Een Windows Enterprise-certificeringsinstantie buiten gebruik stellen en alle gerelateerde objecten verwijderen

  • Artikel

In dit stapsgewijze artikel wordt beschreven hoe u een Microsoft Windows Enterprise-CA buiten gebruik stelt en hoe u alle gerelateerde objecten verwijdert uit de Active Directory-adreslijstservice.

Van toepassing op: Windows Server
Origineel KB-nummer: 889250

Samenvatting

Wanneer u een certificeringsinstantie (CA) verwijdert, zijn de certificaten die zijn uitgegeven door de CA doorgaans nog steeds openstaand. Als de openstaande certificaten worden verwerkt door de verschillende public key infrastructure-clientcomputers, mislukt de validatie en worden deze certificaten niet gebruikt.

In dit artikel wordt beschreven hoe u openstaande certificaten kunt intrekken en hoe u verschillende andere taken uitvoert die nodig zijn om een CA te verwijderen. Daarnaast worden in dit artikel verschillende hulpprogramma's beschreven die u kunt gebruiken om CA-objecten uit uw domein te verwijderen.

Stap 1: alle actieve certificaten intrekken die zijn uitgegeven door de ondernemings-CA

  1. Selecteer Start, wijs Systeembeheer aan en selecteer vervolgens Certificeringsinstantie.
  2. Vouw uw CA uit en selecteer vervolgens de map Uitgegeven certificaten.
  3. Selecteer in het rechterdeelvenster een van de uitgegeven certificaten en druk op Ctrl+A om alle uitgegeven certificaten te selecteren.
  4. Klik met de rechtermuisknop op de geselecteerde certificaten, selecteer Alle taken en selecteer vervolgens Certificaat intrekken.
  5. Selecteer in het dialoogvenster Certificaatintrekkingde optie Stopzetten van de bewerking als reden voor intrekking en selecteer vervolgens OK.

Stap 2: het CRL-publicatie-interval verhogen

  1. Klik in de MMC-module (Microsoft Management Console) van de certificeringsinstantie met de rechtermuisknop op de map Ingetrokken certificaten en selecteer vervolgens Eigenschappen.
  2. Typ in het vak CRL-publicatie-interval een geschikte lange waarde en selecteer OK.

Opmerking

De levensduur van de certificaatintrekkingslijst (CRL) moet langer zijn dan de levensduur die overblijft voor certificaten die zijn ingetrokken.

Stap 3: een nieuwe CRL publiceren

  1. Klik in de MMC-module certificeringsinstantie met de rechtermuisknop op de map Ingetrokken certificaten.
  2. Selecteer Alle taken en selecteer vervolgens Publiceren.
  3. Selecteer in het dialoogvenster CRL publiceren de optie Nieuwe CRL en selecteer vervolgens OK.

Stap 4: alle aanvragen in behandeling weigeren

Standaard slaat een ondernemings-CA geen certificaataanvragen op. Een beheerder kan dit standaardgedrag echter wijzigen. Volg deze stappen om certificaataanvragen in behandeling te weigeren:

  1. Selecteer in de MMC-module certificeringsinstantie de map Aanvragen in behandeling.
  2. Selecteer in het rechterdeelvenster een van de aanvragen die in behandeling zijn en druk op Ctrl+A om alle certificaten in behandeling te selecteren.
  3. Klik met de rechtermuisknop op de geselecteerde aanvragen, selecteer Alle taken en selecteer vervolgens Aanvraag weigeren.

Stap 5: Certificate Services van de server verwijderen

  1. Als u Certificate Services wilt stoppen, selecteert u Start, selecteert u Uitvoeren, typt u cmd en selecteert u vervolgens OK.

  2. Typ bij de opdrachtprompt certutil -shutdown en druk op Enter.

  3. Typ bij de opdrachtprompt certutil -getreg CA\CSP\Provider en druk op Enter. Noteer de waarde provider in de uitvoer. Bijvoorbeeld:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:

  Provider REG_SZ = Microsoft Software Key Storage Provider
CertUtil: -getreg command completed successfully.

