如何解除委任 Windows 企業憑證授權單位,並移除所有相關的物件

文章翻譯 文章翻譯
文章編號: 889250 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

當您解除安裝憑證授權單位 (CA) 時,由 CA 發出的憑證通常是仍未解決的。如果未解除的憑證由各種 「 公開金鑰基礎結構 」 用戶端電腦所處理,驗證將會失敗,並將不會使用這些憑證。

本文將告訴您如何撤銷未解除的憑證,以及如何完成的其他工作所需為順利解除安裝 CA。 此外,本文將告訴您可用來協助您從網域移除 CA 物件的幾個公用程式。

簡介

本文將逐步告訴您,如何解除委任 Microsoft Windows 企業 CA,以及如何從 Active Directory 目錄服務中移除所有相關的物件。

步驟 1: 撤銷所有由企業 CA 發出的使用中憑證

  1. 按一下 [開始],指向 [系統管理工具],然後按一下CertificationAuthority
  2. 展開您的 CA,然後按一下 [ IssuedCertificates ] 資料夾。
  3. 在右窗格中,按一下其中一個發行的憑證,然後再按 CTRL + A 選取所有已發行的憑證。
  4. 以滑鼠右鍵按一下選取的憑證,按一下AllTasks, ,然後按一下 [撤銷憑證
  5. 憑證廢止] 對話方塊中,按一下以選取 [操作停止] 作為原因 forrevocation 中,,然後按一下[確定]

步驟 2: 增加 CRL 公佈間隔

  1. 在 [憑證授權單位 Microsoft 管理 Console(MMC) 嵌入式管理單元,撤銷憑證] 資料夾中,按一下滑鼠右鍵,然後按一下內容
  2. CRL 公佈間隔] 方塊中,typea 適當長值,並再按一下[確定]
附註存留期的憑證撤銷清單 (CRL) 應該超過剩餘的存留時間已撤銷的憑證。

步驟 3: 發佈新的 CRL

  1. 在 [憑證授權單位 MMC 嵌入式管理單元中,以滑鼠右鍵按一下 [撤銷憑證] 資料夾。
  2. 按一下 [所有工作],然後按一下 [發佈
  3. 發佈 CRL ] 對話方塊中,按一下新的 CRL,,然後按一下[確定]

步驟 4: 拒絕任何擱置要求

根據預設,企業 CA 不會儲存憑證要求。不過,系統管理員可以變更此預設行為。若要拒絕任何擱置的憑證要求,請依照下列步驟執行:
  1. 在 [憑證授權單位 MMC 嵌入式管理單元中,按一下 [thePending 要求] 資料夾]。
  2. 在右窗格中,按一下其中一個擱置的要求,然後按下 CTRL + A 以選取所有擱置的憑證。
  3. 選取的要求上按一下滑鼠右鍵,按一下AllTasks,,然後按一下 [拒絕要求

步驟 5: 從伺服器解除安裝憑證服務

  1. 若要停止 「 憑證服務、 按一下 [開始],請按一下 [執行] 型別 cmd然後按一下[確定]
  2. 在命令提示字元中,輸入 certutil 關機然後按 Enter 鍵。
  3. 在命令提示字元中,輸入certutil-索引鍵然後按 Enter 鍵。此命令會顯示所有已安裝的密碼編譯服務提供者 (CSP) 及與每個提供者相關聯的金鑰存放區的名稱。列出所列的金鑰儲存區之間會您 CA 的名稱。名稱將會列出數次,如下列範例所示:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. 刪除與 CA 相關聯的私密金鑰。若要這樣做,請在命令提示字元中,輸入下列命令,,然後按 Enter 鍵:
    certutil-delkey CertificateAuthorityName
    附註如果您的 CA 名稱包含空格,請使用 quotationmarks 括住名稱。

    在這個範例中,憑證授權單位名稱是 「 windows 2000 企業根 CA 」。因此,在這個範例中的命令列如下所示:
    certutil-delkey 「 windows 2000 企業根 CA 」
  5. 列出一次以確認您的 CA 的私密金鑰已刪除的金鑰存放區。
  6. 刪除您的 CA 的私密金鑰之後,解除安裝憑證服務。要執行這項操作,請依照下列步驟執行,視您正在執行的 Windows 伺服器的版本而定。

    Windows 2003 Server
    1. 如果它仍為開啟狀態,請關閉 [憑證授權單位 MMC 嵌入式管理單元 」。
    2. 按一下 [開始],指向[控制台],然後按一下 [新增或移除程式
    3. 按一下 [新增/移除 Windows 元件]。
    4. 在 [元件] 方塊中,按一下以清除 [憑證服務] 核取方塊,按一下 [下一步,,然後遵循 [Windows 元件精靈中的指示,完成憑證服務 」 的移除作業。
    Windows Server 2008 或更新版本

    如果您正在解除安裝企業 CA,成員資格,企業系統管理員或同等權限,就會是完成此程序所需的最小值。如需詳細資訊,請參閱 實作以角色為基礎的管理.

