Momentan sunteți offline, așteptați să vă reconectați la internet

Cum de a dezafecta o autoritate de certificare de intreprinderi Windows şi a elimina toate legate de obiecte

Asistența pentru Windows Server 2003 s-a încheiat la 14 iulie 2015

Microsoft a încheiat asistența pentru Windows Server 2003 14 iulie 2015. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

889250
Rezumat
Atunci când tu uninstall o autoritate de certificare (CA), certificatele care au fost emise de CA sunt de obicei încă neonorate. Dacă certificatele restante sunt prelucrate de calculatoare diferite client Public cheie de infrastructura, validarea nu va reuşi, şi aceste certificate nu vor fi utilizate.

Acest articol descrie cum se revoca certificatele restante şi modul de a completa diferite alte sarcini care sunt obligate să cu succes dezinstala un CA. în plus, acest articol descrie mai multe utilitate care le puteţi utiliza pentru a vă ajuta să eliminaţi CA obiecte de pe domeniu.
INTRODUCERE
Acest articol etapizat descrie cum să dezactivaţi un Microsoft Windows enterprise CA şi cum de a elimina toate obiectele legate de la serviciul director Active Directory.

Pasul 1: Revocarea tuturor certificatelor active, care sunt emise de întreprindere CA

  1. Faceţi clic pe Start, indicați spreInstrumente de administrare, şi apoi faceţi clic pe CertificationAuthority.
  2. Extinde CA dumneavoastră, şi apoi faceţi clic pe folderul IssuedCertificates .
  3. În panoul din dreapta, faceţi clic pe unul din certificatele eliberate, şi apoi apăsaţi CTRL + A pentru a selecta toate eliberate certificatele.
  4. Certificatele selectate, faceţi clic pe AllTasks, şi apoi atunci pocnitură Revocarea certificatului.
  5. În casetă de dialog Revocarea certificatului , faceţi clic pentru a selecta Să înceteze de funcţionare ca forrevocation motiv, şi apoi faceţi clic pe OK.

Pasul 2: Măriţi intervalul de publicare LCR

  1. În autoritate de certificare Microsoft Management Console(MMC) snap-in, faceţi clic dreapta pe folderul Certificate revocate , şi apoi faceţi clic pe Proprietăţi.
  2. În caseta de Interval de publicare LCR , facturare corespunzător marcă de timp valoare şi apoi faceţi clic pe OK.
Notă Durata de viaţă a Listă tabel de revocare certificat (LCR) ar trebui să fie mai lungă decât durata de viaţă care rămâne pentru certificate care au fost revocate.

Pasul 3: Publica un nou LCR

  1. În certificarea autoritatea de completare snap-in MMC, faceţi clic dreapta pe folderulCertificate revocate .
  2. Faceţi clic pe Toate sarcinile, şi apoi faceţi clic pepublicare.
  3. În casetă de dialog Publicare LCR , faceţi clic peNou LCR, şi apoi faceţi clic pe OK.

Pasul 4: Neagă orice în aşteptarea cereri

implicit, o întreprindere CA nu păstrează cererile de certificat. Cu toate acestea, un administrator poate modifica acest comportament implicit. Pentru a nega orice cereri de certificat în aşteptare, urmaţi aceşti paşi:
  1. În certificarea autoritatea de completare snap-in MMC, faceţi clic pe folderul de solicitări thePending.
  2. În panoul din dreapta, faceţi clic pe una dintre cererile în curs, andthen apăsaţi CTRL + A pentru a selecta toate certificatele în aşteptare.
  3. Cererile selectate, faceţi clic pe AllTasks, şi apoi atunci pocnitură Refuza cererea.

