В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Как для списания центра сертификации предприятия Windows и удалите все связанные объекты

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 889250
Аннотация
После удаления центра сертификации (ЦС) сертификаты, выданные центром сертификации обычно являются по-прежнему баланс. Если баланс сертификаты обрабатываются различными клиентскими компьютерами инфраструктуры открытого ключа, проверка завершается неудачей, и эти сертификаты не будут использоваться.

В данной статье описаны способы отзыва сертификатов баланс и выполнять различные задачи, которые необходимы для успешного удаления ЦС. Кроме того, в данной статье описывается несколько средств, которые можно использовать для удаления объектов центра сертификации из вашего домена.
ВВЕДЕНИЕ
В данной статье описаны способы списание ЦС предприятия Microsoft Windows и удалите все связанные объекты из службы каталогов Active Directory.

Шаг 1: Отменить все активные сертификаты, выдаваемые центром сертификации предприятия

  1. Нажмите кнопку Пуск, выберите пунктАдминистрированиеи нажмите кнопку CertificationAuthority.
  2. Развертывание центра сертификации и щелкните папку IssuedCertificates .
  3. В правой области выберите один из выданных сертификатов и нажмите сочетание клавиш CTRL + A, чтобы выделить все выданные сертификаты.
  4. Щелкните правой кнопкой мыши выбранные сертификаты, нажмите кнопку AllTasks и выберите команду Отзыв сертификата.
  5. В диалоговом окне Отзыва сертификатов установите Прекращение операции как причина forrevocation и нажмите кнопку ОК.

Шаг 2: Увеличить интервал публикации CRL

  1. В оснастке консоли управления MMC для центра сертификации щелкните правой кнопкой мыши папку Отозванные сертификаты и нажмите кнопку Свойства.
  2. В поле Интервал публикации CRL typea соответствующим образом длинные значения и нажмите кнопку ОК.
Примечание. Времени существования списка отзыва сертификатов (CRL) должно быть больше чем время жизни, которая остается для сертификатов, которые были отозваны.

Шаг 3: Публикация нового списка отзыва Сертификатов

  1. В оснастке MMC центра сертификации щелкните правой кнопкой мыши папкуОтозванные сертификаты .
  2. Выберите пункт Все задачии нажмите кнопкуОпубликовать.
  3. В диалоговом окне Публикации списка отзыва Сертификатов нажмите кнопкуНовый список отзыва Сертификатови нажмите кнопку ОК.

Шаг 4: Запретить все отложенные запросы

По умолчанию центр сертификации предприятия не сохранять запросы сертификатов. Однако администратор может изменить это поведение по умолчанию. Чтобы запретить все отложенные запросы сертификатов, выполните следующие действия.
  1. В оснастке MMC центра сертификации щелкните папку запросов thePending.
  2. В правой области выберите один из ожидающих запросов andthen нажмите сочетание клавиш CTRL + A, чтобы выбрать все отложенные сертификаты.
  3. Щелкните правой кнопкой мыши выбранные запросы AllTasksи выберите команду Отменить запрос.

Шаг 5: Удаление с сервера службы сертификации

  1. Чтобы остановить службы сертификации, нажмите кнопку Пуск, выберите пункт выполнить, тип cmd, а затем нажмите кнопку ОК.
  2. В командной строке введите Завершение команды certutil, а затем нажмите клавишу ВВОД.
  3. В командной строке введитеКоманда Certutil-ключ, а затем нажмите клавишу ВВОД. Эта команда отображает имена всех поставщиков установленные службы криптографии (CSP) и хранилище ключа, связанные с каждым поставщиком. В списке перечисленных хранилищ ключей будет использоваться имя центра сертификации. Имя отображается несколько раз, как показано в следующем примере:
    (1)Microsoft Base Cryptographic Provider v1.0:  1a3b2f44-2540-408b-8867-51bd6b6ed413  MS IIS DCOM ClientSYSTEMS-1-5-18  MS IIS DCOM Server  Windows2000 Enterprise Root CA  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500  afd1bc0a-a93c-4a31-8056-c0b9ca632896  Microsoft Internet Information Server  NetMon  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500(5)Microsoft Enhanced Cryptographic Provider v1.0:  1a3b2f44-2540-408b-8867-51bd6b6ed413  MS IIS DCOM ClientSYSTEMS-1-5-18  MS IIS DCOM Server  Windows2000 Enterprise Root CA  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500  afd1bc0a-a93c-4a31-8056-c0b9ca632896  Microsoft Internet Information Server  NetMon  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Удаление закрытого ключа, связанного с центром сертификации. Для этого в командной строке введите следующую команду и нажмите клавишу ВВОД:
    Команда Certutil - delkey CertificateAuthorityName
    Примечание. Если ваше имя центра сертификации содержит пробелы, заключите имя в поиска.

