Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để vô hiệu hóa một tổ chức chứng chỉ doanh nghiệp của Windows và loại bỏ các đối tượng liên quan đến tất cả

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 889250
Tóm tắt
Khi bạn gỡ cài đặt chuyên biệt một thẩm quyền xác thực (CA), chứng chỉ được phát hành bởi CA là thường vẫn xuất sắc. Nếu giấy chứng nhận xuất sắc được xử lý bởi các máy tính khách hàng cơ sở hạ tầng khóa công cộng khác nhau, xác nhận sẽ không thành công, và những chứng chỉ sẽ không được sử dụng.

Bài viết này mô tả làm thế nào để thu hồi giấy chứng nhận xuất sắc và làm thế nào để hoàn thành nhiều tác vụ khác, được yêu cầu để thành công gỡ bỏ một CA. ngoài ra, bài viết này mô tả một số tiện ích mà bạn có thể sử dụng để giúp bạn loại bỏ các đối tượng CA từ miền của bạn.
GIỚI THIỆU
Bài viết từng bước này mô tả làm thế nào để vô hiệu hóa một doanh nghiệp Microsoft Windows CA, và làm thế nào để loại bỏ tất cả các đối tượng có liên quan từ bản ghi dịch vụ mục tin thư thoại Thư mục Họat động.

Bước 1: Thu hồi tất cả các chứng chỉ hoạt động được phát hành bởi doanh nghiệp CA

  1. Nhấp vào Bắt đầu, điểm đếnCông cụ quản trị, và sau đó nhấp vào CertificationAuthority.
  2. Mở rộng của bạn CA, và sau đó nhấp vào mục tin thư thoại IssuedCertificates .
  3. Trong ngăn phải, bấm vào một trong các giấy chứng nhận đã ban hành, và sau đó nhấn CTRL + A để Chọn Tất cả cấp giấy chứng nhận.
  4. Bấm chuột phải vào chứng chỉ đã chọn, bấm vào AllTasks, và sau đó bấm vào Thu hồi chứng chỉ.
  5. Trong hộp thoại Thu hồi chứng chỉ , bấm vào để chọn Ngừng hoạt động như lý do forrevocation, và sau đó nhấp vào OK.

Bước 2: Tăng khoảng thời gian xuất bản CRL

  1. Ở các cấp giấy chứng nhận quyền Microsoft quản lý Console(MMC) snap-in, bấm chuột phải vào mục tin thư thoại Thu hồi chứng chỉ , và sau đó bấm thuộc tính.
  2. Trong Khoảng thời gian xuất bản CRL hộp, typea phù hợp dài giá trị, và sau đó nhấp vào OK.
Lưu ý Đời của danh sách thu hồi chứng chỉ (CRL) nên dài hơn đời còn lại giấy chứng nhận đã bị thu hồi.

Bước 3: Xuất bản một CRL mới

  1. Ở các cấp giấy chứng nhận quyền MMC snap-in, bấm chuột phải vào mục tin thư thoạiThu hồi giấy chứng nhận .
  2. Nhấp vào Tất cả các nhiệm vụ, và sau đó nhấp vàoxuất bản.
  3. Trong hộp thoại Xuất bản CRL , bấm vàoMới CRL, và sau đó nhấp vào OK.

Bước 4: Từ chối bất kỳ đang chờ giải quyết yêu cầu

theo mặc định, một doanh nghiệp CA không lưu trữ chứng chỉ yêu cầu. Tuy nhiên, người quản trị có thể thay đổi hành vi mặc định này. Để từ chối bất cứ yêu cầu đang chờ xử lý chứng chỉ, hãy làm theo các bước sau:
  1. Trong các cấp giấy chứng nhận quyền MMC snap-in, hãy nhấp vào thePending yêu cầu mục tin thư thoại.
  2. Trong ngăn phải, bấm vào một trong các yêu cầu đang chờ giải quyết, andthen báo chí CTRL + A để Chọn Tất cả đang chờ xử lý giấy chứng nhận.
  3. Bấm chuột phải vào các yêu cầu đã chọn, bấm vào AllTasks, và sau đó nhấp vào Từ chối yêu cầu.

