Windows 2008 R2 CA i automatyczna rejestracja: jak pozbyć się> 100 000 wydanych certyfikatów?

14

Podstawowym problemem, jaki mam, jest to, że mam ponad 100 000 bezużytecznych certyfikatów maszynowych, które zaśmiecają mój urząd certyfikacji i chciałbym je usunąć bez usuwania wszystkich certyfikatów lub przeskakiwania do przodu serwera i unieważniania niektórych przydatnych certyfikatów na tam.

Stało się tak w wyniku zaakceptowania kilku domyślnych ustawień w naszym Enterprise Root CA (2008 R2) i użycia GPOautomatycznej rejestracji komputerów klienckich w celu uzyskania certyfikatów w celu umożliwienia 802.1xuwierzytelnienia w naszej korporacyjnej sieci bezprzewodowej.

Okazuje się, że domyślnie Computer (Machine) Certificate Templatez radością zezwoli maszynom na ponowną rejestrację zamiast kierowania ich do korzystania z certyfikatu, który już mają. Powoduje to szereg problemów dla faceta (mnie), który miał nadzieję wykorzystać Urząd Certyfikacji jako coś więcej niż dziennik każdego ponownego uruchomienia stacji roboczej.

Moje cholerne oczy!

(Pasek przewijania z boku leży, jeśli przeciągniesz go na dół, ekran zatrzyma się i załaduje kolejne kilkadziesiąt certyfikatów.)

Czy ktoś wie, jak USUNĄĆ istniejące 100 000 istniejących certyfikatów z urzędu certyfikacji systemu Windows Server 2008R2?

Kiedy teraz idę do usunięcia certyfikatu, teraz pojawia się błąd, że nie można go usunąć, ponieważ nadal jest ważny. Idealnie jest to sposób na tymczasowe obejście tego błędu, ponieważ Mark Henderson zapewnił sposób na usunięcie certyfikatów za pomocą skryptu po usunięciu przeszkody.

(Odwołanie ich nie jest opcją, ponieważ po prostu przenosi je do Revoked Certificates, do którego musimy mieć dostęp, i nie można ich również usunąć z odwołanego „folderu”).

Aktualizacja:

Wypróbowałem stronę @MarkHenderson połączoną , która jest obiecująca i oferuje znacznie lepsze zarządzanie certyfikatami, ale wciąż nie do końca tam trafia. W moim przypadku wydaje się, że certyfikaty nadal polegają na tym, że certyfikaty są nadal „ważne w czasie” (jeszcze nie wygasły), więc urząd certyfikacji nie chce pozwolić, aby zostały usunięte z istnienia, i dotyczy to również unieważnionych certyfikatów, więc odwołanie wszystkie, a następnie ich usunięcie również nie będzie działać.

Znalazłem też tego bloga technet z moim Google-Fu , ale niestety wydawało się, że musieli oni usunąć tylko bardzo dużą liczbę żądań certyfikatów, a nie rzeczywistych certyfikatów.

Wreszcie, na razie czas przeskakiwania urzędu certyfikacji do przodu, dlatego certyfikaty, których chcę się pozbyć, wygasają, a zatem można je usunąć za pomocą narzędzi na stronie Oznaczone łącze nie jest świetną opcją, ponieważ wygasłoby wiele ważnych certyfikatów, których używamy które muszą być wydane ręcznie. Jest to więc lepsza opcja niż przebudowa urzędu certyfikacji, ale nie świetna.

Beznadziejny
źródło

Odpowiedzi:

8

Nie próbowałem, ale tam jest dostawcą PKI PowerShell z https://pspki.codeplex.com/ że posiada wiele ciekawych funkcji, wygląda jak Revoke-Certificatenastępuje Remove-Request:

Usuwa określony wiersz żądania certyfikatu z bazy danych Urzędu Certyfikacji (CA).

Za pomocą tego polecenia można zmniejszyć rozmiar bazy danych urzędu certyfikacji, usuwając niepotrzebne żądania certyfikatów. Na przykład usuń nieudane żądania i nieużywany wygasły certyfikat.

Uwaga: po usunięciu określonego wiersza nie będzie można pobrać żadnych właściwości i (jeśli to konieczne) unieważnić odpowiedni certyfikat.

Mark Henderson
źródło
Znakomity! Kłaniam się Twojemu przełożonemu Google-Fu i spróbuję tego jutro.
HopelessN00b,
1
Prawie genialne, cholera. Nie można odwołać wystawionego lub unieważnionego certyfikatu „ważnego czasowo”, ponieważ certserv na to nie pozwala. Więc myślę, że przełączam serwer w tryb offline, przeskakuję o kilka lat do przodu, a potem próbuję tego. westchnienie Kolejny weekend z pracami. blogs.technet.com/b/askds/archive/2010/08/31/…
HopelessN00b
2

Moja jelito mówi, że wytrzyj to i zacznij od nowa bez głupka, a będziesz szczęśliwy później, ale jeśli już to zmieniłeś, aby przechowywać certyfikaty w AD (co jest idealne) i czyścisz i zaczynasz od nowa, nadal będziesz miał mnóstwo fałszywych certyfikatów, będą one po prostu w AD dołączone do wszystkich kont komputerowych zamiast do twojego CA. Tak czy inaczej, naprawdę jest bałagan.

Trudnaa rozmowa telefoniczna. Możesz odwołać, jak powiedziałeś, ale nie sądzę, że możesz się ich całkowicie pozbyć z CA mmc.

Jeśli zaczniesz od nowa, wykonaj poniższe kroki , aby zrobić to tak czysto, jak to możliwe

Paul Ackerman
źródło
Masz już bałagan w AD, dzięki ostatnim ... 4 (?) Urzędom certyfikacji ten został zastąpiony niepoprawnie / wcale. (Nie wspominając o wszystkich „innych rzeczach”, które są niewłaściwe w naszej domenie.) Wkrótce idę do nowej domeny, więc nie jestem pewien, czy wypłata jest warta czasu, który musiałbym poświęcić, aby uzyskać zrobiono to czysto.
HopelessN00b,
2

Ponieważ nie chciałem znaleźć następnego ~ 4000 wydanych certyfikatów, przestałem wydawać bezmyślne certyfikaty, usuwając domyślny „Szablon certyfikatu” „Komputer” i dodając jego duplikat, który jest ustawiony na Publish certificate in Active Directory i Do not automatically reenroll if a duplicate certificate exists in Active Directory.

  • Jakie powinny być wartości domyślne

Wciąż pozostaje mi problem z pozbyciem się tych, które już tam są, ale to dopiero początek.

Beznadziejny
źródło