Außerbetriebnahme einer Windows-Organisationszertifizierungsstelle und alle zugehörigen Objekte entfernen

Gilt für: Windows Server 2012 StandardWindows Server 2012 StandardWindows Server 2012 Datacenter

Zusammenfassung


Bei der Deinstallation einer Zertifizierungsstelle (CA) stehen in der Regel Zertifikate von der Zertifizierungsstelle ausgestellt wurden noch aus. Ausstehende Zertifikate von verschiedenen öffentlichen Schlüsselinfrastruktur Clientcomputern verarbeitet, Validierung fehl und Zertifikate verwendet werden.

Dieser Artikel beschreibt, wie ausstehende Zertifikate widerrufen und verschiedene andere Aufgaben, die erforderlich sind, eine Zertifizierungsstelle erfolgreich deinstalliert. Dieser Artikel beschreibt außerdem einige Dienstprogramme können Sie die CA-Objekte aus der Domäne entfernen.

Einführung


Dieser Artikel beschreibt, wie eine Microsoft Windows-Unternehmenszertifizierungsstelle außer Betrieb genommen und alle verbundenen Objekte aus dem Active Directory-Verzeichnisdienst entfernt werden.

Schritt 1: Sperren Sie alle aktiven Zertifikate von der Zertifizierungsstelle der Organisation ausgestellt werden

  1. Klicken Sie auf Start, zeigen Sie auf
    Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.
  2. Erweitern Sie Zertifizierungsstelle und klicken Sie dann auf den Ordner Ausgestellte Zertifikate .
  3. Klicken Sie im rechten Bereich auf eines der ausgestellten Zertifikate und drücken Sie STRG + A, um alle Zertifikate auszuwählen.
  4. Maustaste auf die ausgewählten Zertifikate, klicken Sie auf Alle Tasks, und klicken Sie auf Zertifikat sperren.
  5. Wählen Sie im Dialogfeld Zertifikatssperrlisten die Option Vorgangsende als Grund für die Sperrung aus, und klicken Sie dann auf OK.

Schritt 2: Erhöhen Sie das Veröffentlichungsintervall

  1. Klicken Sie im Microsoft Management Console (MMC)-Snap-in "Zertifizierungsstelle" mit der rechten Maustaste auf Gesperrte Zertifikate , und klicken Sie dann auf Eigenschaften.
  2. Geben Sie im Feld Veröffentlichungsintervall einen entsprechend langen Wert, und klicken Sie dann auf OK.
Hinweis Die Zertifikatssperrliste (Certificate Revocation List, CRL) Lebensdauer sollte länger als die Gültigkeitsdauer von Zertifikaten bleibt, die gesperrt wurden.

Schritt 3: Veröffentlichen einer neuen CRL

  1. Das Zertifizierungsstellen-MMC-Snap-in mit der Maustaste die
    Ordner Gesperrte Zertifikate .
  2. Klicken Sie auf Alle Tasks, und klicken Sie dann auf
    Veröffentlichen.
  3. Klicken Sie im Dialogfeld Zertifikatsperrliste veröffentlichen auf
    Neue Sperrliste aus, und klicken Sie dann auf OK.

Schritt 4: Verweigern Sie Anfragen

Standardmäßig wird eine Unternehmenszertifizierungsstelle Zertifikaten nicht gespeichert. Administratoren kann jedoch dieses Standardverhalten ändern. Gehen Sie folgendermaßen vor, um alle ausstehenden Zertifikats verweigern:
  1. Das Zertifizierungsstellen-MMC-Snap-in klicken Sie auf den Ordner Ausstehende Anforderungen.
  2. Im rechten Bereich auf eine ausstehende Anforderung und drücken Sie STRG + A, um alle ausstehenden Zertifikaten auszuwählen.
  3. Die ausgewählten Anforderungen Maustaste, klicken Sie auf Alle Tasksund dann auf Anforderung verweigern.

