當您解除安裝憑證授權單位 (CA) 時,是通常仍未解除由 CA 所發出的憑證。如果未解除的憑證由各種 「 公開金鑰基礎結構 」 用戶端電腦來處理,則驗證將會失敗,和那些憑證也不會被使用。
本文將告訴您如何撤銷未解除的憑證,以及如何完成為順利解除安裝 CA 所需的各種其他工作。此外,本文將告訴您可用來協助您從網域移除 CA 物件的幾個公用程式。
本文將逐步告訴您,如何解除委任Microsoft Windows 企業 CA,以及如何移除所有相關的物件Active Directory 目錄服務。
步驟 1: 撤銷所有由企業 CA 所發出的使用中憑證
- 按一下 啟動指向系統管理工具然後按一下 憑證授權單位.
- 展開您的 CA,然後按一下 發行憑證 資料夾。
- 在右窗格中,按一下其中一個發行的憑證,然後按 CTRL + A 選取所有已發行的憑證。
- 以滑鼠右鍵按一下選取的憑證,請按一下 所有工作, 然後按一下 撤消憑證.
- 在 憑證被撤銷 對話方塊中,按一下以選取 操作停止 做為的理由撤銷,然後再按一下 [確定].
步驟 2: 增加 CRL 公佈間隔
- 在 [憑證授權單位的 Microsoft 管理主控台(MMC) 嵌入式管理單元,按一下滑鼠右鍵 已撤銷的憑證 資料夾中,然後按一下 屬性.
- 在 CRL 公佈間隔 方塊中輸入適當長度的值,然後再按一下 [確定].
附註 應該是憑證撤銷清單 (CRL) 的存留期較長的時間比您所擁有的憑證會保持存留期撤消。
步驟 3: 發佈新的 CRL。
- 在 [憑證授權單位 MMC] 嵌入式管理單元,請以滑鼠右鍵按一下已撤銷的憑證 資料夾。
- 按一下 所有的任務然後按一下發佈.
- 在 發行的 CRL 對話方塊中,按一下新的 CRL然後按一下 [確定].
步驟 4: 拒絕任何擱置要求
根據預設,企業 CA 所儲存的憑證要求。不過,系統管理員可以變更此預設行為。若要拒絕任何擱置中憑證要求時,請遵循下列步驟:
- 在 [憑證授權單位 MMC] 嵌入式管理單元,按一下擱置要求] 資料夾。
- 在右窗格中,按一下 [擱置要求,並然後按下 CTRL + A 以選取所有擱置的憑證。
- 以滑鼠右鍵按一下選取的要求,請按一下 所有工作然後按一下 拒絕的要求.
步驟 5: 憑證服務伺服器,解除安裝
- 若要停止 「 憑證服務,請按一下 啟動,按一下 執行型別 cmd然後按一下[確定].
- 在命令提示字元中,輸入 certutil-關閉然後按 ENTER 鍵。
- 若要列出為本機電腦的所有金鑰存放區,請鍵入certutil-索引鍵 在命令提示字元中。這個命令會顯示所有已安裝的密碼編譯服務提供者 (CSP) 的名稱然後每個提供者相關聯的金鑰存放區。在所列的索引鍵之間存放區,您會看到您的 CA 名稱列出數次,如所示下列範例。
(1)Microsoft Base Cryptographic Provider v1.0:
1a3b2f44-2540-408b-8867-51bd6b6ed413
MS IIS DCOM ClientSYSTEMS-1-5-18
MS IIS DCOM Server
Windows2000 Enterprise Root CA
MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
(5)Microsoft Enhanced Cryptographic Provider v1.0:
1a3b2f44-2540-408b-8867-51bd6b6ed413
MS IIS DCOM ClientSYSTEMS-1-5-18
MS IIS DCOM Server
Windows2000 Enterprise Root CA
MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
- 刪除與 CA 相關聯的私密金鑰。若要執行這項操作,請在命令提示字元輸入下列命令:
certutil-delkey CertificateAuthorityName
附註 如果您的 CA 名稱包含空格,請以引號含括名稱標記。
在這個範例中,CertificateAuthorityName windows 2000 企業根憑證授權單位。因此,命令列在這個範例中,如下所示:certutil-delkey 「 windows 2000 企業根 CA 」
- 列出金鑰存放區,一次,以確認私密金鑰授權已被刪除。
- 刪除 ca 的私密金鑰之後,解除安裝憑證服務。執行這項操作,請依照下列步驟執行:
- 如果是,關閉 [憑證授權單位 MMC] 嵌入式管理單元仍然開啟。
- 按一下 啟動指向 控制項面板然後按一下 新增或移除程式.
- 按一下 新增/移除 Windows元件.
- 在 元件 方塊中,按一下以清除[ 憑證服務 核取方塊,請按一下 下一步然後依照指示 視窗元件精靈 若要完成的憑證移除服務。
步驟 6: 移除 CA 物件從 Active Directory
當 Microsoft 憑證服務安裝在伺服器上,為其成員會加入網域組態中建立數個物件在 [Active Directory 容器。
這些物件,如下所示:
- certificateAuthority 物件
- 位於 CN = AIA,CN = (Public Key)服務 」、 「 CN = 服務,CN = 設定,DC =ForestRootDomain.
