如何停止使用 Windows 企业证书颁发机构和删除所有相关的对象

文章翻译 文章翻译
文章编号: 889250 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

卸载证书颁发机构 (CA) 时,由 CA 颁发的证书通常是仍未完成。如果由各种公钥基础结构的客户端计算机处理的未完成的证书,验证将会失败,并且将不会使用这些证书。

本文介绍如何撤消未完成的证书以及如何完成各项其他任务所需步骤成功卸载 CA。 此外,这篇文章介绍了一些实用程序,可用来帮助您从您的域中删除 CA 对象。

简介

本分步指南介绍如何停止使用 Microsoft Windows 企业 CA,以及如何从 活动目录(AD) 目录服务中删除相关的所有对象。

步骤 1: 废除由企业 CA 颁发的所有活动的证书

  1. 单击开始,指向管理工具,然后单击CertificationAuthority
  2. 展开您的 CA,然后单击IssuedCertificates文件夹。
  3. 在右窗格中,单击某个已颁发的证书中,然后按 CTRL + A 来选择所有已颁发的证书。
  4. 用鼠标右键单击所选的证书,请单击AllTasks,然后单击吊销证书
  5. 证书吊销对话框中,单击以选中作为原因 forrevocation 中,操作停止,然后单击确定

步骤 2: 增加 CRL 发布间隔

  1. 在证书颁发机构 Microsoft 管理 Console(MMC) 管理单元中,用鼠标右键单击吊销的证书文件夹,然后单击属性
  2. CRL 发布间隔框中,在 typea 适当长度的值,并再单击确定
注意应保持了已被吊销的证书的生存期超过生存期的证书吊销列表 (CRL)。

步骤 3: 将发布新的 CRL

  1. 在证书颁发机构 MMC 管理单元中,右键单击吊销的证书文件夹。
  2. 单击所有任务,然后单击发布
  3. 发布 CRL对话框中,单击新的 CRL,然后单击确定

步骤 4: 拒绝任何挂起的请求

默认情况下,由企业 CA 不存储证书请求。但是,管理员可以更改此默认行为。要拒绝任何挂起的证书请求,请执行以下步骤:
  1. 在证书颁发机构 MMC 管理单元中,单击 thePending 请求文件夹。
  2. 在右窗格中,单击挂起的请求,然后按 CTRL + A 来选择所有挂起的证书之一。
  3. 用鼠标右键单击所选的请求,请单击AllTasks,然后单击拒绝请求

步骤 5: 从服务器上卸载证书服务

  1. 若要停止证书服务,单击开始,单击运行键入 cmd然后单击确定
  2. 在命令提示符下,键入 certutil 关机然后按 enter 键。
  3. 在命令提示符下,键入certutil-键然后按 enter 键。此命令将显示所有已安装加密服务提供程序 (CSP) 和与每个提供程序相关联的密钥存储区的名称。在列出的密钥存储区中列出将为您的 CA 的名称。将列名称几次,如下面的示例所示:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. 删除与 CA 相关联的私钥。为此,请在命令提示符处,键入以下命令,,然后按 enter 键:
    certutil-delkey CertificateAuthorityName
    注意如果您的 CA 名称中包含空格,请在 quotationmarks 给名称。

    在此示例中,证书颁发机构名为"windows 2000 企业根 CA"。因此,在本示例中的命令行如下所示:
    certutil-delkey"windows 2000 企业根 CA"
  5. 列出密钥存储区中,再次以验证您的 CA 的私钥已被删除。
  6. 为您的 CA 中删除私钥后,卸载证书服务。若要执行此操作,请按照下列步骤操作,具体取决于您所运行的 Windows 服务器的版本。

    Windows Server 2003
    1. 如果它仍处于打开状态,请关闭证书颁发机构 mmc 管理单元。
    2. 单击开始,指向控制面板,然后单击添加或删除程序
    3. 单击添加/删除 Windows 组件
    4. 组件框中,单击以清除证书服务复选框,单击下一步,然后按照 Windows 组件向导中的说明完成删除证书服务。
    Windows Server 2008 和更高版本

    如果您要卸载一个企业 CA,企业管理员或同等身份的成员身份是完成此过程所需的最小值。有关详细信息,请参阅 实现基于角色的管理.