Schritt 5: Deinstallation Zertifikatsdienste vom server

  1. Um Zertifikatsdienste beenden klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd einund klicken Sie auf OK.
  2. Geben Sie an der Eingabeaufforderung den Befehl Certutil-shutdown, und drücken Sie dann die EINGABETASTE.
  3. Geben Sie an der Befehlszeile
    Certutil-Schlüssel, und drücken Sie dann die EINGABETASTE. Dieser Befehl zeigt die Namen aller installierten Kryptografiedienstanbieter (CSP) und Schlüsselspeicher, die jeder Anbieter zugeordnet sind. Unter anderem aufgelisteten Schlüsselspeicher werden der Name der Zertifizierungsstelle. Der Name wird mehrere Male aufgeführt, wie im folgenden Beispiel:
    (1)Microsoft Base Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Server
    Windows2000 Enterprise Root CA
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    NetMon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

    (5)Microsoft Enhanced Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Server
    Windows2000 Enterprise Root CA
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    NetMon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Löschen Sie den privaten Schlüssel der Zertifizierungsstelle zugeordnet ist. Geben Sie dazu an der Eingabeaufforderung folgenden Befehl ein und drücken Sie die Eingabetaste:
    Certutil - Delkey CertificateAuthorityName
    Hinweis Wenn der Name der Zertifizierungsstelle Leerzeichen enthält, setzen Sie den Namen in Anführungszeichen ein.

    In diesem Beispiel wird der Name der Zertifizierungsstelle "Windows2000 Enterprise Root CA." Daher lautet die Befehlszeile in diesem Beispiel:
    Certutil - Delkey "Windows2000 Stammzertifizierungsstelle des Unternehmens"
  5. Liste der Schlüsselspeicher erneut, um sicherzustellen, dass der private Schlüssel für die Zertifizierungsstelle gelöscht wurde.
  6. Nach dem Löschen des privaten Schlüssels für die Zertifizierungsstelle Deinstallieren von Zertifikatdiensten. Dazu gehen Sie, je nach Version von Windows Server, die Sie ausführen.

    Windows Server 2003
    1. Schließen Sie das Zertifizierungsstellen-MMC-Snap-in ist noch geöffnet.
    2. Klicken Sie auf Start, zeigen Sie auf Systemsteuerung, und klicken Sie auf Software
    3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
    4. Klicken Sie im Feld Komponenten das Kontrollkästchen Zertifikatsdienste , klicken Sie auf Weiterund folgen Sie den Assistenten für Windows-Komponenten zum vollständigen Entfernen der Zertifikatsdienste.
    Windows Server 2008 oder höher

    Wenn Sie eine Unternehmenszertifizierungsstelle deinstallieren, ist Mitglied der Organisations-Admins oder die entsprechende mindestens erforderlich ist, um dieses Verfahren ausführen. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

    Gehen Sie folgendermaßen vor, um eine Zertifizierungsstelle zu deinstallieren:
    1. Klicken Sie auf Start, zeigen Sie auf Verwaltungund klicken Sie dann auf Server-Manager
    2. Unter Rollenübersichtauf Rollen entfernen , um den Assistenten zum Entfernen von Rollen zu starten und klicken Sie dann auf Weiter.
    3. Deaktivieren Sie das Kontrollkästchen Active Directory Certificate Services , und klicken Sie dann auf Weiter.
    4. Informationen Sie auf der Seite Entfernungsauswahl bestätigen die und klicken Sie dann auf Entfernen.
    5. Wenn Internet Information Services (IIS) ausgeführt wird und Sie aufgefordert werden, den Dienst zu beenden, bevor Sie mit der Deinstallation fortfahren, klicken Sie auf OK.
    6. Nachdem der Assistent zum Entfernen von Rollen abgeschlossen ist, starten Sie den Server neu. Die Deinstallation abgeschlossen ist.
    Das Verfahren unterscheidet sich mehrere Rollendienste für Active Directory-Zertifikatdienste (AD CS) auf einem einzelnen Server installiert haben. Gehen Sie folgendermaßen vor, um eine Zertifizierungsstelle deinstallieren, jedoch andere AD CS-Rollendienste beizubehalten.

    Hinweis Sie müssen mit den gleichen Berechtigungen wie der Benutzer anmelden, die zur Durchführung dieses Verfahrens Zertifizierungsstelle. Wenn Sie eine Unternehmenszertifizierungsstelle deinstallieren, ist Mitglied der Organisations-Admins oder die entsprechende mindestens erforderlich ist, um dieses Verfahren ausführen. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
    1. Klicken Sie auf Start, zeigen Sie auf Verwaltungund klicken Sie dann auf Server-Manager
    2. Klicken Sie unter Rollenübersichtauf Active Directory-Zertifikatdienste.
    3. Klicken Sie unter Services Rollen Rollendienste entfernen.
    4. Deaktivieren Sie das Kontrollkästchen Zertifizierungsstelle , und klicken Sie auf Weiter.
    5. Informationen Sie auf der Seite Entfernungsauswahl bestätigen die und klicken Sie dann auf Entfernen.
    6. Wenn IIS ausgeführt wird, und Sie aufgefordert werden, den Dienst zu beenden, bevor Sie mit der Deinstallation fortfahren, klicken Sie auf OK.
    7. Nach Abschluss des Assistenten zum Entfernen von Rollen müssen Sie den Server neu starten. Die Deinstallation abgeschlossen ist.
    Wenn die verbleibenden Rollendienste wie Online-Responder-Dienst konfiguriert wurden, um Daten von der deinstallierten Zertifizierungsstelle verwenden, müssen Sie diese Dienste unterstützen eine andere Zertifizierungsstelle neu konfigurieren. Nach der Deinstallation einer Zertifizierungsstelle verbleiben auf dem Server ist die folgende:
    • Datenbank der Zertifizierungsstelle
    • Öffentliche und private Schlüssel der Zertifizierungsstelle
    • Zertifikate der Zertifizierungsstelle im privaten Speicher
    • Zertifikate der Zertifizierungsstelle im freigegebenen Ordner, wenn während der Installation von AD CS ein freigegebener Ordner angegeben wurde
    • Stammzertifikat der Zertifizierungsstellenkette im Speicher Vertrauenswürdige Stammzertifizierungsstellen
    • Zwischenzertifikate der Zertifizierungsstellenkette im Speicher für Zwischenzertifizierungsstellen
    • Zertifikatsperrliste der Zertifizierungsstelle
    Standardmäßig diese Informationen auf dem Server werden Sie deinstallieren und neu installieren die CA. Beispielsweise können Sie deinstallieren und die Zertifizierungsstelle neu installieren, wenn Sie eine eigenständige Zertifizierungsstelle in eine Organisationszertifizierungsstelle ändern möchten.

Schritt 6: Entfernen Sie CA-Objekte aus Active Directory

Wenn Microsoft Zertifikatdienste auf einem Server, der Mitglied einer Domäne ist installiert, werden mehrere Objekte im Konfigurationscontainer in Active Directory erstellt.