    В этом примере имя центра сертификации является «Windows2000 корневой ЦС предприятия». Таким образом в этом примере команда выглядит следующим образом:
    Команда Certutil - delkey «Windows2000 корневого центра сертификации предприятия»
  5. Список ключей хранилища еще раз, чтобы убедиться, что закрытого ключа центра сертификации был удален.
  6. После удаления закрытого ключа центра сертификации, удалите службы сертификации. Чтобы сделать это, выполните следующие действия, в зависимости от версии Windows Server, на которых запущена.

    Windows Server 2003
    1. Закройте оснастку MMC центра сертификации, если все еще открыт.
    2. Нажмите кнопку Пуск, выберите пункт Панель управленияи щелкните Установка и удаление программ.
    3. Щелкните Добавление и удаление компонентов Windows.
    4. В списке компонентов щелкните снимите флажок Службы сертификации , нажмите кнопку Далееи следуйте инструкциям в окне мастера компонентов Windows для завершения удаления служб сертификации.
    Windows Server 2008 и более поздних версий

    Для удаления центра сертификации предприятия является членство в группе Администраторы предприятия или эквивалентной минимумом, необходимым для выполнения этой процедуры. Дополнительные сведения см. Реализация ролевого администрирования.

    Чтобы удалить центр сертификации, выполните следующие действия:
    1. Нажмите кнопку Пуск, выберите пункт Администрированиеи выберите команду Диспетчер сервера.
    2. В разделе Сводка по ролямщелкните Удалить роли для запуска мастера удаления ролей и нажмите кнопку Далее.
    3. Снимите флажок Службы сертификации Active Directory , а затем нажмите кнопку Далее.
    4. На странице Подтверждение параметров удаления просмотрите сведения и нажмите кнопку Удалить.
    5. Если запущен Internet Information Services (IIS) и появлении для остановки службы перед продолжением процесса удаления, нажмите кнопку ОК.
    6. После завершения работы мастера удаления ролей перезапустите сервер. Это завершает процесс удаления.
    Процедура немного отличается, если на одном сервере установлены несколько служб ролей служб сертификации Active Directory (AD CS). Чтобы удалить центр сертификации, но сохранить других служб ролей AD CS, выполните следующие действия.