    Als de waarde Microsoft Strong Cryptographic Provider of Microsoft Enhanced Cryptographic Provider v1.0 is, typt u CertUtil -Key en drukt u op Enter.
    Als de waarde Microsoft Software Key Storage Provider is, typt u CertUtil -CSP KSP -Key en drukt u op Enter.
    Als de waarde iets anders is, typt u CertUtil -CSP <PROVIDER NAME> -Key en drukt u op Enter.

    Met deze opdracht worden de namen weergegeven van alle geïnstalleerde cryptografische serviceproviders (CSP) en de sleutelarchieven die aan elke provider zijn gekoppeld. De naam van uw CA wordt vermeld onder de vermelde sleutelarchieven. De naam wordt meerdere keren weergegeven, zoals wordt weergegeven in het volgende voorbeeld:

    (1) Microsoft Base Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM-server
    Basis-CA voor Windows2000 Enterprise
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

    (5) Microsoft Enhanced Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM-server
    Basis-CA voor Windows2000 Enterprise
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

  4. Verwijder de persoonlijke sleutel die is gekoppeld aan de CA. Hiervoor typt u bij een opdrachtprompt de volgende opdracht en drukt u op Enter:

    certutil -delkey CertificateAuthorityName

    Opmerking

    Als uw CA-naam spaties bevat, plaatst u de naam tussen aanhalingstekens.

    In dit voorbeeld is de naam van de certificeringsinstantie Windows2000 Enterprise-basis-CA. Daarom is de opdrachtregel in dit voorbeeld als volgt:

    certutil -delkey "Windows2000 Enterprise Root CA"

  5. Geef de sleutelarchieven opnieuw weer om te controleren of de persoonlijke sleutel voor uw CA is verwijderd.

  6. Nadat u de persoonlijke sleutel voor uw CA hebt verwijderd, verwijdert u Certificate Services. Volg hiervoor deze stappen, afhankelijk van de versie van Windows Server die u gebruikt.

    Als u een ondernemings-CA verwijdert, is het lidmaatschap van Ondernemingsadministreert of het equivalent daarvan het minimum dat is vereist om deze procedure te voltooien. Zie Role-Based-beheer implementeren voor meer informatie.

    Voer de volgende stappen uit om een CA te verwijderen:

    1. Selecteer Start, wijs Systeembeheer aan en selecteer vervolgens Serverbeheer.
    2. Selecteer onder Rollenoverzichtde optie Rollen verwijderen om de wizard Rollen verwijderen te starten en selecteer vervolgens Volgende.
    3. Schakel het selectievakje Active Directory Certificate Services in en selecteer Volgende.
    4. Controleer op de pagina Opties voor verwijderen bevestigen de informatie en selecteer verwijderen.
    5. Als IIS (Internet Information Services) wordt uitgevoerd en u wordt gevraagd de service te stoppen voordat u doorgaat met het verwijderingsproces, selecteert u OK.
    6. Nadat de wizard Functies verwijderen is voltooid, start u de server opnieuw op. Hiermee wordt het verwijderingsproces voltooid.

    De procedure verschilt enigszins als u meerdere Active Directory Certificate Services -functieservices (AD CS) op één server hebt geïnstalleerd. Volg deze stappen om een CA te verwijderen, maar andere AD CS-functieservices te behouden.

    Opmerking

    U moet zich aanmelden met dezelfde machtigingen als de gebruiker die de CA heeft geïnstalleerd om deze procedure te voltooien. Als u een ondernemings-CA verwijdert, is het lidmaatschap van Ondernemingsadministreert of het equivalent daarvan het minimum dat is vereist om deze procedure te voltooien. Zie Role-Based-beheer implementeren voor meer informatie.

    1. Selecteer Start, wijs Systeembeheer aan en selecteer vervolgens Serverbeheer.
    2. Selecteer onder Rollenoverzichtde optie Active Directory Certificate Services.
    3. Selecteer onder Rollenservicesde optie Functieservices verwijderen.
    4. Schakel het selectievakje Certificeringsinstantie in en selecteer vervolgens Volgende.
    5. Controleer op de pagina Opties voor verwijderen bevestigen de informatie en selecteer verwijderen.
    6. Als IIS wordt uitgevoerd en u wordt gevraagd de service te stoppen voordat u doorgaat met het verwijderen, selecteert u OK.
    7. Nadat de wizard Functies verwijderen is voltooid, moet u de server opnieuw opstarten. Hiermee wordt het verwijderingsproces voltooid.