Diese Objekte sind wie folgt:
  • CertificateAuthority-Objekt
    • Befindet sich im CN AIA, CN = = Public Key Services, CN = Dienste, CN = Configuration, DC =Stammdomäneder Gesamtstruktur.
    • Das CA-Zertifikat enthält der Zertifizierungsstelle.
    • Veröffentlichungsort Authority Information Access (AIA).
  • CrlDistributionPoint-Objekt
    • Befindet sich im CNServerName, CN = CDP, CN = Public Key Service, CN = Dienste, CN = Configuration, DC =ForestRoot, DC = = com.
    • In regelmäßigen Abständen von der Zertifizierungsstelle veröffentlichten Zertifikatssperrliste enthält.
    • Veröffentlichungsort CRL-Verteilungspunkt (CDP)
  • CertificationAuthority-Objekt
    • Befindet sich im CN Zertifizierungsstellen, CN = Public Key Services, CN = = Services, CN = Configuration, DC =ForestRoot, DC = com.
    • Das CA-Zertifikat enthält der Zertifizierungsstelle.
  • pKIEnrollmentService-Objekt
    • Befindet sich im CN Registrierungsdienste, CN = Public Key Services, CN = = Services, CN = Configuration, DC =ForestRoot, DC = com.
    • Von der Zertifizierungsstelle der Organisation erstellt.
    • Enthält Informationen über die Arten von Zertifikaten die Zertifizierungsstelle konfiguriert wurde, Problem. Berechtigungen für dieses Objekt steuern die Security Principals dieser CA registrieren können.
Wenn die Zertifizierungsstelle deinstalliert wird, wird nur das pKIEnrollmentService-Objekt entfernt. Dadurch wird verhindert, dass Clients außer Betrieb genommen CA registrieren möchten. Die Objekte werden beibehalten, da die von der Zertifizierungsstelle ausgestellten Zertifikate möglicherweise noch ausstehen. Diese Zertifikate müssen Verfahren in gesperrt der "Schritt 1: Sperren alle aktiven Zertifikate von der Zertifizierungsstelle der Organisation ausgestellt" Abschnitt.

Public Key Infrastructure (PKI) Clientcomputer ausstehenden Zertifikate verarbeiten müssen Computer Authority Information Access (AIA) und zur CRL Distribution Point Pfade in Active Directory suchen. Es empfiehlt sich, alle ausstehenden Zertifikate widerrufen und verlängert die Lebensdauer der Zertifikatsperrliste veröffentlichen Sie die Zertifikatssperrliste in Active Directory. Ausstehende Zertifikate von verschiedenen PKI-Clients verarbeitet, Validierung fehl und Zertifikate verwendet werden.

Ist dies keine Priorität Verteilungspunkt und AIA in Active Directory, können Sie diese Objekte entfernen. Diese Objekte nicht entfernt, wenn Sie eine oder mehrere zuvor aktiven digitaler Zertifikate zu erwarten.

Entfernen Sie alle Zertifizierungsdienste Objekte aus Active Directory

Hinweis Nicht sollten Sie Zertifikatvorlagen in Active Directory erst entfernen, nachdem alle CA-Objekte in Active Directory-Gesamtstruktur zu entfernen.