    Примечание. Необходимо войти в систему с теми же разрешениями пользователя, установившего центр сертификации для выполнения этой процедуры. Для удаления центра сертификации предприятия является членство в группе Администраторы предприятия или эквивалентной минимумом, необходимым для выполнения этой процедуры. Дополнительные сведения см. Реализация ролевого администрирования.
    1. Нажмите кнопку Пуск, выберите пункт Администрированиеи выберите команду Диспетчер сервера.
    2. В разделе Сводка по ролямвыберите Службы сертификации Active Directory.
    3. В разделе Службы ролейщелкните Удалить службы ролей.
    4. Снимите флажок « Центр сертификации » и нажмите кнопку Далее.
    5. На странице Подтверждение параметров удаления просмотрите сведения и нажмите кнопку Удалить.
    6. Если запущены службы IIS и запрос для остановки службы перед продолжением процесса удаления, нажмите кнопку ОК.
    7. После завершения работы мастера удаления ролей необходимо перезапустить сервер. Это завершает процесс удаления.
    Если оставшиеся службы роли, например служба сетевого ответчика, были настроены для использования данных из удаленного центра сертификации, необходимо перенастроить эти службы для поддержки другого центра сертификации. После удаления центра сертификации на сервере остается следующую информацию:
    • Базы данных ЦС
    • Открытый и закрытый ключи ЦС
    • Сертификаты центра сертификации в личном хранилище
    • Сертификаты центра сертификации в общей папке, если общая папка была указана во время установки службы AD CS
    • Корневой сертификат цепочки центра сертификации в хранилище доверенных корневых центров сертификации
    • Промежуточные сертификаты цепочек ЦС в хранилище промежуточных центров сертификации
    • CRL центра сертификации
    По умолчанию эти сведения хранятся на сервере, в случае удаления, а затем восстановления ЦС. Например можно удалить и переустановить центр сертификации, если следует изменить автономный центр сертификации на центр сертификации предприятия.

Шаг 6: Удаления объектов центра сертификации из службы каталогов Active Directory

Когда службы сертификации установлены на сервере, являющемся членом домена, создаются несколько объектов в контейнере конфигурации в Active Directory.

Эти объекты являются следующим образом:
  • Объект certificateAuthority
    • В CN AIA, CN = открытого ключа службы, CN = = службы, CN = Конфигурация, DC =Корневой_домен_леса.
    • Содержит сертификат ЦС для ЦС.
    • Опубликованное расположение доступа информации центра сертификации (AIA).
  • Объект crlDistributionPoint
    • Расположенный в CN =Имя_сервера, CN CDP, CN = службы открытого ключа, CN = = службы, CN = Конфигурация, DC =ForestRoot, DC = com.
    • Содержит списки отзыва Сертификатов публикуются периодически центром сертификации.
    • Опубликованное расположение точки распространения списков ОТЗЫВА (CDP)
  • Объект certificationAuthority
    • Находится в CN центрами сертификации, CN = открытого ключа службы, CN = службы, CN = Configuration, DC = =ForestRoot, DC = com.
    • Содержит сертификат ЦС для ЦС.
  • Объект pKIEnrollmentService
    • В CN служб регистрации, CN = открытого ключа службы, CN = = службы, CN = Конфигурация, DC =ForestRoot, DC = com.
    • Для создания центра сертификации предприятия.
    • Содержит сведения о типах сертификатов ЦС был настроен с проблемой. Разрешения на этот объект можно управлять безопасности участники могут подавать заявки от данного центра сертификации.
При удалении ЦС удаляется только объект pKIEnrollmentService. Это не дает клиентам сертификат для списания центра сертификации. Другие объекты сохраняются, так как сертификаты, выданные центром сертификации, вероятно, все еще ожидающих обработки. Эти сертификаты должны быть отозваны, следуя процедуре, описанной в «шаг 1: отменить все активные сертификаты, выдаваемые центром сертификации предприятия "раздел.

Для компьютеров-клиентов инфраструктуры открытого ключа (PKI) для обработки этих сертификатов, ожидающих обработки компьютеры должны найти пути точки распространения доступа информации центра сертификации (AIA) и списка отзыва Сертификатов в Active Directory. Рекомендуется для отзыва сертификатов все невыполненные, расширения времени существования списка отзыва Сертификатов и публикации списка отзыва Сертификатов в Active Directory. Если баланс сертификаты обрабатываются различными клиентами PKI, проверка завершается неудачей, и эти сертификаты не будут использоваться.

Если это не приоритет для поддержания точку CDP и AIA в Active Directory, можно удалить эти объекты. Если вы собираетесь обрабатывать один или несколько ранее активного цифровые сертификаты не удаляйте эти объекты.

Удалить из Active Directory все объекты служб сертификации

Примечание. Не следует удалять шаблоны сертификатов из Active Directory только после удаления всех объектов ЦС в лесу Active Directory.