    Als de resterende functieservices, zoals de Online Responder-service, zijn geconfigureerd voor het gebruik van gegevens van de verwijderd CA, moet u deze services opnieuw configureren om een andere CA te ondersteunen. Nadat een CA is verwijderd, blijft de volgende informatie achter op de server:

    • De CA-database.
    • De openbare en persoonlijke sleutels van de CA.
    • De certificaten van de CA in het persoonlijke archief.
    • De certificaten van de CA in de gedeelde map, als er een gedeelde map is opgegeven tijdens de installatie van AD CS.
    • Het basiscertificaat van de CA-keten in het archief vertrouwde basiscertificeringsinstanties.
    • De tussenliggende certificaten van de CA-keten in het archief tussenliggende certificeringsinstanties.
    • De CRL van de CA.

    Deze informatie wordt standaard op de server bewaard voor het geval u de CA verwijdert en vervolgens opnieuw installeert. U kunt de CA bijvoorbeeld verwijderen en opnieuw installeren als u een zelfstandige CA wilt wijzigen in een ondernemings-CA.

Stap 6: CA-objecten verwijderen uit Active Directory

Wanneer Microsoft Certificate Services is geïnstalleerd op een server die lid is van een domein, worden er verschillende objecten gemaakt in de configuratiecontainer in Active Directory.

Deze objecten zijn als volgt:

  • certificateAuthority-object

    • Bevindt zich in CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
    • Bevat het CA-certificaat voor de CA.
    • AIA-locatie (Published Authority Information Access).

  • crlDistributionPoint-object

    • Bevindt zich in CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Bevat de CRL die periodiek wordt gepubliceerd door de CA.
    • Gepubliceerde CRL-distributiepuntlocatie (CDP).

  • certificationAuthority-object

    • Bevindt zich in CN=Certificeringsinstanties,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Bevat het CA-certificaat voor de CA.

  • pKIEnrollmentService-object

    • Bevindt zich in CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Gemaakt door de CA van het bedrijf.
    • Bevat informatie over de typen certificaten die de CA is geconfigureerd om uit te geven. Machtigingen voor dit object kunnen bepalen welke beveiligingsprincipals kunnen worden ingeschreven voor deze CA.

Wanneer de CA wordt verwijderd, wordt alleen het pKIEnrollmentService-object verwijderd. Dit voorkomt dat clients proberen zich in te schrijven bij de buiten gebruik gestelde CA. De andere objecten blijven behouden, omdat certificaten die zijn uitgegeven door de CA waarschijnlijk nog in openstaande staat zijn. Deze certificaten moeten worden ingetrokken door de procedure te volgen in de sectie Stap 1: alle actieve certificaten intrekken die zijn uitgegeven door de ca voor ondernemingen .

Als u wilt dat PKI-clientcomputers (Public Key Infrastructure) deze openstaande certificaten kunnen verwerken, moeten de computers de paden voor AIA- en CRL-distributiepunten (Authority Information Access) in Active Directory vinden. Het is een goed idee om alle openstaande certificaten in te trekken, de levensduur van de CRL te verlengen en de CRL in Active Directory te publiceren. Als de openstaande certificaten worden verwerkt door de verschillende PKI-clients, mislukt de validatie en worden deze certificaten niet gebruikt.

Als het geen prioriteit is om het CRL-distributiepunt en AIA in Active Directory te onderhouden, kunt u deze objecten verwijderen. Verwijder deze objecten niet als u verwacht een of meer van de eerder actieve digitale certificaten te verwerken.

Alle Certification Services-objecten verwijderen uit Active Directory

Opmerking

U moet certificaatsjablonen pas uit Active Directory verwijderen nadat u alle CA-objecten in het Active Directory-forest hebt verwijderd.

