Odstránenie certifikačnej autority zo služby Active Directory

Keď odstránite certifikačnú službu Active Directory, musíte vykonať celý rad predbežných a post krokov potrebných na správne odstránenie certifikačnej autority alebo CA zo služby Active Directory. Musíte zrušiť všetky vydané certifikáty, odstrániť súkromné ​​kľúče, rolu ADCS a manuálne vymazať všetky odkazy na odstránenú certifikačnú autoritu. Ak certifikačnú autoritu nesprávne odstránite z AD, aplikácie, ktoré závisia od infraštruktúry verejného kľúča, nemusia správne fungovať.

obsah:

  • Zrušenie vydaných osvedčení
  • Odstránenie úlohy certifikačnej služby Active Directory
  • Odstránenie objektov CA zo služby Active Directory
  • Odstráňte certifikáty uverejnené v kontajneri NtAuthCertificates
  • Odstránenie databázy certifikačnej autority
  • Odstraňovanie certifikátov z radičov domény

Zrušenie vydaných osvedčení

Najprv musíte zrušiť všetky vydané certifikáty. Otvorte konzolu Certifikačný orgán, rozbaľte uzol certifikačného servera a choďte do sekcie vydal certifikáty. V pravom okne vyberte vydaný certifikát a vyberte položku v kontextovej ponuke všetko úlohy> odvolať certifikát.

Uveďte dôvod zrušenia osvedčení (Ukončenie činnosti - Ukončenie práce), čas, od ktorého sa považuje za neplatný (aktuálny), a stlačte áno.

Certifikát zmizne zo zoznamu. To isté urobte so všetkými vydanými certifikátmi..

Potom otvorte vlastnosti vetvy odvolaťcertifikáty.

Zvýšte hodnotu poľa CRLuverejnenieinterval (interval zverejnenia zoznamu zrušených certifikátov) - tento parameter určuje frekvenciu aktualizácie zoznamu zrušených certifikátov.

Kliknite pravým tlačidlom myši na uzol Zrušené osvedčenia a vyberte Všetky úlohy> Publikovať.

vybrať novýCRL a kliknite na tlačidlo OK OK.

Skontrolujte av prípade potreby odmietnite vydať všetky čakajúce žiadosti o osvedčenie. Za týmto účelom v kontajneri Čakajúce požiadavky zvýraznite požiadavku a vyberte v kontextovej ponuke Všetky úlohy -> Odmietnuť žiadosť.

Odstránenie úlohy certifikačnej služby Active Directory

Na serveri s rolou CA otvorte príkazový riadok a zastavte prácu certifikačných služieb príkazom:

certutil-vypnutie

Ak chcete zobraziť zoznam lokálne uložených súkromných kľúčov, vykonajte príkaz:

certutil -key

V našom príklade je jeden súkromný kľúč spojený s CA. Môžete ho odstrániť pomocou príkazu certutil -delkey ​​CertificateAuthorityName. Názov kľúča je hodnota získaná v predchádzajúcom kroku. Napríklad,

certutil -delkey ​​le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263

Aby ste sa uistili, že súkromný kľúč CA je odstránený, príkaz spustite znova:

certutil -key

Potom otvorte konzolu Správca servera a odstrániť úlohu Certifikačná služba Active Directory.

Po odstránení role je potrebné reštartovať server.

Odstránenie objektov CA zo služby Active Directory

Keď inštalujete certifikačnú autoritu v štruktúre služby Active Directory, vytvorí sa niekoľko objektov služieb CA, ktoré sa neodstránia, keď odstránite rolu ADCS. Odstráni sa iba objekt pKIEnrollmentService, takže zákazníci sa nepokúšajú požiadať nový certifikát od CA, ktorá bola vyradená z prevádzky.

Uvádzame zoznam dostupných certifikačných autorít (je prázdny):

certutil

Poďme otvoriť konzolu Stránka a služby Active Directory a povoľte zobrazenie pobočiek služieb výberom v hornom menu Zobraziť -> Zobraziť uzol služieb.

Potom postupne odstráňte nasledujúce objekty AD:

  1. Certifikačná autorita v Služby -> Služby verejných kľúčov -> AIA.

  2. Kontajner s názvom servera CA v sekcii Služby -> Služby s verejným kľúčom -> CDP.

  3. CA v časti Služby> Služby verejného kľúča> Certifikačné autority.

  4. Skontrolujte to pod Služby -> Služby verejného kľúča -> Služby registrácie chýbajúci objekt pKIEnrollmentService (musí sa odstrániť počas procesu odinštalovania CA). Ak je prítomný, odstráňte ho manuálne.
  5. Odstráňte šablóny certifikátov nachádzajúce sa v Služby -> Služby verejného kľúča> Šablóny certifikátov (bielenie všetkých šablón CTRL + A).

Odstráňte certifikáty uverejnené v kontajneri NtAuthCertificates

Keď nainštalujete novú certifikačnú autoritu, jej certifikáty sa pridajú a uložia do kontajnera NTAuthCertificates. Musia sa odstrániť aj ručne. Ak to chcete urobiť, pomocou práv podnikového administrátora vyhľadajte úplnú cestu LDAP k objektu NtAuthCertificates v službe Active Directory.

certutil - obchod -? | findstr "CN = NTAuth"

Zostáva odstrániť certifikáty pomocou obslužného programu certutil, pričom sa uvedie úplná cesta LDAP získaná v predchádzajúcom kroku.

certutil -viewdelstore “ldap: /// CN = NtAuthCertificates, CN = Public Key Services, CN = Services, CN = Configuration, DC = no1abnopary, DC = local? cACertificate? base? objectclass = certifikaceAuthority"

Potvrďte odstránenie certifikátu.

Potom vykonajte príkaz:

certutil -viewdelstore “ldap: /// CN = NtAuthCertificates, CN = Public Key Services, CN = Services, CN = Configuration, DC = no1abnopary, DC = local? cACertificate? base? objectclass = pKIEnrollmentService"

Potvrďte odstránenie certifikátu.

Odstránenie databázy certifikačnej autority

Databáza CA sa po odinštalovaní služby ADCS automaticky neodstráni, takže túto operáciu musíte vykonať ručne odstránením adresára %systemroot% \System32 \Certlog.

Odstraňovanie certifikátov z radičov domény

Musíte odstrániť certifikáty vydané radičom domény. Ak to chcete urobiť, v radiči domény spustite príkaz:

certutil -dcinfo deleteBad

Certutil sa pokúsi overiť všetky certifikáty vydané spoločnosťou DC. Certifikáty, ktoré nie je možné overiť, budú odstránené..

Týmto sa dokončí úplné odstránenie certifikačnej služby Active Directory zo štruktúry Active Directory..