- 包含憑證授權單位的憑證授權單位。
- 發行授權資訊存取 (AIA)位置。
- crlDistributionPoint 物件
- 位於CN =伺服器名稱CN = CDP CN = (Public Key)服務 」、 「 CN = 服務,CN = 設定,DC =ForestRootDC = com。
- 包含會定期發行的 CRL憑證授權單位。
- 已發佈的 CRL 發佈點 」 (CDP)位置
- certificationAuthority 物件
- 位於 CN = 憑證授權單位] CN = (Public Key)服務 」、 「 CN = 服務,CN = 設定,DC =ForestRootDC = com。
- 包含憑證授權單位的憑證授權單位。
- pKIEnrollmentService 物件
- 位於 CN = 註冊服務,CN = (Public Key)服務 」、 「 CN = 服務,CN = 設定,DC =ForestRootDC = com。
- 建立由企業 CA。
- 包含的憑證類型的相關資訊CA 已經設定問題。此物件權限可以控制哪些安全性主體可以對此 CA 進行註冊。
當解除安裝 CA 後時,只有 pKIEnrollmentService 物件會移除。這防止用戶端嘗試進行註冊已解除委任的 CA。因為憑證的是,仍會保留其他物件由 CA 簽發可能是仍未解除。這些憑證必須是藉由遵循的程序撤銷 「 步驟 1: 撤銷所有作用中由企業 CA 所發行的憑證 」 一節。
針對成功地處理這些的公用金鑰基礎結構 (PKI) 用戶端電腦未解除的憑證,電腦必須找出授權資訊存取 (AIA) 」 及 「 CRL 發佈點在 Active Directory 中的路徑。它是一個良好撤銷所有未解除的憑證的做法延長其有效期限的 CRL,然後,在 Active Directory 中發行的 CRL。如果未解除的憑證由各種 PKI 用戶端所處理,驗證將會失敗,而且這些憑證也不會被使用。
如果還沒有維護的優先順序[CRL 發佈點和 AIA Active Directory 中的,您可以移除這些物件。請勿移除這些物件,如果您打算處理一或多個先前所使用的數位憑證。
移除所有的憑證從 Active Directory 服務物件
附註 Active Directory 樹系中移除所有的 CA 物件後,應該不從 Active Directory,直到移除憑證範本。
若要移除所有的憑證從 Active Directory 服務物件,請遵循下列步驟:
- 決定 CA 的 CACommonName。執行這項操作,請依照下列步驟執行:
- 按一下 啟動按一下 執行型別 cmd 在 開啟 方塊中,然後再按一下 [確定].
- 型別 certutil然後按 ENTER 鍵。
- 請記下 名稱 您的 CA 所屬的值。您必須在此程序後面幾個步驟 CACommonName。
- 按一下 啟動指向系統管理工具然後按一下 Active Directory站台及服務.
- 在上 檢視 功能表中,按一下顯示服務節點.
- 展開 服務展開 (Public Key)服務然後按一下 AIA 資料夾。
- 在右窗格中,以滑鼠右鍵按一下CertificationAuthority 您的 CA 的物件,請按一下刪除然後按一下 [是].
- 在 [Active Directory 站台及服務的左窗格中MMC 嵌入式管理單元,按一下 CDP 資料夾。
- 在右窗格中,找出的容器物件憑證服務安裝所在的伺服器。以滑鼠右鍵按一下容器,按一下 刪除然後按一下 [是] 兩次。
- 在 [Active Directory 站台及服務的左窗格中MMC 嵌入式管理單元,按一下 憑證授權單位節點。
- 在右窗格中,以滑鼠右鍵按一下CertificationAuthority 您的 CA 的物件,請按一下刪除然後按一下 [是].
- 在 [Active Directory 站台及服務的左窗格中MMC 嵌入式管理單元,按一下 註冊服務 節點。
- 在右窗格中,確認 pKIEnrollmentService解除安裝憑證服務 」 時移除 ca 物件。如果無法刪除該物件,該物件上按一下滑鼠右鍵,再按刪除然後按一下 [是].
