c vào các phiên b?n c?a Windows Server b?n đang ch?y.

    Windows Server 2003
    1. Đóng các ch?ng nh?n cơ quan MMC snap-in n?u nó v?n c?n m?.
    2. Nh?p vào B?t đ?u, đi?m đ?n Panel điều khiển, và sau đó nh?p vào thêm/lo?i b? chương tr?nh.
    3. Nh?p vào Thêm/lo?i b? c?u ph?n c?a Windows.
    4. Trong h?p c?u ph?n , b?m đ? b? ch?n hộp kiểm b?n ghi d?ch v? ch?ng ch? , b?m vào ti?p theo, và sau đó làm theo các ch? d?n trong thu?t s? c?u ph?n Windows đ? hoàn thành vi?c lo?i b? các b?n ghi d?ch v? ch?ng ch?.
    Windows Server 2008 và phiên b?n m?i hơn

    N?u b?n đang g? cài đ?t chuyên bi?t m?t doanh nghi?p CA, các thành viên trong qu?n tr? doanh nghi?p, ho?c tương đương, là t?i thi?u là c?n thi?t đ? hoàn t?t th? t?c này. Đ? bi?t thêm thông tin, h?y xem Th?c hi?n d?a trên vai tr? qu?n tr?.

    Đ? g? cài đ?t chuyên bi?t m?t CA, h?y làm theo các bư?c sau:
    1. Nh?p vào B?t đ?u, đi?m đ?n Công c? qu?n tr?, và sau đó nh?p vào Qu?n l? máy ch?.
    2. Trong B?n tóm t?t vai tr?, b?m Lo?i b? vai tr? đ? kh?i đ?ng thu?t s? lo?i b? vai tr?, và sau đó nh?p vào ti?p theo.
    3. B?m đ? b? ch?n hộp kiểm b?n ghi d?ch v? ch?ng ch? Thư mục Họat động , và sau đó nh?p vào ti?p theo.
    4. Xác nh?n lo?i b? l?a ch?n trang, xem l?i các thông tin, và sau đó b?m lo?i b?.
    5. N?u Internet Information Services (IIS) đang ch?y và b?n s? đư?c nh?c đ? d?ng b?n ghi d?ch v? trư?c khi b?n ti?p t?c v?i quá tr?nh g? cài đ?t chuyên bi?t, b?m vào OK.
    6. Sau khi thu?t s? lo?i b? vai tr? hoàn t?t, kh?i đ?ng l?i máy ch?. Đi?u này hoàn thành quá tr?nh g? cài đ?t chuyên bi?t.
    Các th? t?c là hơi khác nhau n?u b?n có nhi?u b?n ghi d?ch v? ch?ng ch? Thư mục Họat động (AD CS) vai tr? b?n ghi d?ch v? cài đ?t chuyên bi?t trên m?t máy ch?. Đ? g? b? cài đ?t chuyên bi?t m?t CA nhưng gi? các b?n ghi d?ch v? khác AD CS vai tr?, h?y làm theo các bư?c sau.