Bước 5: Gỡ cài đặt chuyên biệt bản ghi dịch vụ chứng chỉ từ hệ phục vụ

  1. Để ngừng bản ghi dịch vụ chứng chỉ, bấm vào Bắt đầu, bấm chạy, loại CMD, và sau đó nhấp vào OK.
  2. Tại dấu kiểm nhắc lệnh, gõ tắt máy certutil, và sau đó nhấn Enter.
  3. Tại dấu kiểm nhắc lệnh, gõcertutil – chìa khóa, và sau đó nhấn Enter. Lệnh này sẽ hiển thị các tên của tất cả các nhà cung cấp bản ghi dịch vụ mật mã được cài đặt chuyên biệt (CSP) và các cửa hàng chính có liên quan đến mỗi nhà cung cấp. Được liệt kê trong số các cửa hàng quan trọng được liệt kê sẽ là tên của bạn CA. Tên sẽ được liệt kê nhiều lần, như minh hoạ trong ví dụ sau:
    (1)Microsoft Base Cryptographic Provider v1.0:  1a3b2f44-2540-408b-8867-51bd6b6ed413  MS IIS DCOM ClientSYSTEMS-1-5-18  MS IIS DCOM Server  Windows2000 Enterprise Root CA  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500  afd1bc0a-a93c-4a31-8056-c0b9ca632896  Microsoft Internet Information Server  NetMon  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500(5)Microsoft Enhanced Cryptographic Provider v1.0:  1a3b2f44-2540-408b-8867-51bd6b6ed413  MS IIS DCOM ClientSYSTEMS-1-5-18  MS IIS DCOM Server  Windows2000 Enterprise Root CA  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500  afd1bc0a-a93c-4a31-8056-c0b9ca632896  Microsoft Internet Information Server  NetMon  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Xoá khoá riêng là liên kết với CA. Để làm điều này, một dấu kiểm nhắc lệnh, gõ lệnh sau, và sau đó nhấn Enter:
    certutil - delkey CertificateAuthorityName
    Lưu ý Nếu tên CA có tại toàn, kèm theo tên tại quotationmarks.

    Trong ví dụ này, giấy chứng nhận quyền tên là "Windows2000 doanh nghiệp CA gốc." Vì vậy, các dòng lệnh trong ví dụ này là như sau:
    certutil - delkey "Windows2000 doanh nghiệp gốc CA"
  5. Danh sách các cửa hàng chính một lần nữa để xác minh rằng chìa khóa riêng cho CA của bạn đã được xóa.
  6. Sau khi bạn xóa khóa riêng cho CA của bạn, gỡ cài đặt chuyên biệt bản ghi dịch vụ chứng chỉ. Để làm điều này, hãy làm theo các bước sau, tùy thuộc vào các phiên bản của Windows Server bạn đang chạy.

    Windows Server 2003
    1. Đóng các chứng nhận cơ quan MMC snap-in nếu nó vẫn còn mở.
    2. Nhấp vào Bắt đầu, điểm đến Panel điều khiển, và sau đó nhấp vào thêm/loại bỏ chương trình.
    3. Nhấp vào Thêm/loại bỏ cấu phần của Windows.
    4. Trong hộp cấu phần , bấm để bỏ chọn hộp kiểm bản ghi dịch vụ chứng chỉ , bấm vào tiếp theo, và sau đó làm theo các chỉ dẫn trong thuật sĩ cấu phần Windows để hoàn thành việc loại bỏ các bản ghi dịch vụ chứng chỉ.
    Windows Server 2008 và phiên bản mới hơn

    Nếu bạn đang gỡ cài đặt chuyên biệt một doanh nghiệp CA, các thành viên trong quản trị doanh nghiệp, hoặc tương đương, là tối thiểu là cần thiết để hoàn tất thủ tục này. Để biết thêm thông tin, hãy xem Thực hiện dựa trên vai trò quản trị.

    Để gỡ cài đặt chuyên biệt một CA, hãy làm theo các bước sau:
    1. Nhấp vào Bắt đầu, điểm đến Công cụ quản trị, và sau đó nhấp vào Quản lý máy chủ.
    2. Trong Bản tóm tắt vai trò, bấm Loại bỏ vai trò để khởi động thuật sĩ loại bỏ vai trò, và sau đó nhấp vào tiếp theo.
    3. Bấm để bỏ chọn hộp kiểm bản ghi dịch vụ chứng chỉ Thư mục Họat động , và sau đó nhấp vào tiếp theo.
    4. Xác nhận loại bỏ lựa chọn trang, xem lại các thông tin, và sau đó bấm loại bỏ.
    5. Nếu Internet Information Services (IIS) đang chạy và bạn sẽ được nhắc để dừng bản ghi dịch vụ trước khi bạn tiếp tục với quá trình gỡ cài đặt chuyên biệt, bấm vào OK.
    6. Sau khi thuật sĩ loại bỏ vai trò hoàn tất, khởi động lại máy chủ. Điều này hoàn thành quá trình gỡ cài đặt chuyên biệt.
    Các thủ tục là hơi khác nhau nếu bạn có nhiều bản ghi dịch vụ chứng chỉ Thư mục Họat động (AD CS) vai trò bản ghi dịch vụ cài đặt chuyên biệt trên một máy chủ. Để gỡ bỏ cài đặt chuyên biệt một CA nhưng giữ các bản ghi dịch vụ khác AD CS vai trò, hãy làm theo các bước sau.

    Lưu ýBạn phải kí nhập với các quyền tương tự như người dùng đã cài đặt chuyên biệt CA để hoàn tất thủ tục này. Nếu bạn đang gỡ cài đặt chuyên biệt một doanh nghiệp CA, các thành viên trong quản trị doanh nghiệp, hoặc tương đương, là tối thiểu là cần thiết để hoàn tất thủ tục này. Để biết thêm thông tin, hãy xem Thực hiện dựa trên vai trò quản trị.
    1. Nhấp vào Bắt đầu, điểm đến Công cụ quản trị, và sau đó nhấp vào Quản lý máy chủ.
    2. Trong Bản tóm tắt vai trò, bấm vào bản ghi dịch vụ chứng chỉ Thư mục Họat động.
    3. Theo bản ghi dịch vụ vai trò, bấm Loại bỏ vai trò bản ghi dịch vụ.
    4. Bấm để bỏ chọn hộp kiểm của Tổ chức chứng chỉ , và sau đó nhấp vào tiếp theo.
    5. Xác nhận loại bỏ lựa chọn trang, xem lại các thông tin, và sau đó bấm loại bỏ.
    6. Nếu IIS đang chạy và bạn sẽ được nhắc để dừng bản ghi dịch vụ trước khi bạn tiếp tục với quá trình gỡ cài đặt chuyên biệt, bấm vào OK.
    7. Sau khi thuật sĩ loại bỏ vai trò hoàn tất, bạn phải khởi động lại máy chủ. Điều này hoàn thành quá trình gỡ cài đặt chuyên biệt.
    Nếu bản ghi dịch vụ còn lại của vai trò, chẳng hạn như các bản ghi dịch vụ trực tuyến Responder, được cấu hình để sử dụng dữ liệu từ uninstalled CA, bạn phải cấu hình lại các bản ghi dịch vụ để hỗ trợ một CA khác nhau. Sau khi một CA được gỡ cài đặt chuyên biệt, các thông tin sau còn lại trên máy chủ:
    • bộ máy cơ sở dữ liệu CA
    • CA công cộng và tư nhân phím
    • CA của chứng chỉ trong các cửa hàng cá nhân
    • Giấy chứng nhận của CA trong mục tin thư thoại được chia sẻ, nếu một cặp dùng chung được chỉ định trong lúc thiết lập AD CS
    • chứng chỉ CA gốc chuỗi cửa hàng tin cậy gốc nhà chức trách chứng chỉ
    • CA Chuỗi chứng chỉ trung gian trong các cửa hàng trung cấp chứng nhận cơ quan
    • CA's CRL
    theo mặc định, thông tin này được lưu giữ trên máy chủ trong trường hợp bạn gỡ cài đặt chuyên biệt và sau đó cài đặt chuyên biệt lại CA. Ví dụ, bạn có thể gỡ bỏ cài đặt chuyên biệt và cài đặt chuyên biệt lại CA nếu bạn muốn thay đổi một CA độc lập để một doanh nghiệp CA.