Voer de volgende stappen uit om alle Certification Services-objecten uit Active Directory te verwijderen:

  1. Bepaal de CACommonName van de CA. Ga hiervoor als volgt te werk:

    1. Selecteer Start, selecteer Uitvoeren, typ cmd in het vak Openen en selecteer vervolgens OK.
    2. Typ certutil en druk op Enter.
    3. Noteer de naamwaarde die bij uw CA hoort. U hebt de CACommonName nodig voor latere stappen in deze procedure.

  2. Selecteer Start, wijs Systeembeheer aan en selecteer vervolgens Active Directory-sites en -services.

  3. Selecteer servicesknooppunt weergeven in het menu Beeld.

  4. Vouw Services uit, vouw Openbare sleutelservices uit en selecteer vervolgens de map AIA.

  5. Klik in het rechterdeelvenster met de rechtermuisknop op het object CertificationAuthority voor uw CA, selecteer Verwijderen en selecteer vervolgens Ja.

  6. Selecteer in het linkerdeelvenster van de MMC-module Active Directory Sites and Services de map CDP.

  7. Zoek in het rechterdeelvenster het containerobject voor de server waarop Certificate Services is geïnstalleerd. Klik met de rechtermuisknop op de container, selecteer Verwijderen en selecteer vervolgens twee keer Ja .

  8. Selecteer in het linkerdeelvenster van de MMC-module Active Directory-sites en -services het knooppunt Certificeringsinstanties .

  9. Klik in het rechterdeelvenster met de rechtermuisknop op het object CertificationAuthority voor uw CA, selecteer Verwijderen en selecteer vervolgens Ja.

  10. Selecteer in het linkerdeelvenster van de MMC-module Active Directory-sites en -services het knooppunt Enrollment Services .

  11. Controleer in het rechterdeelvenster of het pKIEnrollmentService-object voor uw CA is verwijderd toen Certificate Services werd verwijderd. Als het object niet is verwijderd, klikt u met de rechtermuisknop op het object, selecteert u Verwijderen en selecteert u vervolgens Ja.

  12. Als u niet alle objecten hebt gevonden, blijven sommige objecten mogelijk achter in Active Directory nadat u deze stappen hebt uitgevoerd. Als u wilt opschonen na een CA die mogelijk nog objecten in Active Directory heeft, volgt u deze stappen om te bepalen of er AD-objecten overblijven:

    1. Typ de volgende opdracht op een opdrachtregel en druk op Enter:

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf

      In deze opdracht vertegenwoordigt CACommonName de naamwaarde die u in stap 1 hebt bepaald. Als de waarde naam bijvoorbeeld CA1 Contoso is, typt u het volgende:

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf

    2. Open het resterende bestandCAobjects.ldf in Kladblok. Vervang de term changetype: add door changetype: delete. Controleer vervolgens of de Active Directory-objecten die u wilt verwijderen, legitiem zijn.

    3. Typ bij een opdrachtprompt de volgende opdracht en druk op Enter om de resterende CA-objecten uit Active Directory te verwijderen:

      ldifde -i -f remainingCAobjects.ldf

  13. Verwijder de certificaatsjablonen als u zeker weet dat alle certificeringsinstanties zijn verwijderd. Herhaal stap 12 om te bepalen of er AD-objecten overblijven.

    Belangrijk

    U mag de certificaatsjablonen alleen verwijderen als alle certificeringsinstanties zijn verwijderd. Als de sjablonen per ongeluk worden verwijderd, voert u de volgende stappen uit:

    1. Zorg ervoor dat u bent aangemeld bij een server waarop Certificate Services wordt uitgevoerd als ondernemingsbeheerder.

    2. Typ bij een opdrachtprompt de volgende opdracht en druk op Enter:

      cd %windir%\system32

    3. Typ de volgende opdracht en druk op Enter:

      regsvr32 /i:i /n /s certcli.dll

      Met deze actie worden de certificaatsjablonen in Active Directory opnieuw gemaakt.

    Volg deze stappen om de certificaatsjablonen te verwijderen.