    Lưu ?B?n ph?i kí nh?p v?i các quy?n tương t? như ngư?i dùng đ? cài đ?t chuyên bi?t CA đ? hoàn t?t th? t?c này. N?u b?n đang g? cài đ?t chuyên bi?t m?t doanh nghi?p CA, các thành viên trong qu?n tr? doanh nghi?p, ho?c tương đương, là t?i thi?u là c?n thi?t đ? hoàn t?t th? t?c này. Đ? bi?t thêm thông tin, h?y xem Th?c hi?n d?a trên vai tr? qu?n tr?.
    1. Nh?p vào B?t đ?u, đi?m đ?n Công c? qu?n tr?, và sau đó nh?p vào Qu?n l? máy ch?.
    2. Trong B?n tóm t?t vai tr?, b?m vào b?n ghi d?ch v? ch?ng ch? Thư mục Họat động.
    3. Theo b?n ghi d?ch v? vai tr?, b?m Lo?i b? vai tr? b?n ghi d?ch v?.
    4. B?m đ? b? ch?n hộp kiểm c?a T? ch?c ch?ng ch? , và sau đó nh?p vào ti?p theo.
    5. Xác nh?n lo?i b? l?a ch?n trang, xem l?i các thông tin, và sau đó b?m lo?i b?.
    6. N?u IIS đang ch?y và b?n s? đư?c nh?c đ? d?ng b?n ghi d?ch v? trư?c khi b?n ti?p t?c v?i quá tr?nh g? cài đ?t chuyên bi?t, b?m vào OK.
    7. Sau khi thu?t s? lo?i b? vai tr? hoàn t?t, b?n ph?i kh?i đ?ng l?i máy ch?. Đi?u này hoàn thành quá tr?nh g? cài đ?t chuyên bi?t.
    N?u b?n ghi d?ch v? c?n l?i c?a vai tr?, ch?ng h?n như các b?n ghi d?ch v? tr?c tuy?n Responder, đư?c c?u h?nh đ? s? d?ng d? li?u t? uninstalled CA, b?n ph?i c?u h?nh l?i các b?n ghi d?ch v? đ? h? tr? m?t CA khác nhau. Sau khi m?t CA đư?c g? cài đ?t chuyên bi?t, các thông tin sau c?n l?i trên máy ch?:
    • b? máy cơ s? d? li?u CA
    • CA công c?ng và tư nhân phím
    • CA c?a ch?ng ch? trong các c?a hàng cá nhân
    • Gi?y ch?ng nh?n c?a CA trong m?c tin thư thoại đư?c chia s?, n?u m?t c?p dùng chung đư?c ch? đ?nh trong lúc thi?t l?p AD CS
    • ch?ng ch? CA gốc chu?i c?a hàng tin c?y g?c nhà ch?c trách ch?ng ch?
    • CA Chu?i ch?ng ch? trung gian trong các c?a hàng trung c?p ch?ng nh?n cơ quan
    • CA's CRL
    theo m?c đ?nh, thông tin này đư?c lưu gi? trên máy ch? trong trư?ng h?p b?n g? cài đ?t chuyên bi?t và sau đó cài đ?t chuyên bi?t l?i CA. Ví d?, b?n có th? g? b? cài đ?t chuyên bi?t và cài đ?t chuyên bi?t l?i CA n?u b?n mu?n thay đ?i m?t CA đ?c l?p đ? m?t doanh nghi?p CA.

Bư?c 6: Lo?i b? các đ?i tư?ng CA t? Thư mục Họat động

Khi Microsoft b?n ghi d?ch v? ch?ng ch? đư?c cài đ?t chuyên bi?t trên m?t máy ch? là m?t thành viên c?a m?t tên mi?n, m?t s? đ?i tư?ng đư?c t?o ra trong các thùng ch?a c?u h?nh trong Thư mục Họat động.