Чтобы удалить все объекты служб сертификации из службы каталогов Active Directory, выполните следующие действия.
  1. Определите CACommonName ЦС. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Пуск, выберите пункт выполнить, тип cmd в окне Открыть и нажмите кнопку ОК.
    2. Тип Команда Certutil, а затем нажмите клавишу ВВОД.
    3. Запишите значение имени , которое принадлежит центра сертификации. Для последующих шагов этой процедуры потребуется CACommonName.
  2. Нажмите кнопку Пуск, выберите пунктАдминистрированиеи нажмите кнопку Active DirectorySites и служб.
  3. В меню Вид выберите командуПоказать узел служб.
  4. Разверните узел службы, разверните Общие KeyServicesи щелкните папку AIA .
  5. В правой области щелкните правой кнопкой мышиCertificationAuthority объект для центра сертификации, нажмите кнопкуУдалитьи нажмите кнопку Да.
  6. Выберите в левой области оснастки Active Directory-сайты и ServicesMMC CDP папки.
  7. В правой области найдите объект контейнера для серверной установки служб сертификации. Щелкните правой кнопкой мыши контейнер, нажмите кнопку Удалитьи затем дважды нажмите кнопку Да .
  8. В левой части Active Directory-сайты и ServicesMMC оснастки щелкните узел Центры сертификации.
  9. В правой области щелкните правой кнопкой мышиCertificationAuthority объект для центра сертификации, нажмите кнопкуУдалитьи нажмите кнопку Да.
  10. В левой области Active Directory-сайты и ServicesMMC оснастку щелкните узел Служб регистрации .
  11. На правой панели убедитесь, что pKIEnrollmentServiceobject центра сертификации был удален при сертификации была удалена. Если объект не удаляется, щелкните правой кнопкой мыши объект, выберите командуУдалитьи нажмите кнопку Да.
  12. Если вы не может найти все объекты, некоторые объекты могут остаться в Active Directory после выполнения этих действий. Для очистки после центра сертификации, который может оставить объекты в Active Directory, выполните следующие действия, чтобы определить, остаются ли объекты AD.
    1. В командной строке введите следующую команду и нажмите клавишу ВВОД:
      LDIFDE - r "cn =CACommonName"-d" CN открытого ключа службы, CN = = службы, CN = Конфигурация, DC =ForestRootDC = com "output.ldf -f
      В этой команде CACommonName Представляет значение имени , определенный на шаге 1. Например если значение имени "CA1 Contoso", введите следующую команду:
      LDIFDE - r "cn = CA1 Contoso" -d "cn открытого ключа службы, cn = службы, cn = = конфигурация, dc = contoso, dc = com" remainingCAobjects.ldf -f
    2. Откройте в блокноте файл remainingCAobjects.ldf. Заменять термин "changetype: добавить" с "changetype: удаление.» Затем проверьте, являются ли надежными, объекты Active Directory, которые будут удалены.
    3. В командной строке введите следующую команду и нажмите клавишу ВВОД для удаления оставшихся объектов центра сертификации из Active Directory.
      ldifde -i -f remainingCAobjects.ldf
  13. Удалите шаблоны сертификатов, если вы уверены, что все центры сертификации были удалены. Повторите шаг 12, чтобы определить, остаются ли объекты AD.

    Важно: Если были удалены все центры сертификации не требуется удалять шаблоны сертификатов. Если шаблоны случайно удалены, выполните следующие действия.
    1. Убедитесь, что arelogged в на сервере, выполняющем службы сертификации как Enterpriseadministrator.
    2. В командной строке введите следующую команду и нажмите клавишу ВВОД:
      cd%windir%\System32
    3. Введите следующую команду и нажмите клавишу ВВОД:
      /scertcli.dll/n regsvr32 /i:i
      Это действие повторно создает шаблоны сертификата в Active Directory.
    Чтобы удалить шаблоны сертификатов, выполните следующие действия.
    1. В левой области оснастки MMC «Active Directory сайты и службы» нажмите кнопку Templatesfolder сертификат.
    2. На правой панели выберите шаблон сертификата и thenpress CTRL + A, чтобы выделить все шаблоны. Щелкните правой кнопкой мыши выбранные шаблоны, нажмите кнопкуУдалитьи затем нажмите кнопку Да.