Pasul 5: Uninstall certificat de consolidare servicii de la server

  1. Pentru a opri certificat consolidare servicii, faceţi clic pe Start, faceţi clic pe Run, tip cmd, apoi faceţi clic pe OK.
  2. La linia Către de comandă, tastaţi certutil-shutdown, apoi apăsaţi Enter.
  3. La linia Către de comandă, tastaţicertutil-cheie, apoi apăsaţi Enter. Această comandă va afişa nume de sign-in toţi furnizorii de instalat consolidare servicii criptografice (CSP) şi cheie de magazine, care sunt asociate cu fiecare furnizor. Listat printre magazinele listate cheie va fi nume de sign-in tău CA. nume de sign-in va fi listat de mai multe ori, aşa cum se arată în exemplul următor:
    (1)Microsoft Base Cryptographic Provider v1.0:  1a3b2f44-2540-408b-8867-51bd6b6ed413  MS IIS DCOM ClientSYSTEMS-1-5-18  MS IIS DCOM Server  Windows2000 Enterprise Root CA  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500  afd1bc0a-a93c-4a31-8056-c0b9ca632896  Microsoft Internet Information Server  NetMon  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500(5)Microsoft Enhanced Cryptographic Provider v1.0:  1a3b2f44-2540-408b-8867-51bd6b6ed413  MS IIS DCOM ClientSYSTEMS-1-5-18  MS IIS DCOM Server  Windows2000 Enterprise Root CA  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500  afd1bc0a-a93c-4a31-8056-c0b9ca632896  Microsoft Internet Information Server  NetMon  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Ştergeţi cheia privată asociată cu CA. Pentru aceasta, în linia Către de comandă, tastaţi următoarea comandă, şi apoi apăsaţi Enter:
    certutil - delkey CertificateAuthorityName
    Notă Dacă nume de sign-in dumneavoastră CA conţine spaţii, includeţi nume de sign-in în quotationmarks.

    În acest exemplu, nume de sign-in de autoritate certificat este "Windows2000 Intreprindere Root CA." Prin urmare, linia Către de comandă în acest exemplu este după cum urmează:
    certutil - delkey "Windows2000 Intreprindere Root CA"
  5. Listă tabel de magazine cheie din nou pentru a verifica că a fost şters cheia privată pentru CA dvs.
  6. După ce ştergeţi cheia privată pentru CA dumneavoastră, dezinstalaţi serviciile de certificat. Pentru aceasta, urmaţi aceşti paşi, în funcţie de versiunea de Windows Server care se execută.

    Windows Server 2003
    1. Aproape de completare snap-in MMC de autoritate de certificare dacă este încă deschis.
    2. Faceţi clic pe Start, indicaţi spre Panou de controlşi apoi faceţi clic pe Adăugare sau eliminare programe.
    3. Faceţi clic pe Adăugare/eliminare componente Windows.
    4. În caseta de componente , faceți clic pentru a goliţi casetă de selectare Certificat de consolidare servicii , faceţi clic pe Nextşi apoi urmaţi instrucţiunile din Expertul de componente Windows pentru a termina eliminarea certificatului serviciilor.
    Windows Server 2008 şi versiunile ulterioare

    Dacă sunt dezinstalarea o întreprindere CA, membru în întreprindere administratori, sau echivalent, este nivelul minim care este necesar pentru a finaliza această procedură. Pentru informaţii suplimentare, consultaţi Punerea în aplicare bazate pe rolul administraţiei.

    Pentru a dezinstala un CA, urmaţi aceşti paşi:
    1. Faceţi clic pe Start, indicați spre Instrumente de administrare, şi apoi faceţi clic pe Server Manager.
    2. Sub Roluri Rezumat, faceţi clic pe Eliminaţi roluri pentru a porni Expertul de roluri de eliminare, şi apoi faceţi clic pe Următorul.
    3. Faceţi clic pentru a debifa casetă de selectare consolidare servicii Active Directory pentru certificate , şi apoi faceţi clic pe Următorul.
    4. Confirma îndepărtarea opţiuni în pagina, revedeţi informaţiile şi apoi faceţi clic pe Eliminare.
    5. Dacă se execută Internet Information Services (IIS) şi vi se cere să opriţi serviciul înainte de a continua cu procesul de dezinstalare, faceţi clic pe OK.
    6. După ce eliminaţi roluri expertul este terminat, reporniţi server. Acest lucru se încheie procesul de dezinstalare.
    Procedura este puţin diferit, dacă aveţi mai multe consolidare servicii de rolul serviciilor de certificat Active Directory (AD CS) instalat pe un singur server. Pentru a dezinstala un CA, dar menţine alte consolidare servicii de rolul AD CS, urmaţi aceşti paşi.