Các đ?i tư?ng là như sau:
  • certificateAuthority đ?i tư?ng
    • Trong CN = AIA, CN = b?n ghi d?ch v? công c?ng chính, CN = b?n ghi d?ch v?, CN = c?u h?nh, DC =ForestRootDomain.
    • Có gi?y ch?ng nh?n CA cho CA.
    • Xu?t b?n quy?n thông tin truy c?p (AIA) v? trí.
  • crlDistributionPoint đ?i tư?ng
    • Trong CN =Tên_máy_ph?c_v?CN = CDP, CN = b?n ghi d?ch v? công c?ng quan tr?ng, CN = b?n ghi d?ch v?, CN = c?u h?nh, DC =ForestRootDC = com.
    • Ch?a CRL đ?nh k? đư?c xu?t b?n b?i CA.
    • Xu?t b?n đi?m phân ph?i CRL (CDP) v? trí
  • certificationAuthority đ?i tư?ng
    • Trong CN = chính c?p đ? quy?n gi?y ch?ng nh?n, CN = b?n ghi d?ch v? công c?ng chính, CN = b?n ghi d?ch v?, CN = c?u h?nh, DC =ForestRootDC = com.
    • Có gi?y ch?ng nh?n CA cho CA.
  • pKIEnrollmentService đ?i tư?ng
    • Trong CN = b?n ghi d?ch v? ki?m nh?p, CN = b?n ghi d?ch v? công c?ng chính, CN = b?n ghi d?ch v?, CN = c?u h?nh, DC =ForestRootDC = com.
    • T?o b?i doanh nghi?p CA.
    • Ch?a thông tin v? các lo?i gi?y ch?ng nh?n CA đ? đư?c c?u h?nh đ? v?n đ?. mức cấp phép trên đ?i tư?ng này có th? ki?m soát an ninh mà hi?u trư?ng có th? ki?m nh?p đ?i v?i CA này.
Khi CA đư?c g? cài đ?t chuyên bi?t, ch? là đ?i tư?ng pKIEnrollmentService đư?c l?y ra. Đi?u này ngăn c?n khách hàng c? g?ng đ? ki?m nh?p v?i CA ng?ng ho?t đ?ng. Các đ?i tư?ng khác đư?c gi? l?i v? ch?ng ch? đư?c phát hành b?i CA có l? v?n c?n xu?t s?c. Các ch?ng ch? này ph?i đư?c thu h?i b?ng cách làm theo các th? t?c trong các "bư?c 1: thu h?i t?t c? các ch?ng ch? ho?t đ?ng đư?c phát hành b?i doanh nghi?p CA" ph?n.

Cho cơ s? h? t?ng khóa công c?ng (PKI) khách hàng máy tính đ? thành công x? l? các gi?y ch?ng nh?n xu?t s?c, các máy tính c?n ph?i đ?nh truy cập thông tin thẩm quyền (AIA) và CRL phân ph?i đi?m đư?ng d?n trong Thư mục Họat động. Đó là m?t ? tư?ng t?t đ? thu h?i gi?y ch?ng nh?n xu?t s?c t?t c?, kéo dài tu?i th? c?a CRL, và xu?t b?n CRL trong Thư mục Họat động. N?u gi?y ch?ng nh?n xu?t s?c đư?c x? l? b?i các khách hàng khác nhau PKI, xác nh?n s? không thành công, và nh?ng ch?ng ch? s? không đư?c s? d?ng.

N?u nó không ph?i là m?t ưu tiên đ? duy tr? CRL phân ph?i đi?m và AIA trong Thư mục Họat động, b?n có th? lo?i b? các đ?i tư?ng. Không lo?i b? các đ?i tư?ng n?u b?n mong đ?i đ? x? l? m?t ho?c nhi?u ch?ng ch? s? th?c trư?c đây là ho?t đ?ng.

Lo?i b? t?t c? các đ?i tư?ng c?p gi?y ch?ng nh?n b?n ghi d?ch v? t? Thư mục Họat động

Lưu ? B?n không nên lo?i b? các gi?y ch?ng nh?n m?u t? Thư mục Họat động cho đ?n sau khi b?n đ? xóa t?t c? CA đ?i tư?ng trong c?m nhánh Thư mục Họat động.

