Podstawowym problemem, jaki mam, jest to, że mam ponad 100 000 bezużytecznych certyfikatów maszynowych, które zaśmiecają mój urząd certyfikacji i chciałbym je usunąć bez usuwania wszystkich certyfikatów lub przeskakiwania do przodu serwera i unieważniania niektórych przydatnych certyfikatów na tam.
Stało się tak w wyniku zaakceptowania kilku domyślnych ustawień w naszym Enterprise Root CA (2008 R2) i użycia GPO
automatycznej rejestracji komputerów klienckich w celu uzyskania certyfikatów w celu umożliwienia 802.1x
uwierzytelnienia w naszej korporacyjnej sieci bezprzewodowej.
Okazuje się, że domyślnie Computer (Machine)
Certificate Template
z radością zezwoli maszynom na ponowną rejestrację zamiast kierowania ich do korzystania z certyfikatu, który już mają. Powoduje to szereg problemów dla faceta (mnie), który miał nadzieję wykorzystać Urząd Certyfikacji jako coś więcej niż dziennik każdego ponownego uruchomienia stacji roboczej.
(Pasek przewijania z boku leży, jeśli przeciągniesz go na dół, ekran zatrzyma się i załaduje kolejne kilkadziesiąt certyfikatów.)
Czy ktoś wie, jak USUNĄĆ istniejące 100 000 istniejących certyfikatów z urzędu certyfikacji systemu Windows Server 2008R2?
Kiedy teraz idę do usunięcia certyfikatu, teraz pojawia się błąd, że nie można go usunąć, ponieważ nadal jest ważny. Idealnie jest to sposób na tymczasowe obejście tego błędu, ponieważ Mark Henderson zapewnił sposób na usunięcie certyfikatów za pomocą skryptu po usunięciu przeszkody.
(Odwołanie ich nie jest opcją, ponieważ po prostu przenosi je do Revoked Certificates
, do którego musimy mieć dostęp, i nie można ich również usunąć z odwołanego „folderu”).
Aktualizacja:
Wypróbowałem stronę @MarkHenderson połączoną , która jest obiecująca i oferuje znacznie lepsze zarządzanie certyfikatami, ale wciąż nie do końca tam trafia. W moim przypadku wydaje się, że certyfikaty nadal polegają na tym, że certyfikaty są nadal „ważne w czasie” (jeszcze nie wygasły), więc urząd certyfikacji nie chce pozwolić, aby zostały usunięte z istnienia, i dotyczy to również unieważnionych certyfikatów, więc odwołanie wszystkie, a następnie ich usunięcie również nie będzie działać.
Znalazłem też tego bloga technet z moim Google-Fu , ale niestety wydawało się, że musieli oni usunąć tylko bardzo dużą liczbę żądań certyfikatów, a nie rzeczywistych certyfikatów.
Wreszcie, na razie czas przeskakiwania urzędu certyfikacji do przodu, dlatego certyfikaty, których chcę się pozbyć, wygasają, a zatem można je usunąć za pomocą narzędzi na stronie Oznaczone łącze nie jest świetną opcją, ponieważ wygasłoby wiele ważnych certyfikatów, których używamy które muszą być wydane ręcznie. Jest to więc lepsza opcja niż przebudowa urzędu certyfikacji, ale nie świetna.
źródło
Moja jelito mówi, że wytrzyj to i zacznij od nowa bez głupka, a będziesz szczęśliwy później, ale jeśli już to zmieniłeś, aby przechowywać certyfikaty w AD (co jest idealne) i czyścisz i zaczynasz od nowa, nadal będziesz miał mnóstwo fałszywych certyfikatów, będą one po prostu w AD dołączone do wszystkich kont komputerowych zamiast do twojego CA. Tak czy inaczej, naprawdę jest bałagan.
Trudnaa rozmowa telefoniczna. Możesz odwołać, jak powiedziałeś, ale nie sądzę, że możesz się ich całkowicie pozbyć z CA mmc.
Jeśli zaczniesz od nowa, wykonaj poniższe kroki , aby zrobić to tak czysto, jak to możliwe
źródło
Ponieważ nie chciałem znaleźć następnego ~ 4000 wydanych certyfikatów, przestałem wydawać bezmyślne certyfikaty, usuwając domyślny „Szablon certyfikatu” „Komputer” i dodając jego duplikat, który jest ustawiony na
Publish certificate in Active Directory
iDo not automatically reenroll if a duplicate certificate exists in Active Directory
.Wciąż pozostaje mi problem z pozbyciem się tych, które już tam są, ale to dopiero początek.
źródło