Gehen Sie folgendermaßen vor, um alle Zertifizierungsdienste Objekte aus Active Directory zu entfernen:
  1. Bestimmen der CACommonName der Zertifizierungsstelle. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie dann auf OK.
    2. Geben Sie Certutil, und drücken Sie dann die EINGABETASTE.
    3. Notieren Sie die Name -Wert, der die Zertifizierungsstelle gehört. Sie benötigen die CACommonName für spätere Schritte in dieser Prozedur.
  2. Klicken Sie auf Start, zeigen Sie auf
    Verwaltung, und klicken Sie dann auf Active Directory-Standorte und -Dienste.
  3. Klicken Sie im Menü Ansicht auf
    Dienstknoten.
  4. Erweitern Sie Diensteund klicken Sie AIA erweitern Sie Public Key Services.
  5. Im rechten Fensterbereich mit der rechten Maustaste die
    CertificationAuthority Objekt für die Zertifizierungsstelle
    Löschen, und klicken Sie auf Ja.
  6. Klicken Sie im linken Bereich der Active Directory-Standorte und -Dienste-MMC-Snap-in auf den CDP -Ordner.
  7. Suchen Sie im rechten Bereich das Containerobjekt für den Server, auf dem Zertifikatsdienste installiert sind. Klicken Sie mit der rechten Maustaste auf den Container, klicken Sie auf Löschen, und klicken Sie zweimal auf Ja .
  8. Klicken Sie im linken Bereich der Active Directory-Standorte und -Dienste-MMC-Snap-in auf den Zertifizierungsstellen-Knoten.
  9. Im rechten Fensterbereich mit der rechten Maustaste die
    CertificationAuthority Objekt für die Zertifizierungsstelle
    Löschen, und klicken Sie auf Ja.
  10. Klicken Sie im linken Bereich der Active Directory-Standorte und -Dienste-MMC-Snap-in auf Registrierung Dienstknoten.
  11. Überprüfen Sie im rechten Bereich, ob das Objekt pKIEnrollmentService für die Zertifizierungsstelle entfernt wurde, wenn Certificate Services deinstalliert wurde. Wenn das Objekt nicht gelöscht, Maustaste auf das Objekt, klicken Sie auf
    Löschen, und klicken Sie auf Ja.
  12. Nicht alle Objekte gefunden, können einige Objekte in Active Directory nach dem Durchführen dieser Schritte bleiben. Um eine Reinigung durchzuführen in einer Zertifizierungsstelle, die u. U. Objekte in Active Directory zurückgelassen hat, gehen Sie folgendermaßen vor, um festzustellen, ob irgendwelche AD-Objekte verblieben sind:
    1. Geben Sie folgenden Befehl an der Befehlszeile und dann die EINGABETASTE:
      LDIFDE – R "Cn =CACommonName" -d "CN = Public Key Services, CN = Dienste, CN = Configuration, DCForestRoot, DC = = com" -f auf, bei
      Dieser Befehl stellt CACommonName den Namen in Schritt 1 ermittelt. Beispielsweise ist der Wert Name "Zertifizierungsstelle 1 Contoso" Folgendes ein:
      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com” -f remainingCAobjects.ldf
    2. Öffnen Sie die Datei remainingCAobjects.ldf im Editor. Ersetzen Sie den Begriff "Changetype: Hinzufügen" mit "Changetype: löschen." Dann überprüfen Sie, ob Active Directory-Objekte, die Sie löschen legitim sind.
    3. Befehlszeile geben Sie folgenden Befehl und drücken Sie die verbleibende Zertifizierungsstellenobjekte aus Active Directory löschen:
      LDIFDE – i – f remainingCAobjects.ldf
  13. Löschen Sie die Zertifikatvorlagen, wenn Sie sicher sind, dass alle Zertifizierungsstellen gelöscht wurde. Wiederholen Sie Schritt 12, um festzustellen, ob alle AD-Objekte bleiben.

    Wichtig Die Zertifikatvorlagen dürfen nicht löschen, wenn alle Zertifizierungsstellen gelöscht wurden. Wenn die Vorlagen versehentlich gelöscht werden, gehen Sie folgendermaßen vor:
    1. Stellen Sie sicher, dass Sie auf einem Server angemeldet werden die Zertifikatsdienste als Administrator eines Unternehmens ausgeführt wird.
    2. Geben Sie den folgenden Befehl in der Eingabeaufforderung ein und drücken Sie dann die EINGABETASTE:
      CD %windir%\system32
    3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
      regsvr32 /i:i /n /s certcli.dll
      Diese Aktion erstellt erneut die Zertifikatvorlagen in Active Directory.
    Gehen Sie folgendermaßen vor, um Zertifikatvorlagen zu löschen.
    1. Klicken Sie im linken Bereich "Active Directory-Standorte und-Dienste" MMC-Snap-in auf den Ordner Zertifikatvorlagen.
    2. Klicken Sie im rechten Bereich auf eine Vorlage, und drücken Sie STRG + A, um alle Vorlagen auswählen. Maustaste auf die ausgewählten Vorlagen
      Löschen, und klicken Sie auf Ja.

