Cómo retirar una entidad de certificación empresarial de Windows y quitar todos los objetos relacionados

  • Artículo

En este artículo paso a paso se describe cómo retirar una CA empresarial de Microsoft Windows y cómo quitar todos los objetos relacionados del servicio de directorio de Active Directory.

Se aplica a: Windows Server
Número de KB original: 889250

Resumen

Al desinstalar una entidad de certificación (CA), los certificados emitidos por la entidad de certificación suelen seguir pendientes. Si los distintos equipos cliente de infraestructura de clave pública procesan los certificados pendientes, se producirá un error en la validación y no se usarán esos certificados.

En este artículo se describe cómo revocar certificados pendientes y cómo completar otras tareas necesarias para desinstalar correctamente una entidad de certificación. Además, en este artículo se describen varias utilidades que puede usar para ayudarle a quitar objetos de ca del dominio.

Paso 1: Revocación de todos los certificados activos emitidos por la entidad de certificación empresarial

  1. Seleccione Inicio, herramientas administrativas y, a continuación, entidad de certificación.
  2. Expanda la entidad de certificación y, a continuación, seleccione la carpeta Certificados emitidos.
  3. En el panel derecho, seleccione uno de los certificados emitidos y presione CTRL+A para seleccionar todos los certificados emitidos.
  4. Haga clic con el botón derecho en los certificados seleccionados, seleccione Todas las tareas y, a continuación, seleccione Revocar certificado.
  5. En el cuadro de diálogo Revocación de certificados, seleccione Cese de la operación como motivo de la revocación y, a continuación, seleccione Aceptar.

Paso 2: Aumento del intervalo de publicación de CRL

  1. En el complemento Entidad de certificación Microsoft Management Console (MMC), haga clic con el botón derecho en la carpeta Certificados revocados y, a continuación, seleccione Propiedades.
  2. En el cuadro Intervalo de publicación de CRL , escriba un valor adecuadamente largo y, a continuación, seleccione Aceptar.

Nota:

La duración de la lista de revocación de certificados (CRL) debe ser mayor que la duración que permanece para los certificados que se han revocado.

Paso 3: Publicación de una nueva CRL

  1. En el complemento MMC de entidad de certificación, haga clic con el botón derecho en la carpeta Certificados revocados.
  2. Seleccione Todas las tareas y, a continuación, publicar.
  3. En el cuadro de diálogo Publicar CRL , seleccione Nueva CRL y, a continuación, seleccione Aceptar.

Paso 4: Denegar las solicitudes pendientes

De forma predeterminada, una entidad de certificación empresarial no almacena solicitudes de certificado. Sin embargo, un administrador puede cambiar este comportamiento predeterminado. Para denegar las solicitudes de certificado pendientes, siga estos pasos:

  1. En el complemento MMC de entidad de certificación, seleccione la carpeta Solicitudes pendientes.
  2. En el panel derecho, seleccione una de las solicitudes pendientes y presione CTRL+A para seleccionar todos los certificados pendientes.
  3. Haga clic con el botón derecho en las solicitudes seleccionadas, seleccione Todas las tareas y, a continuación, seleccione Denegar solicitud.

Paso 5: Desinstalación de Servicios de certificados del servidor

  1. Para detener Servicios de certificados, seleccione Inicio, Ejecutar, escriba cmd y, a continuación, seleccione Aceptar.

  2. En el símbolo del sistema, escriba certutil -shutdown y presione Entrar.

  3. En el símbolo del sistema, escriba certutil -getreg CA\CSP\Provider y, a continuación, presione Entrar. Anote el valor del proveedor en la salida. Por ejemplo:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:

  Provider REG_SZ = Microsoft Software Key Storage Provider
CertUtil: -getreg command completed successfully.

    Si el valor es Proveedor criptográfico seguro de Microsoft o Proveedor criptográfico mejorado de Microsoft v1.0, escriba CertUtil -Key y presione Entrar.
    Si el valor es Proveedor de almacenamiento de claves de software de Microsoft, escriba CertUtil -CSP KSP -Key y presione Entrar.
    Si el valor es otra cosa, escriba CertUtil -CSP <PROVIDER NAME> -Key y presione Entrar.

