Az Active Directory tanúsítványszolgáltatások eltávolításakor el kell végeznie az előzetes és utáni lépések sorozatát, amely a tanúsító hatóság vagy a hitelesítésszolgáltató helyes eltávolításához szükséges az Active Directoryból. Vissza kell vonnia az összes kiállított tanúsítványt, törölnie kell a magánkulcsokat, az ADCS szerepet, és manuálisan törölnie kell az AD minden törlött tanúsítási jogosultságra való hivatkozását. Ha helytelenül távolítja el a tanúsító hatóságot az AD-ből, akkor a nyilvános kulcs infrastruktúrájától függő alkalmazások nem működnek megfelelően.
Tartalom:
- A kiadott tanúsítványok visszavonása
- Az Active Directory tanúsítványszolgáltatások szerepének eltávolítása
- CA objektumok eltávolítása az Active Directoryból
- Törölje az NtAuthCertificates tárolóban közzétett tanúsítványokat
- Hitelesítésszolgáltató adatbázis eltávolítása
- Tanúsítványok eltávolítása a tartományvezérlőkről
A kiadott tanúsítványok visszavonása
Mindenekelőtt vissza kell vonnia az összes kiadott igazolást. Ehhez nyissa meg a konzolt Tanúsító hatóság, bontsa ki a tanúsítványkiszolgáló csomópontját és lépjen a szakaszba kiadott tanúsítványok. A jobb oldali ablakban válassza ki a kiállított tanúsítványt, és válassza a tételt a helyi menüben minden feladatok> Színvétés bizonyítvány.
Adja meg a tanúsítványok visszavonásának okát (Működés megszűnése - A munka befejezése), az az idő, amelytől kezdve érvénytelennek (aktuálisnak) minősül, és nyomja meg igen.
A tanúsítvány eltűnik a listáról. Ugyanezt tegye az összes kiállított igazolással..
Ezután nyissa meg az ág tulajdonságait Színvétéstanúsítványok.
Növelje a mező értékét CRLkiadványintervallum (a visszavont tanúsítványok listájának közzétételének intervalluma) - ez a paraméter határozza meg a visszavont tanúsítványok listájának frissítésének gyakoriságát.
Kattintson a jobb gombbal a csomópontra Visszavont tanúsítványok és válassza ki Minden feladat> Közzététel.
választ újCRL és kattintson a gombra rendben.
Ellenőrizze és szükség esetén utasítsa el az összes függőben lévő tanúsítványkérés kiadását. Erre egy tartályban Függő követelmények jelölje ki a kérést, és válassza ki a helyi menüben Minden feladat -> Kérés elutasítása.
Az Active Directory tanúsítványszolgáltatások szerepének eltávolítása
A CA szereppel rendelkező kiszolgálón nyisson meg egy parancssort, és állítsa le a tanúsítási szolgáltatások munkáját a következő paranccsal:
certutil-shutdown
A helyileg tárolt privát kulcsok felsorolásához hajtsa végre a következő parancsot:
certutil-kulcs
Példánkban egy privát kulcs van társítva a CA-val. A paranccsal törölheti certutil -delkey CertificateAuthorityName. A kulcs neve az előző lépésben kapott érték. Például,
certutil-kulccsal le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263
A CA privát kulcs törlésének ellenőrzéséhez futtassa újra a parancsot:
certutil-kulcs
Ezután nyissa ki a konzolt Szerver menedzser és törölje a szerepet Active Directory tanúsítványszolgáltatások.
A szerep eltávolítása után a kiszolgálót újra kell indítani.
CA objektumok eltávolítása az Active Directoryból
A tanúsító jogosultság telepítésekor az Active Directory struktúrába számos CA szolgáltatási objektum jön létre, amelyeket az ADCS szerep eltávolításakor nem törölnek. Csak az objektum törlődik pKIEnrollmentService, így az ügyfelek nem próbálnak új tanúsítványt kérni a leszerelt CA-tól.
Felsoroljuk a rendelkezésre álló tanúsító hatóságokat (üres):
certutil
Nyissuk meg a konzolt Active Directory webhely és szolgáltatások és engedélyezze a szolgáltatási ágak megjelenítését a felső menüben történő kiválasztással Nézet -> Szolgáltatási csomópont megjelenítése.
Ezután egymás után törölje a következő AD objektumokat:
- Tanúsító hatóság Szolgáltatások -> Nyilvános kulcsú szolgáltatások -> AIA.
- A CA-kiszolgáló nevével ellátott tároló a szakaszban Szolgáltatások -> Nyilvános kulcsú szolgáltatások -> CDP.
- CA a szakaszban Szolgáltatások> Nyilvános kulcsú szolgáltatások> Tanúsító hatóságok.
- Ellenőrizze, hogy az alatt Szolgáltatások -> Nyilvános kulcsú szolgáltatások -> beiratkozási szolgáltatások hiányzó tárgy pKIEnrollmentService (azt a CA eltávolítási folyamat során el kell távolítani). Ha van, távolítsa el kézzel.
- Távolítsa el az itt található tanúsítványsablonokat Szolgáltatások -> Nyilvános kulcsú szolgáltatások> Tanúsítványsablonok (fehéresítse az összes CTRL + A sablont).
Törölje az NtAuthCertificates tárolóban közzétett tanúsítványokat
Egy új tanúsító jogosultság telepítésekor a tanúsítványok hozzáadódnak és tárolódnak a tárolóban NTAuthCertificates. Ezeket manuálisan is el kell távolítani. Ehhez a vállalati rendszergazdai jogokkal megtudhatja az NtAuthCertificates objektum teljes LDAP elérési útját az Active Directory-ban.
certutil-áruház -? | findstr "CN = NTAuth"
A tanúsítványokat törölni kell a certutil segédprogrammal, jelezve az előző lépésben megszerzett teljes LDAP elérési utat.
certutil -viewdelstore “ldap: /// CN = NtAuthCertificates, CN = Nyilvános kulcsszolgáltatások, CN = Szolgáltatások, CN = Konfiguráció, DC = no1abnopary, DC = helyi? cACertificate? base? objectclass = certificateAuthority”
Erősítse meg a tanúsítvány törlését.
Ezután hajtsa végre a következő parancsot:
certutil -viewdelstore “ldap: /// CN = NtAuthCertificates, CN = Public Key Services, CN = Services, CN = Configuration, DC = no1abnopary, DC = local? cACertificate? base? objectclass = pKIEnrollmentService”
Erősítse meg a tanúsítvány törlését.
Hitelesítésszolgáltató adatbázis eltávolítása
A CA adatbázis nem kerül automatikusan törlésre az ADCS szolgáltatás eltávolításakor, ezért ezt a műveletet manuálisan kell elvégezni a könyvtár törlésével %% root% \System32 \Certlog.
Tanúsítványok eltávolítása a tartományvezérlőkről
Törölnie kell a tartományvezérlők számára kiállított tanúsítványokat. Ehhez futtassa a tartományvezérlőn a következő parancsot:
certutil -dcinfo deleteBad
A Certutil megpróbálja ellenőrizni a DC által kiállított összes tanúsítványt. A nem ellenőrizhető tanúsítványok törlődnek..
Ez befejezi az Active Directory tanúsítványszolgáltatások teljes eltávolítását az Active Directory struktúrából..