Bước 6: Loại bỏ các đối tượng CA từ Thư mục Họat động

Khi Microsoft bản ghi dịch vụ chứng chỉ được cài đặt chuyên biệt trên một máy chủ là một thành viên của một tên miền, một số đối tượng được tạo ra trong các thùng chứa cấu hình trong Thư mục Họat động.

Các đối tượng là như sau:
  • certificateAuthority đối tượng
    • Trong CN = AIA, CN = bản ghi dịch vụ công cộng chính, CN = bản ghi dịch vụ, CN = cấu hình, DC =ForestRootDomain.
    • Có giấy chứng nhận CA cho CA.
    • Xuất bản quyền thông tin truy cập (AIA) vị trí.
  • crlDistributionPoint đối tượng
    • Trong CN =Tên_máy_phục_vụCN = CDP, CN = bản ghi dịch vụ công cộng quan trọng, CN = bản ghi dịch vụ, CN = cấu hình, DC =ForestRootDC = com.
    • Chứa CRL định kỳ được xuất bản bởi CA.
    • Xuất bản điểm phân phối CRL (CDP) vị trí
  • certificationAuthority đối tượng
    • Trong CN = chính cấp độ quyền giấy chứng nhận, CN = bản ghi dịch vụ công cộng chính, CN = bản ghi dịch vụ, CN = cấu hình, DC =ForestRootDC = com.
    • Có giấy chứng nhận CA cho CA.
  • pKIEnrollmentService đối tượng
    • Trong CN = bản ghi dịch vụ kiểm nhập, CN = bản ghi dịch vụ công cộng chính, CN = bản ghi dịch vụ, CN = cấu hình, DC =ForestRootDC = com.
    • Tạo bởi doanh nghiệp CA.
    • Chứa thông tin về các loại giấy chứng nhận CA đã được cấu hình để vấn đề. mức cấp phép trên đối tượng này có thể kiểm soát an ninh mà hiệu trưởng có thể kiểm nhập đối với CA này.
Khi CA được gỡ cài đặt chuyên biệt, chỉ là đối tượng pKIEnrollmentService được lấy ra. Điều này ngăn cản khách hàng cố gắng để kiểm nhập với CA ngừng hoạt động. Các đối tượng khác được giữ lại vì chứng chỉ được phát hành bởi CA có lẽ vẫn còn xuất sắc. Các chứng chỉ này phải được thu hồi bằng cách làm theo các thủ tục trong các "bước 1: thu hồi tất cả các chứng chỉ hoạt động được phát hành bởi doanh nghiệp CA" phần.

Cho cơ sở hạ tầng khóa công cộng (PKI) khách hàng máy tính để thành công xử lý các giấy chứng nhận xuất sắc, các máy tính cần phải định truy cập thông tin thẩm quyền (AIA) và CRL phân phối điểm đường dẫn trong Thư mục Họat động. Đó là một ý tưởng tốt để thu hồi giấy chứng nhận xuất sắc tất cả, kéo dài tuổi thọ của CRL, và xuất bản CRL trong Thư mục Họat động. Nếu giấy chứng nhận xuất sắc được xử lý bởi các khách hàng khác nhau PKI, xác nhận sẽ không thành công, và những chứng chỉ sẽ không được sử dụng.