    Este comando mostrará los nombres de todos los proveedores de servicios criptográficos (CSP) instalados y los almacenes de claves asociados a cada proveedor. Entre los almacenes de claves enumerados se mostrará el nombre de la entidad de certificación. El nombre se mostrará varias veces, como se muestra en el ejemplo siguiente:

    (1) Proveedor criptográfico de Microsoft Base v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    Servidor DCOM de IIS de MS
    Ca raíz de Windows2000 Enterprise
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

    (5) Proveedor criptográfico mejorado de Microsoft v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    Servidor DCOM de IIS de MS
    Ca raíz de Windows2000 Enterprise
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

  4. Elimine la clave privada asociada a la entidad de certificación. Para ello, en un símbolo del sistema, escriba el siguiente comando y presione Entrar:

    certutil -delkey CertificateAuthorityName

    Nota:

    Si el nombre de la entidad de certificación contiene espacios, incluya el nombre entre comillas.

    En este ejemplo, el nombre de la entidad de certificación es Windows2000 Enterprise Root CA. Por lo tanto, la línea de comandos de este ejemplo es la siguiente:

    certutil -delkey "Windows2000 Enterprise Root CA"

  5. Vuelva a enumerar los almacenes de claves para comprobar que se eliminó la clave privada de la entidad de certificación.

  6. Después de eliminar la clave privada de la entidad de certificación, desinstale Servicios de certificados. Para ello, siga estos pasos, en función de la versión de Windows Server que esté ejecutando.

    Si va a desinstalar una ENTIDAD de certificación empresarial, la pertenencia a administradores de empresa o el equivalente, es el mínimo necesario para completar este procedimiento. Para obtener más información, vea el tema sobre la implementación de la administración basada en roles.

    Para desinstalar una CA, siga estos pasos:

    1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Administrador del servidor.
    2. En Resumen de roles, seleccione Quitar roles para iniciar el Asistente para quitar roles y, a continuación, seleccione Siguiente.
    3. Seleccione esta opción para desactivar la casilla Servicios de certificados de Active Directory y, a continuación, seleccione Siguiente.
    4. En la página Confirmar opciones de eliminación , revise la información y seleccione Quitar.
    5. Si Internet Information Services (IIS) se está ejecutando y se le pide que detenga el servicio antes de continuar con el proceso de desinstalación, seleccione Aceptar.
    6. Una vez finalizado el Asistente para quitar roles, reinicie el servidor. Esto completa el proceso de desinstalación.

    El procedimiento es ligeramente diferente si tiene varios servicios de rol de Servicios de certificados de Active Directory (AD CS) instalados en un único servidor. Para desinstalar una CA pero mantener otros servicios de rol de AD CS, siga estos pasos.

    Nota:

    Debe iniciar sesión con los mismos permisos que el usuario que instaló la ca para completar este procedimiento. Si va a desinstalar una ENTIDAD de certificación empresarial, la pertenencia a administradores de empresa o el equivalente, es el mínimo necesario para completar este procedimiento. Para obtener más información, vea el tema sobre la implementación de la administración basada en roles.

    1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Administrador del servidor.
    2. En Resumen de roles, seleccione Servicios de certificados de Active Directory.
    3. En Servicios de roles, seleccione Quitar servicios de rol.
    4. Active esta casilla para desactivar la entidad de certificación y, a continuación, seleccione Siguiente.
    5. En la página Confirmar opciones de eliminación , revise la información y seleccione Quitar.
    6. Si IIS se está ejecutando y se le pide que detenga el servicio antes de continuar con el proceso de desinstalación, seleccione Aceptar.
    7. Una vez finalizado el Asistente para quitar roles, debe reiniciar el servidor. Esto completa el proceso de desinstalación.

    Si los servicios de rol restantes, como el servicio de respondedor en línea, se configuraron para usar datos de la CA desinstalada, debe volver a configurar estos servicios para admitir una ca diferente. Una vez desinstalada una CA, se deja la siguiente información en el servidor:

    • La base de datos de CA.
    • Claves públicas y privadas de ca.
    • Certificados de la entidad de certificación en el almacén personal.
    • Certificados de la entidad de certificación en la carpeta compartida, si se especificó una carpeta compartida durante la instalación de AD CS.
    • Certificado raíz de la cadena de CA en el almacén de entidades de certificación raíz de confianza.
    • Certificados intermedios de la cadena de ca en el almacén de entidades de certificación intermedias.
    • CRL de la CA.

    De forma predeterminada, esta información se mantiene en el servidor en caso de que se desinstale y, a continuación, se vuelva a instalar la CA. Por ejemplo, puede desinstalar y volver a instalar la CA si desea cambiar una CA independiente a una CA empresarial.

Paso 6: Eliminación de objetos de CA de Active Directory

Cuando Microsoft Certificate Services está instalado en un servidor que es miembro de un dominio, se crean varios objetos en el contenedor de configuración de Active Directory.

Estos objetos son los siguientes:

  • certificateAuthority (objeto)

    • Se encuentra en CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
    • Contiene el certificado de ca para la ca.
    • Ubicación de acceso a la información de autoridad publicada (AIA).

