Уклањање сертификата из Ацтиве Дирецтори-а

Када уклоните Ацтиве Дирецтори Цертифицате Сервицес, морате извршити низ прелиминарних и накнадних корака неопходних за исправно уклањање сертификационог тијела или ЦА из Ацтиве Дирецтори-а. Морате опозвати све издате цертификате, избрисати приватне кључеве, улогу АДЦС-а и ручно очистити АД свих референци на овлашћени цертификат који се брише. Ако погрешно уклоните ауторитет за цертифицирање из АД-а, апликације које зависе од инфраструктуре јавног кључа можда неће исправно радити.

Садржај:

  • Опозив издатих потврда
  • Уклањање улоге услуга сертификата Ацтиве Дирецтори
  • Уклањање ЦА објеката из Ацтиве Дирецтори-а
  • Избришите цертификате објављене у спремнику НтАутхЦертифицате
  • Уклањање базе података ауторитета за сертификат
  • Уклањање сертификата из контролера домена

Опозив издатих потврда

Пре свега, морате опозвати све издате потврде. Да бисте то учинили, отворите конзолу Ауторитет за сертификацију, проширите чвор сервера цертификата и идите на одељак Издато Сертификати. У десном прозору одаберите издати сертификат и изаберите ставку у контекстном менију Све Задаци> Опозвати Сертификат.

Наведите разлог за одузимање цертификата (Престанак рада - Прекид рада), време од кога се сматра неважећим (тренутним) и притисните Да.

Сертификат ће нестати са листе. Учините исто са свим издатим потврдама..

Затим отворите својства грана ОпозватиСертификати.

Повећајте вредност поља ЦРЛпубликацијаинтервал (интервал за објављивање листе опозиваних сертификата) - овај параметар одређује учесталост ажурирања листе опозваних сертификата.

Кликните десним тастером миша на чвор Одузете потврде и изаберите Сви задаци> Објави.

Изаберите НовоЦРЛ и кликните Ок.

Проверите и, ако је потребно, одбијте издавање свих нерешених захтева за сертификатом. За ово у контејнеру Неопходни захтеви означите захтев и изаберите у контекстном менију Сви задаци -> Одбиј захтев.

Уклањање улоге услуга сертификата Ацтиве Дирецтори

На серверу са улогом ЦА отворите командни редак и зауставите рад сертификационих сервиса наредбом:

цертутил -сутдовн

За листу локално сачуваних приватних кључева извршите наредбу:

цертутил -кеи

У нашем примеру, један приватни кључ повезан је са ЦА. Можете је обрисати помоћу команде цертутил -делкеи ЦертифицатеАутхоритиНаме. Назив кључа је вредност добијена у претходном кораку. На пример,

цертутил -делкеи ле-ДомаинЦонтроллер-б44ц7ее1-д420-4б96-аф19-8610бф83д263

Да бисте били сигурни да је приватни кључ ЦА избрисан, поново покрените наредбу:

цертутил -кеи

Затим отворите конзолу Сервер манагер и обришите улогу Сервис сертификата Ацтиве Дирецтори.

Након уклањања улоге, сервер треба поново покренути.

Уклањање ЦА објеката из Ацтиве Дирецтори-а

Када инсталирате ауторитет за сертификацију у структуру Ацтиве Дирецтори, креирају се бројни ЦА сервисни објекти који се не бришу када уклоните улогу АДЦС. Избрисан је само објекат пКИЕнроллментСервице, тако да купци не покушавају да затраже нови сертификат од затвореног ЦА.

Излиставамо расположиве органе за цертифицирање (празан је):

цертутил

Отворимо конзолу Веб локација и услуге Ацтиве Дирецтори и омогућити приказ сервисних грана одабиром горњег менија Прикажи -> Прикажи сервисни чвор.

Затим узастопно избришите следеће објекте АД:

  1. Ауторитет за сертификате у Услуге -> Услуге јавних кључева -> АИА.

  2. Контејнер са називом ЦА сервера у одељку Услуге -> Услуге јавног кључа -> ЦДП.

  3. ЦА у одељку Услуге> Услуге јавних кључева> Органи за сертификацију.

  4. Проверите то испод Услуге -> Услуге јавног кључа -> Услуге уписа недостаје објект пКИЕнроллментСервице (мора се уклонити током процеса деинсталације ЦА). Ако је присутан, извадите га ручно.
  5. Уклоните предлоге сертификата који се налазе у Услуге -> Услуге јавног кључа> Предлошци сертификата (избелити све ЦТРЛ + А шаблоне).

Избришите цертификате објављене у спремнику НтАутхЦертифицате

Када инсталирате нови ауторитет цертификата, његови се сертификати додају и чувају у спремнику НТАутхЦертифицате. Они ће такође морати да се уклоне ручно. Да бисте то учинили, с правима администратора предузећа, сазнајте целокупну ЛДАП стазу до објекта НтАутхЦертифицате у Ацтиве Дирецториу.

цертутил -сторе -? | финдстр "ЦН = НТАутх"

Остаје да обришете цертификате помоћу услужног програма цертутил, што указује на потпуну ЛДАП стазу добијену у претходном кораку.

цертутил -виевделсторе "лдап: /// ЦН = НтАутхЦертифицате, ЦН = услуге јавних кључева, ЦН = услуге, ЦН = конфигурација, ДЦ = но1абнопари, ДЦ = локални? цАЦертификат? база? објецтцласс = цертификацијаАутхорити"

Потврдите брисање сертификата.

Затим извршите наредбу:

цертутил -виевделсторе "лдап: /// ЦН = НтАутхЦертифицате, ЦН = услуге јавних кључева, ЦН = услуге, ЦН = конфигурација, ДЦ = но1абнопари, ДЦ = локални? цАЦертификат? база? објецтцласс = пКИЕнроллментСервице"

Потврдите брисање сертификата.

Уклањање базе података ауторитета за сертификат

ЦА база података се не брише аутоматски када је АДЦС услуга деинсталирана, тако да се ова операција мора извести ручно брисањем директорија %системроот% \Систем32 \Цертлог.

Уклањање сертификата из контролера домена

Морате избрисати сертификате издате контролерима домена. Да бисте то учинили, на контролеру домена покрените наредбу:

цертутил -дцинфо делетеБад

Цертутил ће покушати да верификује све сертификате које је издао ДЦ. Потврде које није могуће верификовати биће избрисане..

Овим се завршава потпуно уклањање услуга сертификата Ацтиве Дирецтори из структуре активног директорија..