    NotăTrebuie să faceţi conecta cu aceleași permisiuni ca utilizatorului care a instalat CA pentru a finaliza această procedură. Dacă sunt dezinstalarea o întreprindere CA, membru în întreprindere administratori, sau echivalent, este nivelul minim care este necesar pentru a finaliza această procedură. Pentru informaţii suplimentare, consultaţi Punerea în aplicare bazate pe rolul administraţiei.
    1. Faceţi clic pe Start, indicați spre Instrumente de administrare, şi apoi faceţi clic pe Server Manager.
    2. În Rolurile Rezumat, faceţi clic pe consolidare servicii Active Directory pentru certificate.
    3. consolidare servicii de roluri, faceţi clic pe Eliminaţi rolul serviciilor.
    4. Faceţi clic pentru a debifa casetă de selectare De certificare , şi apoi faceţi clic pe Următorul.
    5. Confirma îndepărtarea opţiuni în pagina, revedeţi informaţiile şi apoi faceţi clic pe Eliminare.
    6. În cazul în care se execută IIS şi vi se cere să opriţi serviciul înainte de a continua cu procesul de dezinstalare, faceţi clic pe OK.
    7. După ce eliminaţi roluri expertul este terminat, trebuie să reporniţi serverul. Acest lucru se încheie procesul de dezinstalare.
    Dacă restul rolul serviciile, serviciul Online de răspuns, au fost configurate să folosească datele de dezinstalat CA, trebuie să reconfigureze aceste consolidare servicii pentru a sprijini un CA diferite. Dupa ce este dezinstalat un CA, următoarele informaţii este lăsat pe server:
    • Baza acoperire de date CA
    • CA cheile publice şi private
    • CA certificatele în magazinul de Personal
    • CA certificatele în folderul partajat, dacă un folder partajat a fost specificat în timpul setup AD CS
    • Lanţ CA certificat rădăcină în magazinul de autorități de certificare rădăcină de încredere
    • Lanţ CA intermediare certificate în magazinul de autorități intermediare de certificare
    • CA LCR
    implicit, această informaţie este păstrat pe serverul în cazul în care sunteţi dezinstalarea şi reinstalarea apoi CA. De exemplu, ai s-ar putea să dezinstalaţi şi să reinstalaţi CA în cazul în care doriţi să modificaţi un stand-alone CA la o întreprindere CA.

Pasul 6: Elimina CA obiectele din Active Directory

Atunci când Microsoft certificat serviciilor este instalat pe un server care este membru al unui domeniu, mai multe obiecte sunt create în recipientul de configurare în Active Directory.

Aceste obiecte sunt după cum urmează:
  • certificateAuthority obiect
    • Situat în NC = AIA, NC = consolidare servicii cheie publică, NC = consolidare servicii, NC = configurare, DC =ForestRootDomain.
    • Conţine certificatul CA pentru CA.
    • Locația publicată autorității informaţii acces (AIA).
  • crlDistributionPoint obiect
    • Situat în NC =ServerNameCN = CDP, NC = Serviciul Public cheie, NC = consolidare servicii, NC = configurare, DC =ForestRootDC = com.
    • Conţine LCR periodic publicat de CA.
    • Locația publicată de punctul de distribuţie LCR (PDC)
  • certificationAuthority obiect
    • Situat în NC = autorități de certificare, NC = consolidare servicii cheie publică, NC = consolidare servicii, NC = configurare, DC =ForestRootDC = com.
    • Conţine certificatul CA pentru CA.
  • pKIEnrollmentService obiect
    • Situat în NC = consolidare servicii de înscriere, NC = consolidare servicii cheie publică, NC = consolidare servicii, NC = configurare, DC =ForestRootDC = com.
    • Create de întreprinderea de CA.
    • Contine informatii despre tipurile de certificate a fost configurat CA problema. Permisiunile pentru acest obiect pot controla care directori pot înscrie împotriva este CA de securitate.
Când CA este dezinstalat, numai obiectul pKIEnrollmentService este eliminat. Acest lucru previne clienti la încercarea de a inscrie împotriva CA dezafectate. Alte obiecte se reţin deoarece certificatele sunt emise de CA sunt, probabil, încă neonorate. Aceste certificate trebuie să fie revocat urmând procedura în "Pasul 1: revocarea tuturor certificatelor active, care sunt emise de întreprindere CA" secţiune.

Pentru computerele client infrastructurii de cheie publică (PKI) pentru a procesa cu succes aceste certificate restante, computere trebuie să localizaţi distribuţie punct căi autoritatea informaţii acces (AIA) şi LCR în Active Directory. Este o idee bună să revoce toate certificatele restante, extinde durata de viaţă a LCR şi publică LCR în Active Directory. Dacă certificatele restante sunt prelucrate de clienti diverse PKI, validarea nu va reuşi, şi aceste certificate nu vor fi utilizate.

În cazul în care nu este o prioritate pentru a menţine punctul de distribuţie LCR şi AIA din Active Directory, puteţi elimina aceste obiecte. Elimina aceste obiecte, dacă vă aşteptaţi să proceseze unuia sau mai multor certificate digitale anterior activ.

Îndepărtaţi toate obiectele de consolidare servicii de certificare din Active Directory

Notă Nu ar trebui să elimine certificat template-uri din Active Directory până după ce eliminaţi toate CA obiecte în pădurea Active Directory.