    若要解除安裝 CA,請依照下列步驟執行:
    1. 按一下 [開始],指向 [系統管理工具],然後按一下 [伺服器管理員
    2. 角色摘要] 下,按一下 [移除角色來啟動 [移除角色精靈],然後按一下 [下一步
    3. 按一下以清除 [ Active Directory 憑證服務] 核取方塊,然後按一下 [下一步]
    4. 在 [確認移除選項] 頁面中,檢閱資訊,請然後按一下 [移除]。
    5. 如果網際網路資訊服務 (IIS) 正在執行,而且當系統提示您停止服務,請先解除安裝程序,請按一下 [確定]。
    6. 移除角色精靈完成後,重新啟動伺服器。這樣就完成解除安裝程序。
    此程序是如果您有多個 Active Directory 憑證服務 (AD CS) 角色服務安裝在單一伺服器上稍有不同。若要解除安裝 CA,但保留其他 AD CS 角色服務,請依照下列步驟執行。

    附註使用相同的權限的使用者身分安裝 CA,以完成此程序,您必須登入。如果您正在解除安裝企業 CA,成員資格,企業系統管理員或同等權限,就會是完成此程序所需的最小值。如需詳細資訊,請參閱 實作以角色為基礎的管理.
    1. 按一下 [開始],指向 [系統管理工具],然後按一下 [伺服器管理員
    2. 角色摘要] 下,按一下 [ Active Directory 憑證服務]。
    3. 角色服務] 下按一下 [移除角色服務]。
    4. 按一下以清除 [憑證授權單位] 核取方塊,然後按一下 [下一步]
    5. 在 [確認移除選項] 頁面中,檢閱資訊,請然後按一下 [移除]。
    6. 如果 IIS 正在執行,當系統提示您停止服務,請先解除安裝程序,請按一下 [確定]。
    7. 移除角色精靈完成之後,您必須重新啟動伺服器。這樣就完成解除安裝程序。
    如果剩餘的角色服務,例如線上回應服務,已設定為使用解除安裝之 ca 的資料,您必須重新設定這些服務,以支援不同的 CA。在解除安裝 CA 之後,下列的資訊就會留在伺服器上:
    • CA 資料庫
    • CA 公用和私用金鑰
    • 個人的存放區中的 CA 的憑證
    • 如果在 AD cs 期間指定共用的資料夾的共用資料夾中的 CA 的憑證
    • CA 鏈結的根憑證受信任的根憑證授權單位存放區中
    • CA 鏈結在中繼憑證授權單位存放區中的中繼憑證
    • CA 的 CRL
    根據預設,這項資訊會保留在伺服器上,以防您解除安裝 ca,然後重新安裝 CA。例如,您可能會解除安裝,並重新安裝 CA,如果您想要將獨立 CA 變更為企業 CA。

步驟 6: 移除 CA 物件從 Active Directory

是網域的成員伺服器上安裝 Microsoft 憑證服務時,在 Active Directory 中的 [組態] 容器中建立數個物件。

這些物件如下所示:
  • certificateAuthority 物件
    • 位於 CN = AIA,CN = 公開金鑰服務,CN = 服務,CN = 設定,DC =ForestRootDomain.
    • 包含 CA 的 CA 憑證。
    • 已發行的授權資訊存取 (AIA) 位置。
  • crlDistributionPoint 物件
    • 位於 CN =伺服器名稱CN = CDP CN = 公用金鑰服務,CN = 服務,CN = 設定,DC =ForestRootDC = com。
    • 包含由 CA 定期發行的 CRL。
    • 發佈的 CRL 發佈點 (CDP) 位置
  • certificationAuthority 物件
    • 位於 CN = 憑證授權單位,CN = 公開金鑰服務,CN = 服務,CN = 設定,DC =ForestRootDC = com。
    • 包含 CA 的 CA 憑證。
  • pKIEnrollmentService 物件
    • 位於 CN = 註冊服務,CN = 公開金鑰服務,CN = 服務,CN = 設定,DC =ForestRootDC = com。
    • 建立由企業 CA。
    • 包含有關 CA 已經設定的憑證類型的資訊問題。此物件權限可以控制哪些安全性主體可以對此 CA 來註冊。
當解除安裝 CA 後時,會移除 pKIEnrollmentService 物件。這防止用戶端嘗試解除委任的 CA 進行註冊。因為由 CA 所發出的憑證可能仍未解決,仍會保留其他物件。必須遵循的程序撤銷這些憑證 」 步驟 1: 撤銷所有由企業 CA 發出的使用中憑證 」 一節。