  • crlDistributionPoint (objeto)

    • Se encuentra en CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contiene la CRL publicada periódicamente por la entidad de certificación.
    • Ubicación del punto de distribución crl (CDP) publicada.

  • certificationAuthority (objeto)

    • Se encuentra en CN=Entidades de certificación,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contiene el certificado de ca para la ca.

  • pKIEnrollmentService (objeto)

    • Se encuentra en CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Creado por la entidad de certificación empresarial.
    • Contiene información sobre los tipos de certificados que la CA ha configurado para emitir. Los permisos de este objeto pueden controlar qué entidades de seguridad pueden inscribirse en esta CA.

Cuando se desinstala la CA, solo se quita el objeto pKIEnrollmentService. Esto impide que los clientes intenten inscribirse en la ca retirada. Los demás objetos se conservan porque es probable que los certificados emitidos por la entidad de certificación sigan pendientes. Estos certificados deben revocarse siguiendo el procedimiento descrito en la sección Paso 1: Revocar todos los certificados activos emitidos por la entidad de certificación empresarial .

Para que los equipos cliente de infraestructura de clave pública (PKI) procesen correctamente estos certificados pendientes, los equipos deben encontrar las rutas de acceso de acceso a la información de autoridad (AIA) y punto de distribución CRL en Active Directory. Es una buena idea revocar todos los certificados pendientes, ampliar la duración de la CRL y publicar la CRL en Active Directory. Si los distintos clientes PKI procesan los certificados pendientes, se producirá un error en la validación y no se usarán esos certificados.

Si no es una prioridad mantener el punto de distribución CRL y AIA en Active Directory, puede quitar estos objetos. No quite estos objetos si espera procesar uno o varios de los certificados digitales activos anteriormente.

Eliminación de todos los objetos de Certification Services de Active Directory

Nota:

No debe quitar plantillas de certificado de Active Directory hasta que quite todos los objetos de ca del bosque de Active Directory.

Para quitar todos los objetos de Certification Services de Active Directory, siga estos pasos:

  1. Determine el CACommonName de la CA. Para ello, siga estos pasos:

    1. Seleccione Inicio, seleccione Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
    2. Escriba certutil y presione ENTRAR.
    3. Anote el valor nombre que pertenece a la entidad de certificación. Necesitará CACommonName para los pasos posteriores de este procedimiento.

  2. Seleccione Inicio, seleccione Herramientas administrativas y, después, Sitios y servicios de Active Directory.

  3. En el menú Ver , seleccione Mostrar nodo servicios.

  4. Expanda Servicios, expanda Servicios de clave pública y, a continuación, seleccione la carpeta AIA.

  5. En el panel derecho, haga clic con el botón derecho en el objeto CertificationAuthority de la entidad de certificación, seleccione Eliminar y, a continuación, seleccione .

  6. En el panel izquierdo del complemento MMC Sitios y servicios de Active Directory, seleccione la carpeta CDP.

  7. En el panel derecho, busque el objeto contenedor para el servidor donde está instalado Certificate Services. Haga clic con el botón derecho en el contenedor, seleccione Eliminar y, a continuación, seleccione dos veces.

  8. En el panel izquierdo del complemento MMC Sitios y servicios de Active Directory, seleccione el nodo Entidades de certificación .

  9. En el panel derecho, haga clic con el botón derecho en el objeto CertificationAuthority de la entidad de certificación, seleccione Eliminar y, a continuación, seleccione .

  10. En el panel izquierdo del complemento MMC Sitios y servicios de Active Directory, seleccione el nodo Servicios de inscripción .

  11. En el panel derecho, compruebe que el objeto pKIEnrollmentService de la CA se quitó cuando se desinstale Certificate Services. Si el objeto no se elimina, haga clic con el botón derecho en el objeto, seleccione Eliminar y, a continuación, seleccione .

  12. Si no ha localizado todos los objetos, algunos objetos pueden dejarse en Active Directory después de realizar estos pasos. Para limpiar después de una entidad de certificación que puede haber dejado objetos en Active Directory, siga estos pasos para determinar si permanecen los objetos de AD:

    1. Escriba el siguiente comando en una línea de comandos y presione ENTRAR:

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf

      En este comando, CACommonName representa el valor name que ha determinado en el paso 1. Por ejemplo, si el valor nombre es CA1 Contoso, escriba lo siguiente:

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf

    2. Abra el archivo restanteCAobjects.ldf en el Bloc de notas. Reemplace el término changetype: add por changetype: delete. A continuación, compruebe si los objetos de Active Directory que va a eliminar son legítimos.