Pentru a elimina toate obiectele de consolidare servicii de certificare din Active Directory, urmaţi aceşti paşi:
  1. Determina CACommonName de CA. Pentru aceasta, urmaţi aceşti paşi:
    1. Faceţi clic pe Start, faceţi clic pe Run, tip cmd în Deschidere cutie, şi apoi faceţi clic pe OK.
    2. Tip certutil, apoi apăsaţi ENTER.
    3. Asiguraţi-o notă din valoarea de nume care aparţine CA dvs. Trebuie CACommonName pentru paşi mai târziu în această procedură.
  2. Faceţi clic pe Start, indicați spreInstrumente de administrare, şi apoi faceţi clic pe Active DirectorySites şi consolidare servicii.
  3. În meniul vizualizare Proiect , faceţi clic peNodul de consolidare servicii Arată.
  4. Extinde serviciile, extinde Publice KeyServices, şi apoi faceţi clic pe folderul AIA .
  5. În panoul din dreapta, faceţi clic dreapta peCertificationAuthority obiect pentru CA dumneavoastră, faceţi clic peştergeţişi apoi faceţi clic pe Da.
  6. În panou din partea stângă de la site-uri Active şi ServicesMMC snap-in, faceţi clic pe CDP dosar.
  7. În panoul din dreapta, localizaţi obiectul container pentru theserver în cazul în care certificatul serviciilor este instalat. Container, faceţi clic pe Ştergere, şi apoi atunci pocnitură Da de două ori.
  8. În panou din partea stângă de site-uri Active şi ServicesMMC de completare snap-in, faceţi clic pe nodul de Autorități de certificare.
  9. În panoul din dreapta, faceţi clic dreapta peCertificationAuthority obiect pentru CA dumneavoastră, faceţi clic peştergeţişi apoi faceţi clic pe Da.
  10. În panou din partea stângă de site-uri Active şi ServicesMMC de completare snap-in, faceţi clic pe nodul de consolidare servicii de înscriere .
  11. În panoul din dreapta, verificaţi că pKIEnrollmentServiceobject pentru dumneavoastră CA a fost eliminat atunci când certificatul de consolidare servicii a fost dezinstalat. Carmen obiect nu este şters, faceţi clic dreapta pe obiectul, faceţi clic peştergeţişi apoi faceţi clic pe Da.
  12. Dacă nu făcut-găsiți toate obiectele, unele obiecte pot fi lăsat în Active Directory după ce efectuaţi aceşti paşi. Pentru a curăţa după un CA care poate au lăsat obiecte în Active Directory, urmaţi aceşti paşi pentru a determina dacă orice obiecte AD rămâne:
    1. Tastaţi următoarea comandă la o linia Către de comandă, şi apoi apăsaţi ENTER:
      LDIFDE - r "NC =CACommonName"-d" NC = consolidare servicii cheie publică, NC = consolidare servicii, NC = configurare, DC =ForestRootDC = com "-f output.ldf
      În această comandă, CACommonName reprezintă valoarea de nume care aţi determinat în pasul 1. De exemplu, dacă nume de sign-in este "CA1 Contoso", tastaţi următoarele:
      LDIFDE - r "NC = CA1 Contoso" -d "NC = consolidare servicii cheie publică, NC = consolidare servicii, NC = configurare, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Deschideţi fişierul remainingCAobjects.ldf în Notepad. Înlocui termenul "changetype: Adauga" cu "changetype: şterge."Apoi, verifica dacă obiectelor Active Directory care va şterge sunt legitime.
    3. La linia Către de comandă, tastaţi următoarea comandă, şi apoi apăsaţi ENTER pentru a şterge rămase CA obiectele din Active Directory:
      LDIFDE -i remainingCAobjects.ldf -f
  13. Ştergeţi şabloane certificat dacă sunteţi sigur că toate autorităţile certificatul au fost şterse. Repetaţi pasul 12 pentru a determina dacă orice obiecte AD rămân.

    Importante Nu trebuie să ştergeţi şabloane certificat excepţia cazului în care toate Autoritățile certificatoare au fost şterse. Dacă şabloanele sunt şterse accidental, urmaţi aceşti paşi:
    1. Asiguraţi-vă că aţi arelogged pe un server care execută consolidare servicii de certificat ca Enterpriseadministrator.
    2. La linia Către de comandă, tastaţi următoarea comandă, şi apoi apăsaţi ENTER:
      CD%WINDIR%\system32
    3. Tastaţi următoarea comandă, şi apoi apăsaţi ENTER:
      regsvr32 /i:i /n /scertcli.dll
      Această acţiune creează nou thecertificate template-uri în Active Directory.
    Pentru a şterge certificat template-uri, urmaţi aceşti paşi.
    1. În panou din partea stângă de completare snap-in MMC "Active Director site-uri şi servicii", faceţi clic pe Templatesfolder certificat.
    2. În panoul din dreapta, faceţi clic pe un certificat şablon şi thenpress CTRL + A pentru a selecta toate template-uri. Faceţi clic dreapta pe template-uri selectate, faceţi clic peştergeţişi apoi faceţi clic pe Da.