成功地處理這些未解除的憑證的公開金鑰基礎結構 (PKI) 用戶端電腦,電腦必須在 Active Directory 中找到的授權資訊存取 (AIA) 和 CRL 發佈點路徑。它是撤銷所有未解除的憑證、 擴充的 CRL 存留期和 Active Directory 中發行的 CRL 是個好主意。如果未解除的憑證由各種 PKI 用戶端所處理,驗證將會失敗,並將不會使用這些憑證。

如果它不是維護 CRL 發佈點和 AIA Active Directory 中的優先順序,您可以移除這些物件。如果您打算處理一或多個先前所使用的數位憑證,請不要移除這些物件。

從 Active Directory 中移除所有的憑證服務物件

附註您不應該移除憑證範本從作用中的目錄,直到之後 Active Directory 樹系中移除所有的 CA 物件。

若要移除 Active Directory 憑證服務的所有物件,請依照下列步驟執行:
  1. 決定 CA 的 CACommonName。若要這樣做,請依照下列步驟執行:
    1. 按一下 [開始],按一下 [執行] 型別 cmd 在 [開啟] 方塊中,然後按一下[確定]
    2. 型別 certutil然後按 ENTER 鍵。
    3. 記下屬於您的 CA 的名稱值。您必須在此程序的稍後步驟 CACommonName。
  2. 按一下 [開始],指向 [系統管理工具],然後按一下使用中的 DirectorySites 和服務
  3. 在 [檢視] 功能表上按一下 [顯示服務節點
  4. 展開 [服務],展開 [公用的 KeyServices,,然後按一下 [ AIA ] 資料夾。
  5. 在右窗格中,以滑鼠右鍵按一下CertificationAuthority 您的 CA 的物件,按一下 [刪除],然後按一下[是]
  6. 在 [Active Directory 站台和 ServicesMMC 嵌入式管理單元的左窗格中,按一下 [ CDP 資料夾。
  7. 在右窗格中,找出 theserver 的容器物件安裝憑證服務的位置。以滑鼠右鍵按一下容器,按一下 [刪除],然後按一下[是]兩次。
  8. 在 [Active Directory 站台及 ServicesMMC 嵌入式管理單元的左窗格中,按一下 [憑證授權] 節點。
  9. 在右窗格中,以滑鼠右鍵按一下CertificationAuthority 您的 CA 的物件,按一下 [刪除],然後按一下[是]
  10. 在 [Active Directory 站台及 ServicesMMC 嵌入式管理單元的左窗格中,按一下 [註冊服務] 節點。
  11. 在右窗格中,確認您 CA 的 pKIEnrollmentServiceobject 已移除憑證服務已解除安裝時。無法刪除 Ifthe 物件、 物件上按一下滑鼠右鍵,按一下 [刪除],然後按一下[是]
  12. 如果您找不到的所有物件,某些物件可能會處於作用中的目錄之後執行這些步驟。若要清除之後可能留下的物件在 Active Directory 中的 CA,請依照下列這些步驟,以判斷是否仍會保持任何 AD 物件:
    1. 在命令列中輸入下列命令,然後按 ENTER 鍵:
      ldifde r [cn =CACommonName"-d 「 CN = 公開金鑰服務,CN = 服務,CN = 設定,DC =ForestRootDC = com"-f output.ldf
      這個命令中, CACommonName 代表您在步驟 1 判定的名稱值。例如,如果名稱值是 「 CA1 康得股份有限公司 」,輸入下列:
      ldifde r"cn = CA1 Contoso 」-d"cn = 公開金鑰服務,cn = 服務,cn = 設定,dc = contoso,dc = com"-f remainingCAobjects.ldf
    2. 在記事本中開啟 remainingCAobjects.ldf 檔案。取代的詞彙"變更型別: 新增 」 與 「 變更型別: 刪除。"然後,確認是否是合法的 Active Directory 物件,會將其刪除。
    3. 在命令提示字元中,輸入下列命令,並按 ENTER,以從 Active Directory 刪除剩餘的 CA 物件:
      ldifde-i-f remainingCAobjects.ldf
  13. 如果您確定所有的憑證授權單位已被刪除,請刪除憑證範本。重複步驟 12 就可判斷是否仍會保持任何 AD 物件。