- 如果您找不到的所有物件,有些物件可能會處於 Active Directory 後您執行這些步驟。若要清除之後可能留下的物件在 Active Directory 中的憑證授權單位,請依照下列這些步驟,以判斷是否仍會保持任何 AD 物件:
- 請在命令列中,輸入下列命令,然後按 ENTER 鍵:
ldifde r"cn =CACommonName"-d"CN = 公開金鑰服務] CN = 服務,CN = 設定,DC =ForestRootDC = com"-f output.ldf
在這個命令中, CACommonName 表示 名稱 您在步驟 1 判定的值。比方說,如果 名稱 值為"CA1 Contoso 」,輸入下列命令:ldifde r"cn = CA1 康得股份有限公司"-d"cn = 公開金鑰服務,cn = 服務,cn = 組態,dc = [康得股份有限公司,dc = com"-f remainingCAobjects.ldf
- 在記事本中開啟 remainingCAobjects.ldf 檔案。取代的詞彙"變更型別: 新增"與"變更型別: 刪除。"然後,確認是否是合法的 Active Directory 物件,會將其刪除。
- 在命令提示字元中,輸入下列命令,並按 ENTER,以從 Active Directory 刪除其餘的 CA 物件:
ldifde-i-f remainingCAobjects.ldf
- 如果您確定所有的憑證授權單位已被刪除,請刪除憑證範本。重複步驟 12 就可判斷是否仍會保持任何 AD 物件。
重要 除非所有的憑證授權單位已被刪除,您必須不刪除憑證範本。如果不小心刪除了範本,請遵循下列步驟:- 請確定您是登入到伺服器執行企業與憑證服務系統管理員。
- 在命令提示字元中,輸入下列命令,並再按 ENTER 鍵:
光碟片%windir%\system32
- 輸入下列命令,然後再按 ENTER 鍵:
regsvr32 /i:i /n /scertcli.dll
這個動作會重新建立在 [Active Directory 中的憑證範本。
若要刪除憑證範本,請依照下列步驟執行。- 在 [Active Directory 站台及服務 」 的左窗格中MMC 嵌入式管理單元時,按一下 [憑證範本資料夾。
- 在右窗格中,按一下 [憑證範本,然後再請按 CTRL + A 以選取所有範本。以滑鼠右鍵按一下選取的範本,請按一下刪除然後按一下 [是].
步驟 7: 刪除 NtAuthCertificates 物件發行的憑證
當您刪除 CA 物件之後,就必須刪除已發佈到它的 CA 憑證
NtAuthCertificates 物件。使用下列命令以刪除從 NTAuthCertificates 存放區內的憑證:
certutil-viewdelstore ldap: / / CN = NtAuthCertificates,CN = (Public Key)
服務...」,DC =ForestRoot特區 com? cACertificate? 基底? objectclass = certificationAuthority
certutil-viewdelstore ldap: / / CN = NtAuthCertificates,CN = (Public Key)
服務...」,DC =ForestRoot特區 com? cACertificate? 基底? objectclass = pKIEnrollmentService
附註 您必須有企業系統管理員權限,才能執行此工作。
[
-viewdelstore 動作會叫用的憑證中指定的 attibute 上的憑證選取 UI。您可以檢視憑證的詳細資訊。您可以取消 [選取項目] 對話方塊進行任何變更。如果您選擇一個憑證時,UI 會關閉,並已完整執行此命令時,會刪除該憑證。
若要查看完整的 LDAP 路徑,請使用下列命令
NtAuthCertificates 您的 Active Directory 中的物件:
certutil 存放-? |findstr"CN = NTAuth"
步驟 8: 刪除 CA 資料庫
解除安裝憑證服務後,CA 資料庫時,讓 CA 可能是在另一部伺服器上重新建立,則會保留不變。
若要CA 資料庫中移除,請刪除 %systemroot%\System32\Certlog資料夾。
清理網域控制站的步驟 9:
解除安裝 CA 之後,就必須移除的已發行憑證的網域控制站。
若要移除的已發行的 Windows Server 2000 的網域控制站憑證,請使用 Microsoft Windows 2000 資源工具箱 」 中的 「 Dsstore.exe 」 公用程式。
若要移除已發給用 Windows Server 2000 的網域控制站的憑證,請遵循下列步驟:
- 按一下 啟動按一下 執行型別 cmd然後按 ENTER 鍵。
- 在網域控制站中,輸入 dsstore dcmon 在命令提示字元],然後按 ENTER 鍵。
- 型別 3然後按 ENTER 鍵。這個動作會刪除所有的網域控制站上的所有憑證。
附註 「 Dsstore.exe 」 公用程式會嘗試驗證網域控制站憑證發給每個網域控制站。未驗證的憑證就會自其各自的網域控制站。
若要移除的已發行的 Windows Server 2003 網域控制站憑證,請依照下列步驟執行。
重要 如果您使用的版本 1 的網域控制站 」 範本為基礎的憑證,請不要使用此程序。
- 按一下 啟動按一下 執行型別 cmd然後按 ENTER 鍵。
- 網域控制站上的命令提示下鍵入 certutil-dcinfo deleteBad.
Certutil.exe 會嘗試驗證的網域控制站所發出的所有 DC 憑證。未驗證的憑證會被移除。
若要強制應用程式的安全性原則中,請依照下列步驟執行:
- 按一下 啟動按一下 執行,型別 cmd 在 開啟 方塊中,然後按 ENTER 鍵。
- 在命令提示字元中輸入相對應的作業系統版本,適當的指令,然後按 ENTER 鍵:
- 為 Windows Server 2000: secedit /refreshpolicy machine_policy / 強制執行
- 為 Windows Server 2003: gpupdate /force
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
機器翻譯
回此頁最上方