Đ? lo?i b? t?t c? các đ?i tư?ng c?p gi?y ch?ng nh?n b?n ghi d?ch v? t? Thư mục Họat động, h?y làm theo các bư?c sau:
  1. Xác đ?nh CACommonName CA. Đ? làm đi?u này, h?y làm theo các bư?c sau:
    1. Nh?p vào B?t đ?u, b?m ch?y, lo?i CMD trong các m? h?p, và sau đó b?m OK.
    2. Lo?i certutil, và sau đó nh?n ENTER.
    3. H?y ghi nh? giá tr? tên thu?c v? CA c?a b?n. B?n s? c?n CACommonName cho bư?c sau này trong th? t?c này.
  2. Nh?p vào B?t đ?u, đi?m đ?nCông c? qu?n tr?, và sau đó nh?p vào ho?t đ?ng DirectorySites và b?n ghi d?ch v?.
  3. Trên menu xem , h?y nh?p vàoHi?n th? b?n ghi d?ch v? nút ch?n m?t.
  4. M? r?ng b?n ghi d?ch v?, m? r?ng Khu v?c KeyServices, và sau đó b?m vào c?p AIA .
  5. Trong ngăn ph?i, b?m chu?t ph?i vào cácCertificationAuthority đ?i tư?ng cho CA c?a b?n, nh?p vàoxóa, và sau đó b?m vào .
  6. Trong ngăn bên trái c?a các ho?t đ?ng m?c tin thư thoại các web site và ServicesMMC snap-in, h?y nh?p vào các CDP m?c tin thư thoại.
  7. Trong ngăn bên ph?i, đ?nh đối tượng lưu chứa cho theserver nơi b?n ghi d?ch v? ch?ng ch? đư?c cài đ?t chuyên bi?t. B?m chu?t ph?i vào các thùng ch?a, nh?p vào xóa, và sau đó nh?p vào hai l?n.
  8. Trong ngăn bên trái c?a ho?t đ?ng m?c tin thư thoại các web site và ServicesMMC snap-in, h?y nh?p vào nút ch?n m?t Chính c?p đ? quy?n gi?y ch?ng nh?n.
  9. Trong ngăn ph?i, b?m chu?t ph?i vào cácCertificationAuthority đ?i tư?ng cho CA c?a b?n, nh?p vàoxóa, và sau đó b?m vào .
  10. Trong ngăn bên trái c?a ho?t đ?ng m?c tin thư thoại các web site và ServicesMMC snap-in, h?y nh?p vào nút ch?n m?t ki?m nh?p b?n ghi d?ch v? .
  11. Trong ngăn ph?i, xác minh r?ng pKIEnrollmentServiceobject cho CA c?a b?n đ? đư?c g? b? khi b?n ghi d?ch v? ch?ng ch? đư?c g? cài đ?t chuyên bi?t. Ifthe đ?i tư?ng s? không b? xóa, b?m chu?t ph?i vào đ?i tư?ng, nh?p vàoxóa, và sau đó b?m vào .
  12. N?u b?n đ? không xác đ?nh t?t c? các đ?i tư?ng, m?t s? đ?i tư?ng có th? đư?c trái trong m?c tin thư thoại ho?t đ?ng sau khi b?n th?c hi?n các bư?c sau. Đ? làm s?ch sau khi m?t CA có th? đ? đ? l?i các đ?i tư?ng trong ho?t đ?ng m?c tin thư thoại, h?y làm theo các bư?c sau đ? xác đ?nh cho dù b?t k? đ?i tư?ng qu?ng cáo v?n c?n:
    1. G? l?nh sau t?i dòng lệnh, và sau đó nh?n ENTER:
      ldifde - r "cn =CACommonName"-d" CN = b?n ghi d?ch v? công c?ng chính, CN = b?n ghi d?ch v?, CN = c?u h?nh, DC =ForestRootDC = com "-f output.ldf
      Trong l?nh này, CACommonName đ?i di?n cho giá tr? tên mà b?n xác đ?nh trong bư?c 1. Ví d?, n?u giá tr? tên là "CA1 Contoso", g? như sau:
      ldifde - r "cn = CA1 Contoso" -d "cn = b?n ghi d?ch v? công c?ng chính, cn = b?n ghi d?ch v?, cn = c?u h?nh, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. M? t?p tin remainingCAobjects.ldf trong Notepad. Thay th? thu?t ng? "changetype: thêm" v?i "changetype: xóa."Sau đó, ki?m tra xem li?u các đ?i tư?ng Thư mục Họat động mà b?n s? xóa là h?p pháp.
    3. M?t d?u ki?m nh?c l?nh, g? l?nh sau, và sau đó nh?n ENTER đ? xoá các đ?i tư?ng c?n l?i CA t? Active Directory:
      ldifde -i -f remainingCAobjects.ldf
  13. Xóa m?u gi?y ch?ng nh?n n?u b?n ch?c ch?n r?ng t?t c? các nhà ch?c trách ch?ng ch? đ? b? xóa. L?p l?i bư?c 12 đ? xác đ?nh cho dù b?t k? đ?i tư?ng qu?ng cáo v?n c?n.