Nếu nó không phải là một ưu tiên để duy trì CRL phân phối điểm và AIA trong Thư mục Họat động, bạn có thể loại bỏ các đối tượng. Không loại bỏ các đối tượng nếu bạn mong đợi để xử lý một hoặc nhiều chứng chỉ số thức trước đây là hoạt động.

Loại bỏ tất cả các đối tượng cấp giấy chứng nhận bản ghi dịch vụ từ Thư mục Họat động

Lưu ý Bạn không nên loại bỏ các giấy chứng nhận mẫu từ Thư mục Họat động cho đến sau khi bạn đã xóa tất cả CA đối tượng trong cụm nhánh Thư mục Họat động.

Để loại bỏ tất cả các đối tượng cấp giấy chứng nhận bản ghi dịch vụ từ Thư mục Họat động, hãy làm theo các bước sau:
  1. Xác định CACommonName CA. Để làm điều này, hãy làm theo các bước sau:
    1. Nhấp vào Bắt đầu, bấm chạy, loại CMD trong các mở hộp, và sau đó bấm OK.
    2. Loại certutil, và sau đó nhấn ENTER.
    3. Hãy ghi nhớ giá trị tên thuộc về CA của bạn. Bạn sẽ cần CACommonName cho bước sau này trong thủ tục này.
  2. Nhấp vào Bắt đầu, điểm đếnCông cụ quản trị, và sau đó nhấp vào hoạt động DirectorySites và bản ghi dịch vụ.
  3. Trên menu xem , hãy nhấp vàoHiển thị bản ghi dịch vụ nút chọn một.
  4. Mở rộng bản ghi dịch vụ, mở rộng Khu vực KeyServices, và sau đó bấm vào cặp AIA .
  5. Trong ngăn phải, bấm chuột phải vào cácCertificationAuthority đối tượng cho CA của bạn, nhấp vàoxóa, và sau đó bấm vào .
  6. Trong ngăn bên trái của các hoạt động mục tin thư thoại các web site và ServicesMMC snap-in, hãy nhấp vào các CDP mục tin thư thoại.
  7. Trong ngăn bên phải, định đối tượng lưu chứa cho theserver nơi bản ghi dịch vụ chứng chỉ được cài đặt chuyên biệt. Bấm chuột phải vào các thùng chứa, nhấp vào xóa, và sau đó nhấp vào hai lần.
  8. Trong ngăn bên trái của hoạt động mục tin thư thoại các web site và ServicesMMC snap-in, hãy nhấp vào nút chọn một Chính cấp độ quyền giấy chứng nhận.
  9. Trong ngăn phải, bấm chuột phải vào cácCertificationAuthority đối tượng cho CA của bạn, nhấp vàoxóa, và sau đó bấm vào .
  10. Trong ngăn bên trái của hoạt động mục tin thư thoại các web site và ServicesMMC snap-in, hãy nhấp vào nút chọn một kiểm nhập bản ghi dịch vụ .
  11. Trong ngăn phải, xác minh rằng pKIEnrollmentServiceobject cho CA của bạn đã được gỡ bỏ khi bản ghi dịch vụ chứng chỉ được gỡ cài đặt chuyên biệt. Ifthe đối tượng sẽ không bị xóa, bấm chuột phải vào đối tượng, nhấp vàoxóa, và sau đó bấm vào .
  12. Nếu bạn đã không xác định tất cả các đối tượng, một số đối tượng có thể được trái trong mục tin thư thoại hoạt động sau khi bạn thực hiện các bước sau. Để làm sạch sau khi một CA có thể đã để lại các đối tượng trong hoạt động mục tin thư thoại, hãy làm theo các bước sau để xác định cho dù bất kỳ đối tượng quảng cáo vẫn còn:
    1. Gõ lệnh sau tại dòng lệnh, và sau đó nhấn ENTER:
      ldifde - r "cn =CACommonName"-d" CN = bản ghi dịch vụ công cộng chính, CN = bản ghi dịch vụ, CN = cấu hình, DC =ForestRootDC = com "-f output.ldf
      Trong lệnh này, CACommonName đại diện cho giá trị tên mà bạn xác định trong bước 1. Ví dụ, nếu giá trị tên là "CA1 Contoso", gõ như sau:
      ldifde - r "cn = CA1 Contoso" -d "cn = bản ghi dịch vụ công cộng chính, cn = bản ghi dịch vụ, cn = cấu hình, dc = contoso, dc = com" -f remainingCAobjects.ldf
    2. Mở tập tin remainingCAobjects.ldf trong Notepad. Thay thế thuật ngữ "changetype: thêm" với "changetype: xóa."Sau đó, kiểm tra xem liệu các đối tượng Thư mục Họat động mà bạn sẽ xóa là hợp pháp.
    3. Một dấu kiểm nhắc lệnh, gõ lệnh sau, và sau đó nhấn ENTER để xoá các đối tượng còn lại CA từ Active Directory:
      ldifde -i -f remainingCAobjects.ldf
  13. Xóa mẫu giấy chứng nhận nếu bạn chắc chắn rằng tất cả các nhà chức trách chứng chỉ đã bị xóa. Lặp lại bước 12 để xác định cho dù bất kỳ đối tượng quảng cáo vẫn còn.