Pasul 7: Şterge certificate publicat la obiectul NtAuthCertificates

După ce ştergeţi obiectele CA, trebuie să ştergeţi CA certificatele care sunt publicate la obiectul NtAuthCertificates . Utilizaţi oricare din următoarele comenzi pentru a şterge certificate de la magazinul de NTAuthCertificates:
certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, NC = cheie publică
consolidare servicii,..., DC = ForestRoot, DC = com? cACertificate? bază? objectclass = certificationAuthority"

certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, NC = cheie publică
consolidare servicii,..., DC = ForestRoot, DC = com? cACertificate? bază? objectclass = pKIEnrollmentService "
Notă Trebuie să aveţi permisiuni de Administrator de întreprindere pentru a efectua această sarcină.
Acţiunea - viewdelstore invocă certificat de selecţie UI setul de certificate în attibute specificat. Se pot vizualiza detaliile certificatului. Puteţi anula din casetă de dialog de selecţie pentru a face nici o modificare. Dacă selectaţi un certificat, respectivul certificat se elimină atunci când se închide interfaţa utilizator şi comanda complet este executat.

Utilizaţi următoarea comandă pentru a vedea LDAP cale completă la NtAuthCertificates obiectul în Active Directory:
certutil magazin-? | Findstr "NC = NTAuth"

Pasul 8: Şterge baza acoperire de date CA

Când consolidare servicii de certificare este dezinstalat, CA baza acoperire de date este lăsat intact, astfel încât CA poate fi re-creat pe un alt server.

Pentru a elimina CA baza acoperire de date, şterge folderul %systemroot%\System32\Certlog.

Pasul 9: Curăţa controlerii de domeniu

Dupa ce CA este dezinstalat, certificate care au fost emise pentru controlerii de domeniu trebuie să fie eliminate.

Pentru a elimina certificate care au fost emise pentru controlerii de domeniu Windows Server 2000, utilizaţi utilitarul Dsstore.exe din Microsoft Windows 2000 Resource Kit.

Pentru a elimina certificate care au fost eliberate pentru controlerii de domeniu Windows Server 2000, urmaţi aceşti paşi:
  1. Faceţi clic pe Start, faceţi clic pe Run, tip cmd, apoi apăsaţi ENTER.
  2. Pe un controler de domeniu, tipul de dsstore - dcmon la linia Către de comandă, şi apoi apăsaţi ENTER.
  3. Tip 3, apoi apăsaţi ENTER. Această acţiune şterge toate certificatele pe toate controlerele de domeniu.

    Notă Utilitarul Dsstore.exe va încerca să valideze certificatele de controler de domeniu care sunt emise pentru fiecare controler de domeniu. Certificatele care validează nu sunt eliminate din lor controler de domeniu respectiv.
Pentru a elimina certificate care au fost emise pentru controlerii de domeniu Windows Server 2003, urmați acești pași.

Importante Utilizaţi această procedură, dacă tu eşti folosire certificate care se bazează pe versiunea 1 domeniu controler de şabloane.
  1. Faceţi clic pe Start, faceţi clic pe Run, tip cmd, apoi apăsaţi ENTER.
  2. La linia Către de comandă pe un controler de domeniu, tipul certutil - dcinfo deleteBad.
Certutil.exe încearcă să valideze toate certificatele DC care sunt emise pentru controlerii de domeniu. Certificatele care validează nu sunt eliminate.

Pentru a forţa aplicarea politicii de securitate, urmaţi aceşti paşi:
  1. Faceţi clic pe Start, faceţi clic pe Run, tip cmd în Deschidere cutie, şi apoi apăsaţi ENTER.
  2. La linia Către de comandă, tastaţi comanda corespunzătoare pentru versiunea corespunzătoare a sistemului de operare, şi apoi apăsaţi ENTER:
    • Pentru Windows Server 2000: machine_policy de /refreshpolicy secedit / impune
    • Pentru Windows Server 2003: gpupdate Force

Avertisment: Acest articol a fost tradus automat

Proprietăți

ID articol: 889250 - Ultima examinare: 10/24/2013 17:44:00 - Revizie: 3.0

  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
  • kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtro
Feedback