Windows 2008 R2-Zertifizierungsstelle und automatische Registrierung: Wie werden> 100.000 ausgestellte Zertifikate entfernt?

14

Das Grundproblem, das ich habe, ist, dass meine Zertifizierungsstelle mit> 100.000 unbrauchbaren Computerzertifikaten überfüllt ist, und ich möchte sie löschen, ohne alle Zertifikate zu löschen oder den Server nach vorne zu springen und einige der nützlichen Zertifikate für ungültig zu erklären Dort.

Dies ist darauf zurückzuführen, dass einige Standardeinstellungen für unsere Enterprise-Stammzertifizierungsstelle (2008 R2) akzeptiert und ein verwendet wurden GPO, um Clientcomputer automatisch für Zertifikate zu registrieren, die die 802.1xAuthentifizierung für unser drahtloses Unternehmensnetzwerk ermöglichen.

Es stellt sich heraus, dass die Standardeinstellung Computer (Machine) Certificate Templatees Computern problemlos ermöglicht, sich erneut anzumelden, anstatt sie anzuweisen, das bereits vorhandene Zertifikat zu verwenden. Dies schafft eine Reihe von Problemen für den Mann (mich), der gehofft hat, die Zertifizierungsstelle bei jedem Neustart einer Arbeitsstation als mehr als nur als Protokoll zu verwenden.

Meine verdammten Augen!

(Die Bildlaufleiste an der Seite liegt, wenn Sie sie nach unten ziehen, wird der Bildschirm angehalten und das nächste Dutzend Zertifikate werden geladen.)

Weiß jemand , wie man DELETE 100.000 oder so zeit gültig, bestehende Zertifikate von einem Windows Server 2008R2 CA?

Wenn ich jetzt ein Zertifikat lösche, erhalte ich die Fehlermeldung, dass es nicht gelöscht werden kann, da es noch gültig ist. Idealerweise also eine Möglichkeit, diesen Fehler vorübergehend zu umgehen, da Mark Henderson eine Möglichkeit bereitgestellt hat, die Zertifikate mit einem Skript zu löschen, sobald diese Hürde genommen wurde.

(Sie zu widerrufen ist keine Option, da dies sie nur in Revoked Certificatesden Ordner verschiebt , den wir anzeigen müssen, und sie können auch nicht aus dem widerrufenen "Ordner" gelöscht werden.)

Aktualisieren:

Ich habe versucht, die Seite @MarkHenderson zu verlinken , was vielversprechend ist und eine viel bessere Verwaltbarkeit von Zertifikaten bietet, aber immer noch nicht ganz da ist. Der Haken in meinem Fall scheint zu sein, dass die Zertifikate immer noch "zeitlich gültig" sind (noch nicht abgelaufen), sodass die Zertifizierungsstelle nicht zulässt, dass sie aus der Existenz gelöscht werden, und dies gilt auch für widerrufene Zertifikate, also für den Widerruf Sie alle und dann löschen, wird auch nicht funktionieren.

Ich habe diesen Technet-Blog auch mit meinem Google-Fu gefunden , aber leider mussten sie nur eine sehr große Anzahl von Zertifikatsanforderungen löschen, keine tatsächlichen Zertifikate.

Schließlich ist es für den Moment keine gute Option, die Zertifizierungsstelle nach vorne zu springen, damit die Zertifikate, die ich loswerden möchte, ablaufen und daher mit den Tools auf der Website "Verknüpft markieren" gelöscht werden können die müssen manuell ausgestellt werden. Es ist also eine bessere Option, als die Zertifizierungsstelle neu zu erstellen, aber keine gute.

HopelessN00b
quelle

Antworten:

8

Ich habe das noch nicht ausprobiert, aber es gibt einen PKI PowerShell-Anbieter von https://pspki.codeplex.com/ , der viele interessante Funktionen bietet , darunter die Revoke-Certificatefolgenden Remove-Request:

Löscht die angegebene Zertifikatanforderungszeile aus der Zertifizierungsstellendatenbank.

Mit diesem Befehl können Sie die Größe der CA-Datenbank verringern, indem Sie nicht benötigte Zertifikatanforderungen löschen. Löschen Sie beispielsweise fehlgeschlagene Anforderungen und nicht verwendete abgelaufene Zertifikate.

Hinweis: Nachdem Sie eine bestimmte Zeile gelöscht haben, können Sie keine Eigenschaften mehr abrufen und (falls erforderlich) das entsprechende Zertifikat widerrufen.

Mark Henderson
quelle
Brillant! Ich verneige mich vor deinem Vorgesetzten Google-Fu und werde es morgen versuchen.
HopelessN00b
1
Fast brillant, verdammt. Ein ausgestelltes oder gesperrtes "time valid" -Zertifikat kann nicht gesperrt werden, da Sie von certserv nicht zugelassen werden. