Ko odstranite Storitve potrdil Active Directory, morate opraviti niz predhodnih in naknadnih korakov, potrebnih za pravilno odstranitev certifikacijskega organa ali CA iz Active Directory. Vse preklicane certifikate morate preklicati, izbrisati zasebne ključe, vlogo ADCS in ročno počistiti AD vseh sklicev na organ za potrdila, ki se briše. Če napačno odstranite certifikacijski organ iz AD-ja, aplikacije, ki so odvisne od infrastrukture javnega ključa, morda ne bodo delovale pravilno.
Vsebina:
- Preklic izdanih potrdil
- Odstranjevanje vloge storitev potrdila Active Directory
- Odstranjevanje predmetov CA iz Active Directory
- Izbrišite potrdila, objavljena v vsebniku NtAuthCertificate
- Odstranjevanje baze podatkov organa za potrdila
- Odstranjevanje potrdil iz krmilnikov domen
Preklic izdanih potrdil
Najprej morate preklicati vsa izdana potrdila. Če želite to narediti, odprite konzolo Certifikacijski organ, razširite vozlišče strežnika potrdil in pojdite na razdelek Izdano Potrdila. V desnem oknu izberite izdano potrdilo in izberite element v kontekstnem meniju Vse Naloge> Prekliči Potrdilo.
Navedite razlog za preklic certifikatov (Prenehanje delovanja - Prenehanje dela), čas, od katerega se šteje za neveljavnega (trenutno), in pritisnite Da.
Potrdilo izgine s seznama. Enako storite z vsemi izdanimi potrdili..
Nato odprite lastnosti veje PrekličiPotrdila.
Povečajte vrednost polja CRLobjavainterval (interval objave seznama preklicanih potrdil) - ta parameter določa pogostost posodabljanja seznama preklicanih potrdil.
Z desnim klikom na vozlišče Preklicana potrdila in izberite Vsa opravila> Objavi.
Izberite NovoCRL in kliknite V redu.
Preverite in po potrebi zavrnite izdajo vseh čakajočih zahtevkov za potrdila. Za to v posodi Nerešene zahteve označite zahtevo in izberite v kontekstnem meniju Vse naloge -> Zavrni prošnjo.
Odstranjevanje vloge storitev potrdila Active Directory
Na strežniku z vlogo CA odprite ukazni poziv in ustavite delo certifikacijskih storitev z ukazom:
certutil-izklop
Če želite prikazati lokalno shranjene zasebne ključe, izvedite ukaz:
certutil -key
V našem primeru je en zasebni ključ povezan s CA. Z ukazom ga lahko izbrišete certutil -delkey CertificateAuthorityName. Ključno ime je vrednost, pridobljena v prejšnjem koraku. Na primer,
certutil -delkey le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263
Če se želite prepričati, da je zasebni ključ CA izbrisan, znova zaženite ukaz:
certutil -key
Nato odprite konzolo Upravitelj strežnikov in izbrisati vlogo Storitve potrjevanja Active Directory.
Po odstranitvi vloge je treba strežnik znova zagnati.
Odstranjevanje predmetov CA iz Active Directory
Ko namestite certifikacijski organ v strukturo Active Directory, se ustvari več objektov storitve CA, ki jih ne odstranite, ko odstranite vlogo ADCS. Izbrisan je samo predmet pKIEnrollmentService, zato kupci ne poskušajo zahtevati novega potrdila od preklicanega CA.
Navajamo razpoložljive certifikacijske organe (prazen je):
certutil
Odprimo konzolo Spletno mesto in storitve Active Directory in omogočite prikaz podružnic storitev z izbiro v zgornjem meniju Prikaži -> Prikaži vozlišče storitev.
Nato zaporedno izbrišite naslednje predmete AD:
- Organ za potrjevanje v Storitve -> Storitve javnega ključa -> AIA.
- Vsebnik z imenom strežnika CA v razdelku Storitve -> Storitve javnega ključa -> CDP.
- CA v oddelku Storitve> Storitve javnega ključa> Certifikacijski organi.
- Preveri to pod Storitve -> Storitve javnega ključa -> Storitve vpisa manjkajoči predmet pKIEnrollmentService (odstraniti ga morate med postopkom odstranitve CA). Če je prisoten, ga odstranite ročno.
- Odstranite predloge potrdil, ki se nahajajo v Storitve -> Storitve javnega ključa> Predloge potrdil (belite vse predloge CTRL + A).
Izbrišite potrdila, objavljena v vsebniku NtAuthCertificate
Ko namestite novo pooblastilo za potrdila, se njegovi certifikati dodajo in shranijo v zabojnik NTAuthCertificate. Odstraniti jih bo treba tudi ročno. Če želite to narediti, s pravicami skrbnika podjetja poiščite celotno pot LDAP do objekta NtAuthCertificate v Active Directory.
certutil -store -? | findstr "CN = NTAuth"
Še vedno je treba izbrisati certifikate s pomočjo pripomočka certutil, ki kaže celotno pot LDAP, pridobljeno v prejšnjem koraku.
certutil -viewdelstore "ldap: /// CN = NtAuthCertificate, CN = storitve javnih ključev, CN = storitve, CN = konfiguracija, DC = no1abnopary, DC = lokalni? cACertificate? baza? objectclass = certificiranjeAuthority"
Potrdite brisanje certifikata.
Nato izvedite ukaz:
certutil -viewdelstore "ldap: /// CN = NtAuthCertificate, CN = storitve javnih ključev, CN = storitve, CN = konfiguracija, DC = no1abnopary, DC = lokalni? cACertificate? baza? objectclass = pKIEnrollmentService"
Potrdite brisanje certifikata.
Odstranjevanje baze podatkov organa za potrdila
Ko odstranite storitev ADCS, se baza podatkov CA ne samodejno izbriše, zato je treba to operacijo izvesti ročno s brisanjem imenika %systemroot% \System32 \Certlog.
Odstranjevanje potrdil iz krmilnikov domen
Izbrisati morate potrdila, izdana nadzornikom domen. Če želite to narediti, na krmilniku domene zaženite ukaz:
certutil -dcinfo deleteBad
Certutil bo poskušal preveriti vsa potrdila, ki jih je izdal DC. Potrdila, ki jih ni mogoče preveriti, bodo izbrisana..
S tem je popolna odstranitev storitev potrdil Active Directory iz strukture Active Directory..