Шаг 7: Удалить сертификаты опубликованы на объект NtAuthCertificates

После удаления объектов центра сертификации, необходимо удалить сертификаты ЦС, которые опубликованы в объект NtAuthCertificates . Чтобы удалить сертификаты в хранилище NTAuthCertificates используйте одну из следующих команд:
Команда Certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN = открытый ключ
Службы,..., DC = ForestRoot, DC = com? cACertificate? базового? objectclass = certificationAuthority"

Команда Certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN = открытый ключ
Службы,..., DC = ForestRoot, DC = com? cACertificate? базового? objectclass = pKIEnrollmentService "
Примечание. Для выполнения этой задачи требуются права администратора предприятия.
Действие - viewdelstore вызывает выбор сертификата пользовательского интерфейса на набор сертификатов в указанного атрибута. Можно просмотреть сведения о сертификате. Вы можете отменить из диалоговое окно выбора, чтобы не вносить изменения. Если выбрать сертификат, сертификат удаляется при закрытии пользовательского интерфейса и полностью выполняется команда.

Используйте следующую команду, чтобы просмотреть полный путь LDAP в Active Directory объект NtAuthCertificates :
Certutil store-? | Команда findstr "CN = NTAuth"

Шаг 8: Удаление базы данных ЦС

При удалении службы сертификации, чтобы центр сертификации может быть восстановлена на другой сервер базы данных ЦС остается без изменений.

Чтобы удалить базы данных ЦС, удалите папку %systemroot%\System32\Certlog.

Шаг 9: Очистка контроллеров домена

После удаления центра сертификации, сертификаты, выданные на контроллеры домена должны быть удалены.

Чтобы удалить сертификаты, выданные на контроллеры домена Windows Server 2000, используйте служебную программу Dsstore.exe из пакета Microsoft Windows 2000 Resource Kit.

Чтобы удалить сертификаты, выданные на контроллеры домена Windows Server 2000, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип cmd, а затем нажмите клавишу ВВОД.
  2. На контроллере домена введите dsstore - dcmon в командной строке и нажмите клавишу ВВОД.
  3. Тип 3, а затем нажмите клавишу ВВОД. Это приведет к удалению всех сертификатов на всех контроллерах домена.

    Примечание. Программа Dsstore.exe попытается проверить сертификаты контроллеров домена, выдаваемые на каждый контроллер домена. Сертификаты, которые выполняют проверку удаляются из их соответствующего контроллера домена.
Чтобы удалить сертификаты, выданные на контроллеры домена Windows Server 2003, выполните следующие действия.

Важно: Не используйте эту процедуру, если используются сертификаты, основанные на шаблоны версии 1 домен контроллера.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип cmd, а затем нажмите клавишу ВВОД.
  2. Введите в командной строке на контроллере домена Команда Certutil - dcinfo deleteBad.
Certutil.exe пытается проверить все сертификаты контроллеров домена, выдаваемые на контроллеры домена. Сертификаты, которые выполняют проверку удаляются.

Чтобы выполнить принудительное применение политики безопасности, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип cmd в поле Открыть и нажмите клавишу ВВОД.
  2. В командной строке введите соответствующую команду для соответствующей версии операционной системы и нажмите клавишу ВВОД:
    • В Windows Server 2000: secedit/refreshpolicy machine_policy / enforce
    • Для Windows Server 2003: gpupdate/force

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 889250 — последний просмотр: 06/12/2016 05:54:00 — редакция: 7.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows 2000 Advanced Server, операционная система Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard

  • kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtru
Отзывы и предложения
&t=">