Kada uklonite Active Directory Services Certificate, morate izvršiti niz preliminarnih i naknadnih koraka potrebnih za ispravno uklanjanje certifikacijskog tijela ili CA iz Active Directorya. Morate opozvati sve izdane certifikate, izbrisati privatne ključeve, ulogu ADCS-a i ručno izbrisati AD sve reference na certifikat koji se briše. Ako pogrešno uklonite certifikacijsko tijelo iz AD-a, aplikacije koje ovise o infrastrukturi javnog ključa možda neće raditi ispravno.
sadržaj:
- Opoziv izdanih potvrda
- Uklanjanje uloge usluge certifikata Active Directory
- Uklanjanje CA objekata iz Active Directorya
- Izbrišite potvrde objavljene u spremniku NtAuthCertificate
- Uklanjanje baze podataka certifikata
- Uklanjanje certifikata iz kontrolera domene
Opoziv izdanih potvrda
Prije svega, morate opozvati sve izdane potvrde. Da biste to učinili, otvorite konzolu Tijelo za ovjeravanje, proširite čvor poslužitelja certifikata i idite na odjeljak Izdano Potvrde. U desnom prozoru odaberite izdani certifikat i odaberite stavku u kontekstnom izborniku sve zadaci> Onemogući potvrda.
Navedite razlog oduzimanja certifikata (Prestanak rada - Prestanak rada), vrijeme od kojeg se smatra nevažećim (trenutnim) i pritisnite da.
Certifikat će nestati s popisa. Učinite isto sa svim izdanim potvrdama..
Zatim otvorite svojstva grana OnemogućiPotvrde.
Povećajte vrijednost polja CRLobjavljivanjeinterval (interval za objavljivanje popisa povučenih potvrda) - ovaj parametar određuje učestalost ažuriranja popisa povučenih potvrda.
Desnim klikom na čvor Oduzete potvrde i odaberite Svi zadaci> Objavi.
odabrati noviCRL i kliknite U redu.
Provjerite i, ako je potrebno, odbijte izdavanje svih neriješenih zahtjeva za certifikate. Za to u kontejneru U tijeku su zahtjevi označite zahtjev i odaberite u kontekstnom izborniku Svi zadaci -> Odbiti zahtjev.
Uklanjanje uloge usluge certifikata Active Directory
Na poslužitelju s ulogom CA otvorite naredbeni redak i zaustavite rad certifikacijskih usluga pomoću naredbe:
certutil -sutdown
Za popis lokalno pohranjenih privatnih ključeva izvedite naredbu:
certutil -key
U našem primjeru, jedan privatni ključ povezan je s CA. Možete ga izbrisati naredbom certutil -delkey CertificateAuthorityName. Ključno ime je vrijednost dobijena u prethodnom koraku. Na primjer,
certutil -delkey le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263
Da biste bili sigurni da je privatni ključ CA izbrisan, ponovo pokrenite naredbu:
certutil -key
Zatim otvorite konzolu Upravitelj poslužitelja i izbrisati ulogu Usluge certifikata Active Directory.
Nakon uklanjanja uloge, poslužitelj se mora ponovno pokrenuti.
Uklanjanje CA objekata iz Active Directorya
Kada instalirate ovlaštenje za certificiranje u strukturu Active Directory, stvara se niz CA usluga koji se ne brišu kad uklonite ulogu ADCS. Izbrisan je samo objekt pKIEnrollmentService, tako da kupci ne pokušavaju zatražiti novu potvrdu od odobrenog CA-a.
Navodimo raspoložive certifikacijske organe (prazno je):
certutil
Otvorimo konzolu Web mjesto i usluge Active Directory te omogućiti prikaz podružnica usluga izborom u gornjem izborniku Prikaži -> Prikaži čvor usluga.
Zatim uzastopno izbrišite sljedeće AD objekte:
- Tijelo za potvrdu u Usluge -> Usluge javnog ključa -> AIA.
- Spremnik s nazivom CA poslužitelja u odjeljku Usluge -> Usluge javnog ključa -> CDP.
- CA u odjeljku Usluge> Usluge javnih ključeva> Tijela za certificiranje.
- Provjerite to ispod Usluge -> Usluge javnog ključa -> Usluge upisa objekt koji nedostaje pKIEnrollmentService (mora se ukloniti tijekom postupka deinstalacije CA). Ako je prisutan, izvadite ga ručno.
- Uklonite predloške certifikata smještene u Usluge -> Usluge javnog ključa> Predlošci certifikata (izbjeljivanje svih CTRL + A predložaka).
Izbrišite potvrde objavljene u spremniku NtAuthCertificate
Kada instalirate novo ovlaštenje za certifikate, njegovi se certifikati dodaju i pohranjuju u spremnik NTAuthCertificates. Oni će se također morati ukloniti ručno. Da biste to učinili, s pravima poslovnog administratora, saznajte cijeli LDAP put do NtAuthCertificate objekta u Active Directoryu.
certutil -store -? | findstr "CN = NTAuth"
Ostaje izbrisati certifikate pomoću uslužnog programa certutil, što označava puni LDAP put dobijen u prethodnom koraku.
certutil -viewdelstore "ldap: /// CN = NtAuthCertificate, CN = usluge javnih ključeva, CN = usluge, CN = konfiguracija, DC = no1abnopary, DC = lokalni? cACertificate? baza? objectclass = certifikacijaAuthority"
Potvrdite brisanje certifikata.
Zatim izvrnite naredbu:
certutil -viewdelstore "ldap: /// CN = NtAuthCertificate, CN = usluge javnih ključeva, CN = usluge, CN = konfiguracija, DC = no1abnopary, DC = lokalni? cACertificate? baza? objectclass = pKIEnrollmentService"
Potvrdite brisanje certifikata.
Uklanjanje baze podataka certifikata
CA baza podataka ne automatski se briše kad se deinstalira ADCS usluga, tako da se ta operacija mora izvesti ručno brisanjem mape %systemroot% \System32 \Certlog.
Uklanjanje certifikata iz kontrolera domene
Morate izbrisati certifikate izdane kontrolerima domena. Da biste to učinili, na kontroleru domene pokrenite naredbu:
certutil -dcinfo deleteBad
Certutil će pokušati potvrditi sve potvrde koje je izdao DC. Potvrde koje nije moguće provjeriti izbrisat će se..
Ovim se završava potpuno uklanjanje usluga certifikata Active Directory iz strukture Active Directory..