Schritt 7: Löschen Sie Zertifikate im NtAuthCertificates-Objekt

Nach dem Löschen die Zertifizierungsstellenobjekte müssen Zertifizierungsstellenzertifikate löschen, die auf das Objekt NtAuthCertificates veröffentlicht werden. Verwenden Sie einen der folgenden Befehle Zertifikate im Speicher NTAuthCertificates löschen:
Certutil - Viewdelstore "Ldap: / / CN = NtAuthCertificates, CN = Public Key
Services, DC = ForestRoot, DC = com? cACertificate? Basis? Objectclass = CertificationAuthority"

Certutil - Viewdelstore "Ldap: / / CN = NtAuthCertificates, CN = Public Key
Services, DC = ForestRoot, DC = com? cACertificate? Basis? Objectclass = pKIEnrollmentService "
Hinweis Sie müssen Organisationsadministrator-Berechtigungen zum Ausführen dieser Aufgabe.
Die Viewdelstore - Aktion ruft Zertifikatauswahl Benutzeroberfläche auf die Zertifikate im angegebenen Standardtitel. Sie können die Zertifikatdetails anzeigen. Sie können das Dialogfeld keine Änderungen Abbrechen. Wenn Sie ein Zertifikat auswählen, wird das Zertifikat gelöscht, wenn das UI schließt und der Befehl vollständig ausgeführt.



Verwenden Sie folgenden Befehl an den vollständigen LDAP-Pfad NtAuthCertificates -Objekt in Active Directory:
Certutil-Store-? | Findstr "CN = NTAuth"

Schritt 8: Löschen der Datenbank der Zertifizierungsstelle

Wenn Certification Services deinstalliert wird, wird die CA-Datenbank intakt, damit die Zertifizierungsstelle auf einem anderen Server neu erstellt werden kann.

Entfernen Sie die CA-Datenbank löschen Sie %systemroot%\System32\Certlog.

Schritt 9: Bereinigen von Domänencontrollern

Nach der Deinstallation der Zertifizierungsstelle müssen auf Domänencontroller ausgestellte Zertifikate entfernt.

Um Zertifikate zu entfernen, die auf Windows 2000 Server-Domänencontroller ausgestellt wurden, verwenden Sie das Dsstore.exe-Dienstprogramm von Microsoft Windows 2000 Resource Kit.



Gehen Sie folgendermaßen vor, um Zertifikate zu entfernen, die auf Windows 2000 Server-Domänencontroller registriert wurden:


  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein und drücken Sie die EINGABETASTE.

  2. Auf einem Domänencontroller Dsstore Dcmon an der Befehlszeile eingeben und dann die EINGABETASTE.
  3. Geben Sie 3ein und drücken Sie die EINGABETASTE. Diese Aktion löscht alle Zertifikate auf allen Domänencontrollern.



    Hinweis Das Dienstprogramm Dsstore.exe versucht Domänencontrollerzertifikate zu überprüfen, die auf jeden Domänencontroller ausgegeben werden. Zertifikate nicht prüfen, werden von ihrer jeweiligen Domänencontroller entfernt.







Gehen Sie folgendermaßen vor, um Zertifikate zu entfernen, die auf Windows Server 2003-Domänencontroller ausgestellt wurden.

Wichtig Verwenden Sie dieses Verfahren nicht, wenn Sie Zertifikate verwenden, die auf Vorlagen der Version 1 Domain Controller.



  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein und drücken Sie die EINGABETASTE.
  2. Geben Sie an der Befehlszeile auf einem Domänencontroller Certutil - Dcinfo DeleteBad.
Certutil.exe versucht, die Domänencontrollerzertifikate zu überprüfen, die auf den Domänencontrollern ausgegeben werden. Zertifikate, die nicht validiert sind, werden entfernt.

Um die Sicherheitsrichtlinie zu erzwingen, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Cmd in das Feld Öffnen ein und drücken Sie.
  2. Befehlszeile geben Sie den entsprechenden Befehl für die entsprechende Version des Betriebssystems und drücken Sie dann die EINGABETASTE:
    • Für WindowsServer 2000: Secedit/refreshpolicy Machine_policy / enforce
    • Für WindowsServer 2003: Gpupdate/force