Когато премахнете услугите за сертифициране на Active Directory, трябва да извършите серия от предварителни и последващи стъпки, необходими за правилното премахване на сертифициращия орган или CA от Active Directory. Трябва да оттеглите всички издадени сертификати, да изтриете личните ключове, ролята на ADCS и да изчистите ръчно AD на всички препратки към сертификата, който се изтрива. Ако неправилно премахнете сертифициращия орган от AD, приложенията, които зависят от инфраструктурата на публичния ключ, може да не работят правилно.
Съдържание:
- Отмяна на издадени сертификати
- Премахване на ролята на услугите за сертифициране на Active Directory
- Премахване на CA обекти от Active Directory
- Изтрийте сертификатите, публикувани в контейнера NtAuthCertificate
- Премахване на база данни на сертифициращ орган
- Премахване на сертификати от контролери на домейни
Отмяна на издадени сертификати
На първо място, трябва да оттеглите всички издадени сертификати. За целта отворете конзолата Сертифициращ орган, разгънете възела на сървъра за сертификати и отидете на раздел Издадено Сертификати. В десния прозорец изберете издадения сертификат и изберете елемента в контекстното меню всички Задачи> Отмяна сертификат.
Посочете причината за отнемането на сертификати (Спиране на експлоатацията - Прекратяване на работата), времето, от което се счита за невалидно (текущо) и натиснете да.
Сертификатът ще изчезне от списъка. Направете същото с всички издадени сертификати..
След това отворете свойствата на клона ОтмянаСертификати.
Увеличете стойността на полето CRLпубликуванеинтервал (интервал за публикуване на списъка на отменените сертификати) - този параметър определя честотата на актуализиране на списъка на отменените сертификати.
Щракнете с десния бутон върху възела Отменени сертификати и изберете Всички задачи> Публикуване.
Изберете новCRL и щракнете добре.
Проверете и, ако е необходимо, откажете да издадете всички чакащи заявки за сертификат. За това в контейнер Висящи изисквания маркирайте заявката и изберете в контекстното меню Всички задачи -> Отказ от заявка.
Премахване на ролята на услугите за сертифициране на Active Directory
На сървър с ролята на CA отворете командния ред и спрете работата на сертификационните услуги с командата:
certutil -ututdown
За да изброите локално съхранените частни ключове, изпълнете командата:
certutil -key
В нашия пример един частен ключ е свързан с CA. Можете да го изтриете с командата certutil -delkey CertificateAuthorityName. Ключовото име е стойността, получена в предишната стъпка. Например,
certutil -delkey le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263
За да сте сигурни, че частният ключ на CA е изтрит, стартирайте командата отново:
certutil -key
След това отворете конзолата Сървър мениджър и изтрийте ролята Услуги за сертифициране на Active Directory.
След премахване на ролята, сървърът трябва да се рестартира.
Премахване на CA обекти от Active Directory
Когато инсталирате сертифициращ орган в структурата на Active Directory, се създават редица обекти на CA услуги, които не се изтриват, когато премахнете ролята на ADCS. Изтрива се само обект pKIEnrollmentService, така че клиентите не се опитват да искат нов сертификат от изведен от експлоатация CA.
Ние изброяваме наличните сертифициращи органи (тя е празна):
certutil
Нека отворим конзолата Сайт и услуги на Active Directory и активирайте показването на клонове на услуги, като изберете в горното меню Преглед -> Показване на възел на услуги.
След това последователно изтрийте следните AD обекти:
- Орган за сертифициране в Услуги -> Услуги с публичен ключ -> AIA.
- Контейнерът с името на сървъра на CA в секцията Услуги -> Услуги с публичен ключ -> CDP.
- CA в раздел Услуги> Публични ключови услуги> Сертифициращи органи.
- Проверете това по-долу Услуги -> Услуги с публичен ключ -> Услуги за записване липсващ обект pKIEnrollmentService (тя трябва да бъде премахната по време на процеса на деинсталиране на СА). Ако има такъв, извадете го ръчно.
- Премахнете шаблоните на сертификати, разположени в Услуги -> Услуги с публичен ключ> Шаблони за сертификати (избелвайте всички шаблони CTRL + A).
Изтрийте сертификатите, публикувани в контейнера NtAuthCertificate
Когато инсталирате нов орган за сертифициране, неговите сертификати се добавят и съхраняват в контейнера NTAuthCertificates. Те също ще трябва да бъдат премахнати ръчно. За да направите това, с права на администратор на предприятие, открийте пълния път LDAP до обекта NtAuthCertificate в Active Directory.
certutil -store -? | findstr "CN = NTAuth"
Остава да изтриете сертификатите с помощта на помощната програма certutil, указвайки пълния LDAP път, получен в предишната стъпка.
certutil -viewdelstore „ldap: /// CN = NtAuthCertificate, CN = Public Key Services, CN = Services, CN = конфигурация, DC = no1abnopary, DC = локален? cACertificate? база? objectclass = сертифициранеAuthority“
Потвърдете изтриването на сертификата.
След това изпълнете командата:
certutil -viewdelstore „ldap: /// CN = NtAuthCertificate, CN = Public Key Services, CN = Services, CN = конфигурация, DC = no1abnopary, DC = локален? cACertificate? база? objectclass = pKIEnrollmentService“
Потвърдете изтриването на сертификата.
Премахване на база данни на сертифициращ орган
CA базата данни не се изтрива автоматично, когато услугата ADCS е деинсталирана, така че тази операция трябва да се извърши ръчно чрез изтриване на директорията %systemroot% \System32 \Certlog.
Премахване на сертификати от контролери на домейни
Трябва да изтриете сертификати, издадени на контролери на домейни. За да направите това, на контролера на домейна изпълнете командата:
certutil -dcinfo deleteBad
Certutil ще се опита да провери всички сертификати, издадени от DC. Сертификатите, които не могат да бъдат проверени, ще бъдат изтрити..
Това завършва пълното премахване на услугите за сертифициране на Active Directory от структурата на Active Directory..