    要卸载 CA,请执行以下步骤:
    1. 单击开始,指向管理工具,然后单击服务器管理器
    2. 角色摘要,单击以启动删除角色向导中,删除角色,然后单击下一步
    3. 单击以清除活动目录(AD) 证书服务复选框,然后单击下一步
    4. 确认删除选项页上,查看信息,然后单击删除
    5. 如果运行 Internet Information Services (IIS),并且提示您继续卸载过程之前,请停止该服务,请单击确定
    6. 删除角色向导完成后,重新启动服务器。这将完成卸载过程。
    过程会稍有不同,如果您有多个 活动目录(AD) 证书服务 (AD CS) 角色服务安装在一台服务器上。若要卸载 CA,但保留其他 AD CS 角色服务,请执行以下步骤。

    注意您必须使用与安装 CA 后,才能完成此过程的用户相同的权限登录。如果您要卸载一个企业 CA,企业管理员或同等身份的成员身份是完成此过程所需的最小值。有关详细信息,请参阅 实现基于角色的管理.
    1. 单击开始,指向管理工具,然后单击服务器管理器
    2. 角色摘要,单击活动目录(AD) 证书服务
    3. 角色服务中,单击删除角色服务
    4. 单击以清除证书颁发机构复选框,然后单击下一步
    5. 确认删除选项页上,查看信息,然后单击删除
    6. 如果 IIS 正在运行,并提示您继续卸载过程之前,请停止该服务,请单击确定
    7. 删除角色向导完成后,您必须重新启动服务器。这将完成卸载过程。
    如果剩余的角色服务如联机响应程序服务中,配置为使用数据来自卸载 CA,则必须重新配置这些服务,以支持不同的 CA。卸载 CA 之后,下列信息保留在服务器中:
    • CA 数据库
    • CA 公钥和私钥的密钥
    • 个人存储区中 CA 的证书
    • 如果在安装 AD CS 期间指定了共享的文件夹的共享文件夹中的 CA 的证书
    • 受信任的根证书颁发机构存储区中 CA 链的根证书
    • 中级证书颁发机构存储区中 CA 链的中级证书
    • CA 的 CRL
    默认情况下,此信息保留在服务器上,以防被卸载并重新安装 CA。例如,您可能会卸载并重新安装 CA,如果您想要将独立 CA 更改为企业 CA。

第 6 步: 从 活动目录(AD) 删除 CA 对象

是某个域的成员服务器上安装 Microsoft 证书服务后,在 活动目录(AD) 中的配置容器中创建多个对象。

这些对象,如下所示:
  • certificateAuthority 对象
    • 位于 CN = AIA,CN = 公共服务,CN = 服务、 CN = 配置,DC =ForestRootDomain.
    • 包含此 CA 的 CA 证书。
    • 发布颁发机构信息访问 (AIA) 的位置。
  • crlDistributionPoint 对象
    • 位于 CN =服务器名CN = CDP,CN = 公共服务,CN = 服务、 CN = 配置,DC =ForestRoot特区 = com。
    • 包含定期由 CA 发布的 CRL。
    • 已发布的 CRL 分发点 (CDP) 位置
  • certificationAuthority 对象
    • 位于 CN = 证书颁发机构,CN = 公共服务,CN = 服务、 CN = 配置,DC =ForestRoot特区 = com。
    • 包含此 CA 的 CA 证书。
  • pKIEnrollmentService 对象
    • 位于 CN = 注册服务、 CN = 公共服务,CN = 服务、 CN = 配置,DC =ForestRoot特区 = com。
    • 由企业 CA。
    • 包含有关已配置的 CA 的证书的类型信息的问题。在此对象上的权限,可以控制哪些安全主体可以针对此 CA 注册。
卸载 CA 时,只能 pKIEnrollmentService 对象中移除。这样可以防止客户端尝试对取消配置 CA 注册。其他对象将保留,原因由 CA 颁发的证书可能是仍未完成。必须按照中的过程吊销这些证书"步骤 1: 所有活动由企业 CA 签发的证书的吊销"一节。

为了成功地处理这些未完成的证书的公钥基础结构 (PKI) 客户机,计算机必须找到在 活动目录(AD) 中的颁发机构信息访问 (AIA) 和 CRL 分发点的路径。它是一个好的办法: 取消所有未完成的证书、 延长寿命的 CRL,并在 活动目录(AD) 中发布 CRL。如果通过不同的 PKI 客户端处理的未完成的证书,验证将会失败,并且将不会使用这些证书。

如果不是要维护的 CRL 分发点和 AIA 在 活动目录(AD) 中的优先级,您可以删除这些对象。如果您希望处理一个或多个以前活动的数字证书,则不要删除这些对象。

从活动目录中删除证书服务的所有对象

注意不在 活动目录(AD) 目录林中删除 CA 的所有对象后,应该从直到 活动目录(AD) 中都删除证书模板。

若要删除 活动目录(AD) 证书服务的所有对象,请执行以下步骤:
  1. 确定 CA 的 CACommonName。若要执行此操作,请执行以下步骤:
    1. 单击开始,然后单击运行,类型 cmd打开框中,然后再单击确定
    2. 键入 certutil然后按 enter 键。
    3. 记下属于您的 CA 的名称值。为在此过程中后面的步骤,您将需要 CACommonName。
  2. 单击开始,指向管理工具,然后单击活动 DirectorySites 和服务
  3. 视图菜单上,单击显示服务节点
  4. 展开服务,展开公共 KeyServices,然后单击AIA文件夹。
  5. 在右窗格中,用鼠标右键单击CertificationAuthority 您的 CA 对象,单击删除,然后单击
  6. 在 活动目录(AD) 站点和 ServicesMMC 的管理单元的左窗格中,单击CDP 文件夹。
  7. 在右窗格中,找到安装了证书服务的服务器的容器对象。用鼠标右键单击该容器,单击删除,然后单击两次。
  8. 在 活动目录(AD) 站点和 ServicesMMC 管理单元的左窗格中,单击证书颁发机构节点。
  9. 在右窗格中,用鼠标右键单击CertificationAuthority 您的 CA 对象,单击删除,然后单击
  10. 在 活动目录(AD) 站点和 ServicesMMC 管理单元的左窗格中,单击注册服务节点。
  11. 在右窗格中,验证已卸载证书服务时,已删除有关您的 CA pKIEnrollmentServiceobject。如果对象不会被删除、 用鼠标右键单击该对象,单击删除,然后单击
  12. 如果您找不到的所有对象,某些对象可能处于 活动目录(AD) 后执行这些步骤。清理后可能留下对象在 活动目录(AD) 中的 CA,请按照下列步骤,以确定是否所有的 AD 对象仍然存在:
    1. 在命令行中,键入以下命令,然后按 enter 键:
      ldifde-r"cn =CACommonName"-d"CN = 公共服务,CN = 服务、 CN = 配置,DC =ForestRootDC = com"-f output.ldf
      在此命令中, CACommonName 表示您在步骤 1 中确定的名称值。例如,如果名称值为"CA1 Contoso",键入以下命令:
      ldifde-r"cn = CA1 Contoso"-d"cn = 公共服务,cn = 服务、 cn = 配置,dc = contoso,dc = com"-f remainingCAobjects.ldf
    2. 在记事本中打开 remainingCAobjects.ldf 文件。替换术语"误差: 添加"与"误差: 删除。"然后,验证将删除 活动目录(AD) 对象是否是合法的。
    3. 在命令提示符处,键入下面的命令,然后按 ENTER 键从 活动目录(AD) 删除剩余的 CA 对象:
      ldifde-i-f remainingCAobjects.ldf
  13. 如果您确信所有的证书颁发机构已被删除,请删除证书模板。重复步骤 12,以确定是否所有的 AD 对象仍然存在。

    重要提示您必须删除证书模板,除非已被删除的每个证书颁发机构。如果意外地删除模板,请执行以下步骤:
    1. 确保在该您 arelogged Enterpriseadministrator 作为运行证书服务的服务器。
    2. 在命令提示符处,键入以下命令,然后按 ENTER:
      cd%windir%\system32
    3. 键入以下命令,并按 enter 键:
      regsvr32 /i:i /n /scertcli.dll
      此操作将重新创建在 活动目录(AD) 中的该证书模板。
    若要删除证书模板,请按照下列步骤。
    1. 在左窗格中的"Active Directory 站点和服务"mmc 管理单元,单击证书 Templatesfolder。
    2. 在右窗格中,单击证书模板和 thenpress CTRL + A 来选择所有模板。用鼠标右键单击所选的模板,单击删除,然后单击

步骤 7: 删除证书发布到 NtAuthCertificates 对象

删除 CA 对象后,您必须删除 CA 证书发布到NtAuthCertificates对象。使用以下命令删除 NTAuthCertificates 存储中的证书:
certutil-viewdelstore ' 'ldap: / / CN = NtAuthCertificates,CN = 公共密钥
服务,......,DC = ForestRoot,DC = com 吗? cACertificate? 基? 对象类 = certificationAuthority"

certutil-viewdelstore ' 'ldap: / / CN = NtAuthCertificates,CN = 公共密钥
服务,......,DC = ForestRoot,DC = com 吗? cACertificate? 基? 对象类 = pKIEnrollmentService"
注意必须具有企业管理员权限才能执行此任务。
-Viewdelstore操作调用上的证书中指定的属性集的证书选择用户界面。您可以查看证书的详细信息。您可以取消选择对话框,不更改。如果您选择一个证书,该证书被删除时用户界面关闭,并充分执行了该命令。

使用下面的命令以查看完整的 LDAP 路径将 活动目录(AD) 中的NtAuthCertificates对象:
certutil 商店-? |findstr"CN = NTAuth"

步骤 8: 删除 CA 数据库

当卸载证书服务时,CA 数据库将保持不变,以使该 CA 可以是在另一台服务器上重新创建。

若要删除 CA 数据库,删除 %systemroot%\System32\Certlog 文件夹。

步骤 9: 清理的域控制器

卸载 CA 后,必须删除已颁发给域控制器证书。

要删除 Windows Server 2000 的域控制器到颁发的证书,请使用 Microsoft Windows 2000 资源工具包中的 Dsstore.exe 实用程序。

若要删除证书已颁发给 Windows Server 2000 的域控制器,请执行以下步骤:
  1. 单击开始,然后单击运行,类型 cmd然后按 enter 键。
  2. 在域控制器上,键入 dsstore dcmon 在命令提示符处,然后按 ENTER。
  3. 键入 3然后按 enter 键。此操作将删除所有的域控制器上的所有证书。

    注意Dsstore.exe 实用程序将尝试验证颁发给每个域控制器的域控制器证书。从他们各自的域控制器中删除未通过验证的证书。
若要删除到 Windows Server 2003 的域控制器所颁发的证书,请执行以下步骤。

重要提示如果您使用的基于版本 1 个域控制器模板的证书,则不要使用此过程。
  1. 单击开始,然后单击运行,类型 cmd然后按 enter 键。
  2. 在域控制器上的命令提示符下键入 certutil-dcinfo deleteBad.
Certutil.exe 尝试验证颁发给域控制器中的所有 DC 证书。未通过验证的证书将被删除。

若要强制应用程序的安全策略,请执行以下步骤:
  1. 单击开始,然后单击运行,类型 cmd打开框中,并按 ENTER。
  2. 在命令提示符下,键入相应版本的操作系统的相应命令,然后按 ENTER:
    • Windows server 2000: secedit 参阅: 实施 /
    • 对于 Windows Server 2003: gpupdate /force

属性

文章编号: 889250 - 最后修改: 2013年10月24日 - 修订: 5.0
这篇文章中的信息适用于:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
关键字:?
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 889250
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com