Když odeberete certifikační službu Active Directory, musíte provést řadu předběžných a následných kroků nezbytných pro správné odebrání certifikační autority nebo CA ze služby Active Directory. Musíte zrušit všechny vydané certifikáty, odstranit soukromé klíče, roli ADCS a ručně vymazat AD všech odkazů na odstraněnou certifikační autoritu. Pokud nesprávně odeberete certifikační autoritu z AD, aplikace, které závisí na infrastruktuře veřejných klíčů, nemusí fungovat správně.
Obsah:
- Zrušení vydaných certifikátů
- Odebrání role certifikátu služby Active Directory
- Odebrání objektů CA ze služby Active Directory
- Odstraňte certifikáty publikované v kontejneru NtAuthCertificates
- Odebrání databáze certifikační autority
- Odebírání certifikátů z řadičů domény
Zrušení vydaných certifikátů
Nejprve musíte zrušit všechny vydané certifikáty. Chcete-li to provést, otevřete konzolu Certifikační autorita, rozbalte uzel certifikačního serveru a přejděte do sekce Vydáno Certifikáty. V pravém okně vyberte vydaný certifikát a vyberte položku v místní nabídce Všechny Úkoly> Odvolat Certifikát.
Uveďte důvod zrušení certifikátů (Ukončení provozu - Ukončení práce), doba, od které je považována za neplatnou (aktuální), a stiskněte Ano.
Certifikát zmizí ze seznamu. Udělejte totéž se všemi vydanými certifikáty..
Potom otevřete vlastnosti větve OdvolatCertifikáty.
Zvyšte hodnotu pole CRLpublikaceinterval (interval pro zveřejnění seznamu zrušených certifikátů) - tento parametr určuje frekvenci aktualizace seznamu zrušených certifikátů.
Klikněte pravým tlačítkem na uzel Zrušené certifikáty a vyberte Všechny úkoly> Publikovat.
Vyberte NovéCRL a klikněte Dobře.
Zkontrolujte a v případě potřeby odmítněte vydat všechny nevyřízené žádosti o certifikát. Za tímto účelem v kontejneru Nevyřízené požadavky zvýrazněte požadavek a v kontextové nabídce vyberte Všechny úkoly -> Odepřít žádost.
Odebrání role certifikátu služby Active Directory
Na serveru s rolí CA otevřete příkazový řádek a zastavte práci certifikačních služeb příkazem:
certutil - odstavení
Chcete-li zobrazit seznam lokálně uložených soukromých klíčů, spusťte příkaz:
certutil -key
V našem příkladu je jeden soukromý klíč spojen s CA. Můžete jej odstranit pomocí příkazu certutil -delkey CertificateAuthorityName. Název klíče je hodnota získaná v předchozím kroku. Například,
certutil -delkey le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263
Chcete-li zajistit, aby byl soukromý klíč CA odstraněn, spusťte příkaz znovu:
certutil -key
Poté otevřete konzolu Správce serveru a odstranit roli Certifikační služba Active Directory.
Po odstranění role je třeba restartovat server.
Odebrání objektů CA ze služby Active Directory
Při instalaci certifikační autority ve struktuře Active Directory se vytvoří několik objektů služeb CA, které nebudou odstraněny při odebrání role ADCS. Odstraní se pouze objekt pKIEnrollmentService, zákazníci se proto nesnaží požádat o nový certifikát od CA, který byl vyřazen z provozu.
Uvádíme seznam dostupných certifikačních autorit (je prázdný):
certutil
Pojďme otevřít konzoli Web a služby Active Directory a povolte zobrazení poboček služeb výběrem v horním menu Zobrazit -> Zobrazit uzel služeb.
Poté postupně odstraňte následující objekty AD:
- Certifikační autorita v Služby -> Služby veřejných klíčů -> AIA.
- Kontejner s názvem CA serveru v sekci Služby -> Služby veřejných klíčů -> CDP.
- CA v sekci Služby> Služby veřejného klíče> Certifikační autority.
- Zkontrolujte to pod Služby -> Služby veřejných klíčů -> Registrační služby chybějící objekt pKIEnrollmentService (musí být odebrána během procesu odinstalace CA). Pokud je přítomen, odstraňte jej ručně.
- Odebrat šablony certifikátů umístěné v Služby -> Služby veřejných klíčů> Šablony certifikátů (vybělit všechny šablony CTRL + A).
Odstraňte certifikáty publikované v kontejneru NtAuthCertificates
Při instalaci nové certifikační autority se její certifikáty přidají a uloží do kontejneru NTAuthCertificates. Musí být také odstraněny ručně. Chcete-li to provést, s právy správce podniku, vyhledejte úplnou cestu LDAP k objektu NtAuthCertificates ve službě Active Directory.
certutil - sklad -? | findstr "CN = NTAuth"
Zbývá odstranit certifikáty pomocí obslužného programu certutil a označit úplnou cestu LDAP získanou v předchozím kroku.
certutil -viewdelstore “ldap: /// CN = NtAuthCertificates, CN = Public Key Services, CN = Services, CN = Configuration, DC = no1abnopary, DC = local? cACertificate? base? objectclass = certifikační autorita"
Potvrďte odstranění certifikátu.
Poté spusťte příkaz:
certutil -viewdelstore “ldap: /// CN = NtAuthCertificates, CN = Public Key Services, CN = Services, CN = Configuration, DC = no1abnopary, DC = local? cACertificate? base? objectclass = pKIEnrollmentService"
Potvrďte odstranění certifikátu.
Odebrání databáze certifikační autority
Po odinstalaci služby ADCS není databáze CA automaticky odstraněna, takže tuto operaci je nutné provést ručně odstraněním adresáře %systemroot% \System32 \Certlog.
Odebírání certifikátů z řadičů domény
Musíte odstranit certifikáty vydané řadičům domény. Chcete-li to provést, spusťte na řadiči domény příkaz:
certutil -dcinfo deleteBad
Certutil se pokusí ověřit všechny certifikáty vydané DC. Certifikáty, které nelze ověřit, budou smazány..
Tím je dokončeno úplné odebrání certifikační služby Active Directory ze struktury Active Directory..