    Quan tr?ng B?n không ph?i xóa các m?u gi?y ch?ng nh?n tr? khi t?t c? các nhà ch?c trách ch?ng ch? đ? b? xóa. N?u các m?u đư?c vô t?nh xóa, h?y làm theo các bư?c sau:
    1. H?y ch?c ch?n r?ng b?n arelogged trên m?t máy ch? đang ch?y b?n ghi d?ch v? ch?ng ch? là Enterpriseadministrator.
    2. M?t d?u ki?m nh?c l?nh, g? l?nh sau, và sau đó nh?n ENTER:
      CD%windir%\System32
    3. G? l?nh sau, và sau đó nh?n ENTER:
      regsvr32 /i:i /n /scertcli.dll
      Hành đ?ng này l?i t?o ra thecertificate m?u trong Thư mục Họat động.
    Đ? xóa các m?u gi?y ch?ng nh?n, h?y làm theo các bư?c sau.
    1. Trong ngăn bên trái "Ho?t đ?ng m?c tin thư thoại các web site và d?ch v?" MMC snap-in, h?y nh?p vào Templatesfolder gi?y ch?ng nh?n.
    2. Trong ngăn ph?i, b?m vào m?t bi?u m?u ch?ng ch?, và thenpress CTRL + A đ? Chọn Tất cả các m?u. B?m chu?t ph?i vào các m?u đ? ch?n, nh?p vàoxóa, và sau đó b?m vào .

Bư?c 7: Xóa các gi?y ch?ng nh?n đư?c công b? đ? đ?i tư?ng NtAuthCertificates

Sau khi b?n xoá các đ?i tư?ng CA, b?n ph?i xóa các gi?y ch?ng nh?n CA đư?c công b? đ? đ?i tư?ng NtAuthCertificates . S? d?ng m?t trong các l?nh sau đ? xóa b? gi?y ch?ng nh?n t? bên trong các c?a hàng NTAuthCertificates:
certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN = khóa công khai
b?n ghi d?ch v?,..., DC = ForestRoot, DC = com? cACertificate? cơ s?? objectclass = certificationAuthority"

certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN = khóa công khai
b?n ghi d?ch v?,..., DC = ForestRoot, DC = com? cACertificate? cơ s?? objectclass = pKIEnrollmentService "
Lưu ? B?n ph?i có quy?n qu?n tr? doanh nghi?p đ? th?c hi?n nhi?m v? này.
Hành đ?ng - viewdelstore invokes các l?a ch?n ch?ng ch? giao di?n ngư?i dùng trên các thi?t l?p c?a ch?ng ch? trong attibute đư?c ch? đ?nh. B?n có th? xem chi ti?t ch?ng ch?. B?n có th? h?y b? ra kh?i hộp thoại l?a ch?n đ? làm cho không có thay đ?i. N?u b?n ch?n m?t gi?y ch?ng nh?n, ch?ng ch? đó s? b? xóa khi giao di?n đóng c?a và l?nh đư?c thi hành đ?y đ?.

S? d?ng l?nh sau đây đ? xem đư?ng d?n LDAP đ?y đ? đ? đ?i tư?ng NtAuthCertificates trong Thư mục Họat động c?a b?n:
c?a hàng certutil-? | FINDSTR "CN = NTAuth"

Bư?c 8: Xóa b? b? máy cơ s? d? li?u CA

Khi b?n ghi d?ch v? ch?ng nh?n đư?c g? cài đ?t chuyên bi?t, b? máy cơ s? d? li?u CA c?n l?i nguyên v?n v? v?y mà CA có th? đư?c tái t?o ra trên m?t máy ch?.