    Quan trọng Bạn không phải xóa các mẫu giấy chứng nhận trừ khi tất cả các nhà chức trách chứng chỉ đã bị xóa. Nếu các mẫu được vô tình xóa, hãy làm theo các bước sau:
    1. Hãy chắc chắn rằng bạn arelogged trên một máy chủ đang chạy bản ghi dịch vụ chứng chỉ là Enterpriseadministrator.
    2. Một dấu kiểm nhắc lệnh, gõ lệnh sau, và sau đó nhấn ENTER:
      CD%windir%\System32
    3. Gõ lệnh sau, và sau đó nhấn ENTER:
      regsvr32 /i:i /n /scertcli.dll
      Hành động này lại tạo ra thecertificate mẫu trong Thư mục Họat động.
    Để xóa các mẫu giấy chứng nhận, hãy làm theo các bước sau.
    1. Trong ngăn bên trái "Hoạt động mục tin thư thoại các web site và dịch vụ" MMC snap-in, hãy nhấp vào Templatesfolder giấy chứng nhận.
    2. Trong ngăn phải, bấm vào một biểu mẫu chứng chỉ, và thenpress CTRL + A để Chọn Tất cả các mẫu. Bấm chuột phải vào các mẫu đã chọn, nhấp vàoxóa, và sau đó bấm vào .

Bước 7: Xóa các giấy chứng nhận được công bố để đối tượng NtAuthCertificates

Sau khi bạn xoá các đối tượng CA, bạn phải xóa các giấy chứng nhận CA được công bố để đối tượng NtAuthCertificates . Sử dụng một trong các lệnh sau để xóa bỏ giấy chứng nhận từ bên trong các cửa hàng NTAuthCertificates:
certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN = khóa công khai
bản ghi dịch vụ,..., DC = ForestRoot, DC = com? cACertificate? cơ sở? objectclass = certificationAuthority"

certutil - viewdelstore "ldap: / / / CN = NtAuthCertificates, CN = khóa công khai
bản ghi dịch vụ,..., DC = ForestRoot, DC = com? cACertificate? cơ sở? objectclass = pKIEnrollmentService "
Lưu ý Bạn phải có quyền quản trị doanh nghiệp để thực hiện nhiệm vụ này.
Hành động - viewdelstore invokes các lựa chọn chứng chỉ giao diện người dùng trên các thiết lập của chứng chỉ trong attibute được chỉ định. Bạn có thể xem chi tiết chứng chỉ. Bạn có thể hủy bỏ ra khỏi hộp thoại lựa chọn để làm cho không có thay đổi. Nếu bạn chọn một giấy chứng nhận, chứng chỉ đó sẽ bị xóa khi giao diện đóng cửa và lệnh được thi hành đầy đủ.