    1. Selecteer in het linkerdeelvenster van de MMC-module Active Directory-sites en -services de map Certificaatsjablonen.
    2. Selecteer in het rechterdeelvenster een certificaatsjabloon en druk op Ctrl+A om alle sjablonen te selecteren. Klik met de rechtermuisknop op de geselecteerde sjablonen, selecteer Verwijderen en selecteer vervolgens Ja.

Stap 7: certificaten verwijderen die zijn gepubliceerd naar het object NtAuthCertificates

Nadat u de CA-objecten hebt verwijderd, moet u de CA-certificaten verwijderen die naar het NtAuthCertificates object zijn gepubliceerd. Gebruik een van de volgende opdrachten om certificaten uit het NTAuthCertificates archief te verwijderen:

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Opmerking

U moet beschikken over beheerdersmachtigingen voor ondernemingen om deze taak uit te voeren.

Met de -viewdelstore actie wordt de gebruikersinterface voor certificaatselectie aangeroepen op de set certificaten in het opgegeven kenmerk. U kunt de certificaatdetails bekijken. U kunt het selectiedialoogvenster annuleren om geen wijzigingen aan te brengen. Als u een certificaat selecteert, wordt dat certificaat verwijderd wanneer de gebruikersinterface wordt gesloten en de opdracht volledig wordt uitgevoerd.

Gebruik de volgende opdracht om het volledige LDAP-pad naar het object NtAuthCertificates in uw Active Directory weer te geven:

certutil -viewdelstore -? | findstr "CN=NTAuth"

Stap 8: de CA-database verwijderen

Wanneer Certification Services wordt verwijderd, blijft de CA-database intact, zodat de CA opnieuw kan worden gemaakt op een andere server.

Als u de CA-database wilt verwijderen, verwijdert u de map %systemroot%\System32\Certlog .

Stap 9: Domeincontrollers opschonen

Nadat de CA is verwijderd, moeten de certificaten die zijn uitgegeven aan domeincontrollers worden verwijderd.

Als u certificaten wilt verwijderen die zijn uitgegeven aan de Windows Server 2000-domeincontrollers, gebruikt u het hulpprogramma Dsstore.exe uit de Microsoft Windows 2000 Resource Kit.

Voer de volgende stappen uit om certificaten te verwijderen die zijn uitgegeven aan de Windows Server 2000-domeincontrollers:

  1. Selecteer Start, selecteer Uitvoeren, typ cmd en druk op Enter.

  2. Typ op een domeincontroller dsstore -dcmon bij de opdrachtprompt en druk op Enter.

  3. Typ 3 en druk op Enter. Met deze actie worden alle certificaten op alle domeincontrollers verwijderd.

    Opmerking

    Het hulpprogramma Dsstore.exe probeert domeincontrollercertificaten te valideren die zijn uitgegeven aan elke domeincontroller. Certificaten die niet worden gevalideerd, worden verwijderd van hun respectieve domeincontroller.

Volg deze stappen om certificaten te verwijderen die zijn uitgegeven aan de Windows Server 2003-domeincontrollers.

Belangrijk

Gebruik deze procedure niet als u certificaten gebruikt die zijn gebaseerd op domeincontrollersjablonen van versie 1.

  1. Selecteer Start, selecteer Uitvoeren, typ cmd en druk op Enter.

  2. Typ certutil -dcinfo deleteBad bij de opdrachtprompt op een domeincontroller.

    Certutil.exe probeert alle DC-certificaten te valideren die zijn uitgegeven aan de domeincontrollers. Certificaten die niet worden gevalideerd, worden verwijderd.

Voer de volgende stappen uit om de toepassing van het beveiligingsbeleid af te dwingen:

  1. Selecteer Start, selecteer Uitvoeren, typ cmd in het vak Openen en druk op Enter.
  2. Typ bij een opdrachtprompt de juiste opdracht voor de bijbehorende versie van het besturingssysteem en druk op Enter:

    • Voor Windows Server 2000:

      secedit /refreshpolicy machine_policy /enforce

    • Voor Windows Server 2003:

      gpupdate /force