    重要除非所有的憑證授權單位已被刪除,您必須刪除憑證範本。如果不小心刪除的範本,請依照下列步驟執行:
    1. 請確定該您 arelogged 上的執行 「 憑證服務為 Enterpriseadministrator 的伺服器。
    2. 在命令提示字元中,輸入下列命令,並按 ENTER:
      cd%windir%\system32
    3. 輸入下列命令,並再按 ENTER 鍵:
      regsvr32 /i:i /n /scertcli.dll
      這個動作會重新建立在 Active Directory 中的 thecertificate 範本。
    若要刪除憑證範本,請依照下列步驟執行。
    1. 在 [Active Directory 站台及服務 」 MMC 嵌入式管理單元的左窗格中,按一下 [憑證 Templatesfolder。
    2. 在右窗格中,按一下 [憑證範本和 thenpress CTRL + A 以選取所有範本]。以滑鼠右鍵按一下選取的範本,按一下 [刪除],然後按一下[是]

步驟 7: 刪除 NtAuthCertificates 物件發行的憑證

刪除 CA 物件之後,您必須刪除 CA 憑證發佈到NtAuthCertificates物件。若要刪除 NTAuthCertificates 存放區內的憑證使用下列命令:
certutil-viewdelstore "ldap: / / CN = NtAuthCertificates,CN = 公開金鑰
服務,...,DC = ForestRoot (哥倫比亞特區) = com? Ca? 基底? objectclass = certificationAuthority

certutil-viewdelstore "ldap: / / CN = NtAuthCertificates,CN = 公開金鑰
服務,...,DC = ForestRoot (哥倫比亞特區) = com? Ca? 基底? objectclass = pKIEnrollmentService"
附註您必須執行這項工作的企業系統管理員權限。
-Viewdelstore動作會叫用憑證 UI 選取項目上指定的 attibute 中的憑證設定。您可以檢視憑證的詳細資訊。您可以取消選取範圍] 對話方塊,進行任何變更。如果您選取憑證,UI 會關閉,並完全執行此命令時,就是會刪除該憑證。

若要查看您的 Active Directory 中的NtAuthCertificates物件的完整 LDAP 路徑,請使用下列命令:
certutil 存放-? |findstr 「 CN = NTAuth"

步驟 8: 刪除 CA 資料庫

解除安裝憑證服務後,CA 資料庫保留不變,讓 CA 可能是在另一部伺服器上重新建立。

若要移除 CA 資料庫,請刪除 [%systemroot%\System32\Certlog] 資料夾。

步驟 9: 清除網域控制站

在解除安裝 CA 之後,就必須移除的已發行憑證的網域控制站。

若要移除的已發行的 Windows Server 2000 網域控制站憑證,請使用 Dsstore.exe 公用程式,從 Microsoft Windows 2000 資源套件。

若要移除已發給用 Windows Server 2000 的網域控制站的憑證,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行] 型別 cmd然後按 ENTER 鍵。
  2. 在網域控制站中,輸入 dsstore dcmon 在命令提示字元],然後按 ENTER 鍵。
  3. 型別 3然後按 ENTER 鍵。這個動作會刪除所有的網域控制站上的所有憑證。

    附註Dsstore.exe 公用程式會嘗試驗證發行給每個網域控制站的網域控制站憑證。要驗證的憑證會從其各自的網域控制站。
若要移除的已發行的 Windows Server 2003 網域控制站憑證,請依照下列步驟執行。

重要如果您使用的版本 1 的網域控制站 」 範本為基礎的憑證,請不要使用此程序。
  1. 按一下 [開始],按一下 [執行] 型別 cmd然後按 ENTER 鍵。
  2. 在網域控制站上的命令提示字元下,輸入 certutil-dcinfo deleteBad.
Certutil.exe 會嘗試驗證的網域控制站發出的所有 DC 憑證。要驗證的憑證會被移除。

若要強制安全性原則的應用程式,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行] 型別 cmd 在 [開啟] 方塊中,然後按 ENTER 鍵。
  2. 在命令提示字元中,輸入對應的版本的作業系統,適當的指令,然後按 ENTER 鍵:
    • 為 Windows Server 2000: secedit /refreshpolicy machine_policy /enforce
    • 為 Windows Server 2003: gpupdate /force

屬性

文章編號: 889250 - 上次校閱: 2013年10月24日 - 版次: 3.0
這篇文章中的資訊適用於:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
關鍵字:?
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:889250
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com