Menghapus Otoritas Sertifikat dari Direktori Aktif

Saat Anda menghapus Layanan Sertifikat Direktori Aktif, Anda harus menyelesaikan serangkaian langkah awal dan posting yang diperlukan untuk menghapus Otoritas Sertifikasi atau CA dari Direktori Aktif dengan benar. Anda harus mencabut semua sertifikat yang dikeluarkan, menghapus kunci pribadi, peran ADCS, dan menghapus secara manual semua referensi ke otoritas sertifikat yang dihapus. Jika Anda salah menghapus otoritas sertifikasi dari AD, aplikasi yang bergantung pada infrastruktur kunci publik mungkin tidak berfungsi dengan benar.

Konten:

  • Pencabutan sertifikat yang dikeluarkan
  • Menghapus Peran Layanan Sertifikat Direktori Aktif
  • Menghapus Objek CA dari Direktori Aktif
  • Hapus sertifikat yang diterbitkan dalam wadah NtAuthCertificates
  • Menghapus Database Otoritas Sertifikat
  • Menghapus sertifikat dari pengontrol domain

Pencabutan sertifikat yang dikeluarkan

Pertama-tama, Anda perlu mencabut semua sertifikat yang dikeluarkan. Untuk melakukan ini, buka konsol Otoritas sertifikasi, perluas node server sertifikat dan buka bagian Dikeluarkan Sertifikat. Di jendela kanan, pilih sertifikat yang dikeluarkan dan pilih item di menu konteks Semua Tugas> Cabut Sertifikat.

Tunjukkan alasan pencabutan sertifikat (Hentikan operasi - Pemutusan hubungan kerja), waktu yang dianggap tidak valid (saat ini) dan tekan Ya.

Sertifikat akan hilang dari daftar. Lakukan hal yang sama dengan semua sertifikat yang dikeluarkan..

Kemudian buka properti cabang CabutSertifikat.

Tingkatkan nilai bidang CRLpublikasiinterval (interval untuk menerbitkan daftar sertifikat yang dicabut) - parameter ini menentukan frekuensi pembaruan daftar sertifikat yang dicabut.

Klik kanan pada node Sertifikat yang Dicabut dan pilih Semua Tugas> Terbitkan.

Pilih BaruCRL dan klik Ok.

Periksa dan, jika perlu, tolak untuk mengeluarkan semua permintaan sertifikat yang tertunda. Untuk ini dalam wadah Persyaratan tertunda sorot permintaan dan pilih di menu konteks Semua tugas -> Tolak permintaan.

Menghapus Peran Layanan Sertifikat Direktori Aktif

Di server dengan peran CA, buka prompt perintah dan hentikan pekerjaan layanan sertifikasi dengan perintah:

certutil -shutdown

Untuk mendaftar kunci pribadi yang disimpan secara lokal, jalankan perintah:

certutil -kunci

Dalam contoh kami, satu kunci pribadi dikaitkan dengan CA. Anda dapat menghapusnya dengan perintah certutil -delkey ​​CertificateAuthorityName. Nama kuncinya adalah nilai yang diperoleh pada langkah sebelumnya. Sebagai contoh,

certutil -key le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263

Untuk memastikan bahwa kunci pribadi CA dihapus, jalankan perintah lagi:

certutil -kunci

Lalu buka konsol Manajer server dan hapus peran Layanan Sertifikat Direktori Aktif.

Setelah menghapus peran, server perlu di-boot ulang.

Menghapus Objek CA dari Direktori Aktif

Ketika Anda menginstal otoritas sertifikasi dalam struktur Active Directory, sejumlah objek layanan CA dibuat yang tidak dihapus ketika Anda menghapus peran ADCS. Hanya objek yang dihapus Layanan pKIEnrollment, jadi pelanggan tidak mencoba untuk meminta sertifikat baru dari CA yang dinonaktifkan.

Kami mencantumkan otoritas sertifikasi yang tersedia (kosong):

certutil

Ayo buka konsolnya Situs dan Layanan Direktori Aktif dan mengaktifkan tampilan cabang layanan dengan memilih di menu atas Lihat -> Tampilkan Node Layanan.

Kemudian secara berurutan hapus objek AD berikut:

  1. Otoritas Sertifikat di Layanan -> Layanan Kunci Publik -> AIA.

  2. Wadah dengan nama server CA di bagian Layanan -> Layanan Kunci Publik -> CDP.

  3. CA di bagian Layanan> Layanan Kunci Publik> Otoritas Sertifikasi.

  4. Periksa itu di bawah Layanan -> Layanan Kunci Publik -> Layanan Pendaftaran benda yang hilang Layanan pKIEnrollment (itu harus dihapus selama proses CA uninstall). Jika ada, hapus secara manual.
  5. Hapus templat sertifikat yang terletak di Layanan -> Layanan Kunci Publik> Template Sertifikat (memutihkan semua templat CTRL + A).

Hapus sertifikat yang diterbitkan dalam wadah NtAuthCertificates

Ketika Anda menginstal otoritas sertifikat baru, sertifikatnya ditambahkan dan disimpan dalam wadah Sertifikat NTAuth. Mereka juga harus dihapus secara manual. Untuk melakukan ini, dengan hak administrator perusahaan, cari jalur LDAP lengkap ke objek NtAuthCertificates di Active Directory.

certutil -store -? | findstr "CN = NTAuth"

Tetap menghapus sertifikat menggunakan utilitas certutil, yang menunjukkan jalur LDAP lengkap yang diperoleh pada langkah sebelumnya.

certutil -viewdelstore "ldap: /// CN = NtAuthCertificates, CN = Layanan Kunci Publik, CN = Layanan, CN = Konfigurasi, DC = no1abnopary, DC = lokal? cACertificate? basis? objectclass = certificationAuthority"

Konfirmasikan penghapusan sertifikat.

Selanjutnya, jalankan perintah:

certutil -viewdelstore "ldap: /// CN = NtAuthCertificates, CN = Layanan Kunci Publik, CN = Layanan, CN = Konfigurasi, DC = no1abnopary, DC = lokal? cACertificate? basis? objectclass = pKIEnrollmentService"

Konfirmasikan penghapusan sertifikat.

Menghapus Database Otoritas Sertifikat

Basis data CA tidak secara otomatis dihapus ketika layanan ADCS dihapus, sehingga operasi ini harus dilakukan secara manual dengan menghapus direktori %systemroot% \System32 \Certlog.

Menghapus sertifikat dari pengontrol domain

Anda harus menghapus sertifikat yang dikeluarkan untuk pengontrol domain. Untuk melakukan ini, pada pengontrol domain, jalankan perintah:

certutil -dcinfo deleteBad

Certutil akan mencoba memverifikasi semua sertifikat yang dikeluarkan oleh DC. Sertifikat yang tidak dapat diverifikasi akan dihapus..

Ini melengkapi penghapusan lengkap Layanan Sertifikat Direktori Aktif dari struktur Direktori Aktif..