При видаленні служби сертифікації Active Directory Certificate Services необхідно виконати ряд попередніх і пост кроків, необхідних для коректного вилучень центру сертифікації (Certification Authority або CA) з Active Directory. Необхідно відкликати всі видані сертифікати, видалити закриті ключі, роль ADCS і вручну очистити AD про всі згадках видаляється центру сертифікації. При некоректному видаленні центру сертифікації з AD, додатки, що залежать від інфраструктури відкритого ключа, можуть працювати неправильно.

Відгук виданих сертифікатів

В першу чергу потрібно відкликати всі видані сертифікати. Для цього відкрийте консоль Орган із сертифікації, Розгорніть вузол сервера сертифікації і в перейдіть в розділ Виданий Сертифікати. У правому вікні виберіть виданий сертифікат і в контекстному меню виберіть пункт Всі Завдання> Відкликати Сертифікат.

Revoke Certificate - відгук сертифікатів

Вкажіть причину відкликання сертифікати (Припинення експлуатації – Припинення роботи), час з якого він вважається недійсним (поточний) і натисніть Так.

Cease of Operation - причина відкликання сертифікатуСертифікат пропаде зі списку. Аналогічним чином зробите з усіма виданими сертифікатами.

видані сертифікати

Потім відкрийте властивості гілки Відкликати Сертифікати.

Властивості відкликаних сертифікатів

Збільште значення поля CRL публікація інтервал (Інтервал публікації списку відкликаних сертифікатів) – цей параметр визначає періодичність оновлення списку відкликаних сертифікатів.

CRL publication interval (інтервал публікації списку відкликаних сертифікатів)

Натисніть ПКМ по вузлу Анульовані сертифікати і виберіть Усі завдання> Опублікувати.

Публікації списку відкликаних сертифікатів

Оберіть Новий CRL і натисніть гаразд.

Новий CRL

Перевірте і, в разі необхідності, відмовте у видачі всім очікують запитам на видачу сертифікатів. Для цього в контейнері Запити, що очікують на розгляд виділіть запит і в контекстному меню виберіть Усі завдання -> Відхилити запит.

Видалення ролі Active Directory Certificate Services

На сервері з роллю CA відкрийте командний рядок і зупинимо роботи служб сертифікації командою:

certutil –shutdown

certutil –відключення

Щоб вивести список локально зберігаються закритих ключів виконаємо команду:

certutil –key

certutil –ключ

У нашому прикладі з CA асоційований один закритий ключ. Видалити його можна командою certutil -delkey ​​CertificateAuthorityName. Як ім’я ключа використовується значення, отримане на попередньому кроці. наприклад,

certutil –delkey le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263

certutil –delkey

Щоб переконається, що закритий ключ CA видалений ще раз виконаємо команду:

certutil –key

certutil –ключ

Потім відкриємо консоль Менеджер серверів і видалимо роль Служби сертифікації Active Directory.

Видалення ролі Active Directory Certificate Services

Після видалення ролі сервер потрібно перезавантажити.

Видалення об’єктів CA з Active Directory

При установці центру сертифікації в структурі Active Directory створюється ряд службових об’єктів CA, які залишаються при видаленні ролі ADCS. Видаляється тільки об’єкт pKIEnrollmentService, Завдяки чому клієнти не намагаються запитувати нові сертифікат у виведеного з експлуатації CA.

Виведемо список доступних центрів сертифікації (він порожній):

certutil

certutil-скидання

відкриємо консоль Сайт і служби Active Directory і включимо відображення сервісних гілок, вибравши у верхньому меню пункт Перегляд -> Показати вузол служб.

Показати вузол служб

Потім послідовно видалимо такі об’єкти AD:

  1. Центр сертифікації в розділі Послуги -> Послуги з відкритими ключами -> AIA.

    Видаляємо сертифікати, опубліковані в контейнері NtAuthCertificates

    При установці нового центру сертифікації його сертифікати додаються і зберігаються в контейнері Сертифікати NTAuthCertificates. Їх також доведеться видалити вручну. Для цього з правами адміністратора підприємства з’ясуємо повний LDAP шлях до об’єкта NtAuthCertificates в Active Directory.

    certutil -store -? | findstr "CN=NTAuth"

    certutil -магазин -?  |  findstr "CN = NTAuth"

    Залишилося видалити сертифікати за допомогою утиліти certutil, вказавши повний LDAP шлях, отриманий на попередньому кроці.

    certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=no1abnopary,DC=local?cACertificate?base?objectclass=certificationAuthority”

    certutil –viewdelstore

    Підтверджуємо видалення сертифіката.

    Далі виконаємо команду:

    certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=no1abnopary,DC=local?cACertificate?base?objectclass=pKIEnrollmentService”

    certutil –viewdelstore

    Підтвердіть видалення сертифіката.

    Видалення бази центру сертифікації

    База CA автоматично не видаляється при видаленні служби ADCS, тому цю операцію потрібно виконати вручну, видаливши каталог %root root% System32 Certlog.

    % systemroot%  System32  Certlog

    Видалення сертифікатів з контролерів домену

    Необхідно видалити сертифікати, видані контролерам домену. Для цього на контролері домену потрібно виконати команду:

    certutil -dcinfo deleteBad

    Certutil спробує перевірити всі сертифікати, видані DC. Сертифікати, які не вдасться перевірити, будуть видалені.

    На цьому повне видалення служби Active Directory Certificate Services зі структури Active Directory завершено.

Leave a Reply

Your email address will not be published. Required fields are marked *