Sử dụng lệnh sau đây để xem đường dẫn LDAP đầy đủ để đối tượng NtAuthCertificates trong Thư mục Họat động của bạn:
cửa hàng certutil-? | FINDSTR "CN = NTAuth"

Bước 8: Xóa bỏ bộ máy cơ sở dữ liệu CA

Khi bản ghi dịch vụ chứng nhận được gỡ cài đặt chuyên biệt, bộ máy cơ sở dữ liệu CA còn lại nguyên vẹn vì vậy mà CA có thể được tái tạo ra trên một máy chủ.

Để loại bỏ bộ máy cơ sở dữ liệu CA, xóa mục tin thư thoại %systemroot%\System32\Certlog.

Bước 9: Làm sạch bộ kiểm soát miền

Sau khi CA được gỡ cài đặt chuyên biệt, giấy chứng nhận đã cấp cho bộ kiểm soát miền phải được loại bỏ.

Để loại bỏ chứng chỉ được cung cấp cho bộ kiểm soát miền Windows Server 2000, sử dụng tiện ích Dsstore.exe từ Microsoft Windows 2000 tài nguyên Kit.

Để loại bỏ chứng chỉ đã được phát hành để bộ kiểm soát miền Windows Server 2000, hãy làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm chạy, loại CMD, và sau đó nhấn ENTER.
  2. Trên bộ kiểm soát miền, gõ dsstore - dcmon tại dấu kiểm nhắc lệnh, và sau đó nhấn ENTER.
  3. Loại 3, và sau đó nhấn ENTER. Hành động này sẽ xóa tất cả giấy chứng nhận trên tất cả các bộ bộ kiểm soát miền.

    Lưu ý Các tiện ích Dsstore.exe sẽ cố gắng xác nhận chứng chỉ bộ điều khiển tên miền được cấp cho mỗi bộ điều khiển tên miền. Chứng chỉ không xác nhận được loại bỏ khỏi của bộ kiểm soát miền tương ứng.
Để loại bỏ chứng chỉ được cung cấp cho bộ kiểm soát miền Windows Server 2003, hãy làm theo các bước sau.

Quan trọng Không sử dụng quy trình này nếu bạn đang sử dụng giấy chứng nhận được dựa trên phiên bản 1 tên miền điều khiển mẫu.
  1. Nhấp vào Bắt đầu, bấm chạy, loại CMD, và sau đó nhấn ENTER.
  2. Tại dấu kiểm nhắc lệnh trên một bộ điều khiển tên miền, gõ certutil - dcinfo deleteBad.
Certutil.exe cố gắng xác nhận tất cả các chứng chỉ DC được cấp cho bộ bộ kiểm soát miền. Chứng chỉ không xác nhận được loại bỏ.

Để buộc các ứng dụng của chính sách bảo mật, hãy làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm chạy, loại CMD trong các mở hộp, và sau đó nhấn ENTER.
  2. Một dấu kiểm nhắc lệnh, gõ lệnh thích hợp cho các phiên bản tương ứng của hệ điều hành, và sau đó nhấn ENTER:
    • Cho Windows Server 2000: secedit /refreshpolicy machine_policy / thi hành
    • Cho Windows Server 2003: gpupdate /force

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 889250 - Xem lại Lần cuối: 10/24/2013 08:21:00 - Bản sửa đổi: 3.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard

  • kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtvi
Phản hồi