Đ? lo?i b? b? máy cơ s? d? li?u CA, xóa m?c tin thư thoại %systemroot%\System32\Certlog.

Bư?c 9: Làm s?ch b? ki?m soát mi?n

Sau khi CA đư?c g? cài đ?t chuyên bi?t, gi?y ch?ng nh?n đ? c?p cho b? ki?m soát mi?n ph?i đư?c lo?i b?.

Đ? lo?i b? ch?ng ch? đư?c cung c?p cho b? ki?m soát mi?n Windows Server 2000, s? d?ng ti?n ích Dsstore.exe t? Microsoft Windows 2000 tài nguyên Kit.

Đ? lo?i b? ch?ng ch? đ? đư?c phát hành đ? b? ki?m soát mi?n Windows Server 2000, h?y làm theo các bư?c sau:
  1. Nh?p vào B?t đ?u, b?m ch?y, lo?i CMD, và sau đó nh?n ENTER.
  2. Trên b? ki?m soát mi?n, g? dsstore - dcmon t?i d?u ki?m nh?c l?nh, và sau đó nh?n ENTER.
  3. Lo?i 3, và sau đó nh?n ENTER. Hành đ?ng này s? xóa t?t c? gi?y ch?ng nh?n trên t?t c? các b? b? ki?m soát mi?n.

    Lưu ? Các ti?n ích Dsstore.exe s? c? g?ng xác nh?n ch?ng ch? b? đi?u khi?n tên mi?n đư?c c?p cho m?i b? đi?u khi?n tên mi?n. Ch?ng ch? không xác nh?n đư?c lo?i b? kh?i c?a b? ki?m soát mi?n tương ?ng.
Đ? lo?i b? ch?ng ch? đư?c cung c?p cho b? ki?m soát mi?n Windows Server 2003, h?y làm theo các bư?c sau.

Quan tr?ng Không s? d?ng quy tr?nh này n?u b?n đang s? d?ng gi?y ch?ng nh?n đư?c d?a trên phiên b?n 1 tên mi?n đi?u khi?n m?u.
  1. Nh?p vào B?t đ?u, b?m ch?y, lo?i CMD, và sau đó nh?n ENTER.
  2. T?i d?u ki?m nh?c l?nh trên m?t b? đi?u khi?n tên mi?n, g? certutil - dcinfo deleteBad.
Certutil.exe c? g?ng xác nh?n t?t c? các ch?ng ch? DC đư?c c?p cho b? b? ki?m soát mi?n. Ch?ng ch? không xác nh?n đư?c lo?i b?.

Đ? bu?c các ?ng d?ng c?a chính sách b?o m?t, h?y làm theo các bư?c sau:
  1. Nh?p vào B?t đ?u, b?m ch?y, lo?i CMD trong các m? h?p, và sau đó nh?n ENTER.
  2. M?t d?u ki?m nh?c l?nh, g? l?nh thích h?p cho các phiên b?n tương ?ng c?a hệ điều hành, và sau đó nh?n ENTER:
    • Cho Windows Server 2000: secedit /refreshpolicy machine_policy / thi hành
    • Cho Windows Server 2003: gpupdate /force

Thu?c tính

ID c?a bài: 889250 - L?n xem xét sau cùng: 24 Tháng Mười 2013 - Xem xét l?i: 3.0
Áp d?ng
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
T? khóa: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài viết này được d?ch b?ng phần mềm dịch thu?t của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa l?i thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung c?p các bài vi?t đư?c c? biên d?ch viên và ph?n m?m d?ch thu?t th?c hi?n và c?ng đ?ng ch?nh s?a l?i đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng nhi?u ngôn ng? Tuy nhiên, bài vi?t do máy d?ch hoặc thậm chí cộng đồng chỉnh sửa sau không ph?i lúc nào c?ng hoàn h?o. Các bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này: 889250

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com