    3. En un símbolo del sistema, escriba el siguiente comando y, a continuación, presione ENTRAR para eliminar los objetos de CA restantes de Active Directory:

      ldifde -i -f remainingCAobjects.ldf

  13. Elimine las plantillas de certificado si está seguro de que se han eliminado todas las entidades de certificación. Repita el paso 12 para determinar si permanecen los objetos de AD.

    Importante

    No debe eliminar las plantillas de certificado a menos que se hayan eliminado todas las entidades de certificación. Si las plantillas se eliminan accidentalmente, siga estos pasos:

    1. Asegúrese de que ha iniciado sesión en un servidor que ejecuta Servicios de certificados como administrador de empresa.

    2. En un símbolo del sistema, escriba el siguiente comando y, a continuación, presione ENTRAR:

      cd %windir%\system32

    3. Escriba el siguiente comando y presione ENTRAR:

      regsvr32 /i:i /n /s certcli.dll

      Esta acción vuelve a crear las plantillas de certificado en Active Directory.

    Para eliminar las plantillas de certificado, siga estos pasos.

    1. En el panel izquierdo del complemento MMC Sitios y servicios de Active Directory , seleccione la carpeta Plantillas de certificado.
    2. En el panel derecho, seleccione una plantilla de certificado y presione Ctrl+A para seleccionar todas las plantillas. Haga clic con el botón derecho en las plantillas seleccionadas, seleccione Eliminar y, a continuación, seleccione .

Paso 7: Eliminación de certificados publicados en el objeto NtAuthCertificates

Después de eliminar los objetos de ca, debe eliminar los certificados de ca que se publican en el NtAuthCertificates objeto . Use cualquiera de los siguientes comandos para eliminar certificados del NTAuthCertificates almacén:

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Nota:

Debe tener permisos de administrador de empresa para realizar esta tarea.

La -viewdelstore acción invoca la interfaz de usuario de selección de certificados en el conjunto de certificados del atributo especificado. Puede ver los detalles del certificado. Puede cancelar fuera del cuadro de diálogo de selección para no realizar cambios. Si selecciona un certificado, ese certificado se elimina cuando se cierra la interfaz de usuario y el comando se ejecuta por completo.

Use el siguiente comando para ver la ruta de acceso LDAP completa al objeto NtAuthCertificates en Active Directory:

certutil -viewdelstore -? | findstr "CN=NTAuth"

Paso 8: Eliminación de la base de datos de CA

Cuando se desinstala Certification Services, la base de datos de CA se deja intacta para que se pueda volver a crear la entidad de certificación en otro servidor.

Para quitar la base de datos de CA, elimine la carpeta %systemroot%\System32\Certlog .

Paso 9: Limpieza de controladores de dominio

Una vez desinstalada la entidad de certificación, se deben quitar los certificados emitidos a los controladores de dominio.

Para quitar los certificados emitidos a los controladores de dominio de Windows Server 2000, use la utilidad Dsstore.exe del Kit de recursos de Microsoft Windows 2000.

Para quitar los certificados emitidos a los controladores de dominio de Windows Server 2000, siga estos pasos:

  1. Seleccione Inicio, seleccione Ejecutar, escriba cmd y presione ENTRAR.

  2. En un controlador de dominio, escriba dsstore -dcmon en el símbolo del sistema y presione ENTRAR.

  3. Escriba 3 y presione ENTRAR. Esta acción elimina todos los certificados de todos los controladores de dominio.

    Nota:

    La utilidad Dsstore.exe intentará validar los certificados de controlador de dominio que se emiten a cada controlador de dominio. Los certificados que no validan se quitan de su controlador de dominio respectivo.

Para quitar los certificados emitidos a los controladores de dominio de Windows Server 2003, siga estos pasos.

Importante

No use este procedimiento si usa certificados basados en plantillas de controlador de dominio de la versión 1.

  1. Seleccione Inicio, seleccione Ejecutar, escriba cmd y presione ENTRAR.

  2. En el símbolo del sistema de un controlador de dominio, escriba certutil -dcinfo deleteBad.

    Certutil.exe intenta validar todos los certificados de controlador de dominio que se emiten a los controladores de dominio. Se quitan los certificados que no validan.

Para forzar la aplicación de la directiva de seguridad, siga estos pasos:

  1. Seleccione Inicio, seleccione Ejecutar, escriba cmd en el cuadro Abrir y presione ENTRAR.
  2. En un símbolo del sistema, escriba el comando adecuado para la versión correspondiente del sistema operativo y, a continuación, presione ENTRAR:

    • Para Windows Server 2000:

      secedit /refreshpolicy machine_policy /enforce

    • Para Windows Server 2003:

      gpupdate /force