cropped apps

Удаление центра сертификации из Active Directory

от

Удаление центра сертификации из Active Directory

Mundarija скрыть
Удаление центра сертификации из Active Directory
Отзыв выданных сертификатов
Удаление объектов CA из Active Directory
Удаление базы центра сертификации
Удаление сертификатов с контроллеров домена

При удалении службы сертификации Active Directory Certificate Services необходимо выполнить ряд предварительных и пост шагов, необходимых для корректного удалений центра сертификации (Certification Authority или CA) из Active Directory. Необходимо отозвать все выданные сертификаты, удалить закрытые ключи, роль ADCS и вручную очистить AD обо всех упоминаниях удаляемого центра сертификации. При некорректном удалении центра сертификации из AD, приложения, зависящие от инфраструктуры открытого ключа, могут работать неправильно.

Отзыв выданных сертификатов

В первую очередь нужно отозвать все выданные сертификаты. Для этого откройте консоль Certification Authority, разверните узел сервера сертификации и в перейдите в раздел Issued Certificates. В правом окне выберите выданный сертификат и в контекстном меню выберите пункт All Tasks > Revoke Certificate.

Revoke Certificate - отзыв сертификатов

Укажите причину отзыва сертификаты (Cease of Operation — Прекращение работы), время с которого он считается недействительным (текущее) и нажмите Yes.

Cease of Operation - причина отзыва сертификатаСертификат пропадет из списка. Аналогичным образом поступите со всеми выданными сертификатами.

Выданные сертификаты

Затем откройте свойства ветки Revoke Certificates.

Свойства отозванных сертификатов

Увеличьте значение поля CRL publication interval (интервал публикации списка отозванных сертификатов) – этот параметр определяет периодичность обновления списка отозванных сертификатов.

CRL publication interval (интервал публикации списка отозванных сертификатов)

Нажмите ПКМ по узлу Revoked Certificates и выберите All Tasks > Publish.

Публикации списка отозванных сертификатов

Выберите New CRL и нажмите OK.

New CRL

Проверьте и, в случае необходимости, откажите в выдаче всем ожидающим запросам на выдачу сертификатов. Для этого в контейнере Pending Requests выделите запрос и в контекстном меню выберите All Tasks -> Deny Request.

Удаление роли Active Directory Certificate Services

На сервере с ролью CA откройте командную строку и остановим работы служб сертификации командой:

certutil –shutdown

certutil –shutdown

Чтобы вывести список локально хранящихся закрытых ключей выполним команду:

certutil –key

certutil –key

В нашем примере с CA ассоциирован один закрытый ключ. Удалить его можно командой certutil -delkey CertificateAuthorityName. В качестве имени ключа используется значение, полученное на предыдущем шаге. Например,

certutil –delkey le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263

certutil –delkey

Чтобы убедится, что закрытый ключ CA удален еще раз выполним команду:

certutil –key

certutil –key

Затем откроем консоль Server Manager и удалим роль Active Directory Certificate Services.

Удаление роли Active Directory Certificate Services

После удаления роли сервер нужно перезагрузить.

Удаление объектов CA из Active Directory

При установке центра сертификации в структуре Active Directory создается ряд служебных объектов CA, которые не удаляются при удалении роли ADCS. Удаляется только объект pKIEnrollmentService, благодаря чему клиенты не пытаются запрашивать новые сертификат у выведенного из эксплуатации CA.

Выведем список доступных центров сертификации (он пуст):

certutil

certutil -dump

Откроем консоль Active Directory Site and Services и включим отображение сервисных веток, выбрав в верхнем меню пункт View ->Show Services Node.

Show Services Node

Затем последовательно удалим следующие объекты AD:

  1. Центр сертификации в разделе Services -> Public Key Services -> AIA.

    Удаляем сертификаты, опубликованные в контейнере NtAuthCertificates

    При установке нового центра сертификации его сертификаты добавляются и хранятся в контейнере NTAuthCertificates. Их также придется удалить вручную. Для этого с правами администратора предприятия выясним полный LDAP путь к объекту NtAuthCertificates в Active Directory.

    certutil -store -? | findstr "CN=NTAuth"

    certutil -store -? | findstr "CN=NTAuth"

    Осталось удалить сертификаты с помощью утилиты certutil , указав полный LDAP путь, полученный на предыдущем шаге.

    certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=no1abnopary,DC=local?cACertificate?base?objectclass=certificationAuthority”

    certutil –viewdelstore

    Подтверждаем удаление сертификата.

    Далее выполним команду:

    certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=no1abnopary,DC=local?cACertificate?base?objectclass=pKIEnrollmentService”

    certutil –viewdelstore

    Подтвердите удаление сертификата.

    Удаление базы центра сертификации

    База CA автоматически не удаляется при удалении службы ADCS, поэтому эту операцию нужно выполнить вручную, удалив каталог %systemroot%System32Certlog.

    %systemroot%System32Certlog

    Удаление сертификатов с контроллеров домена

    Необходимо удалить сертификаты, выданные контроллерам домена. Для этого на контроллере домена нужно выполнить команду:

    certutil -dcinfo deleteBad

    d183d0b4d0b0d0bbd0b5d0bdd0b8d0b5 d186d0b5d0bdd182d180d0b0 d181d0b5d180d182d0b8d184d0b8d0bad0b0d186d0b8d0b8 d0b8d0b7 active directory 65d241fcf1a21

    Certutil попытается проверить все сертификаты, выданные DC. Сертификаты, которые не удастся проверить, будут удалены.

    На этом полное удаление службы Active Directory Certificate Services из структуры Active Directory завершено.

Qiziqarli malumotlar
Удаление центра сертификации из Active Directory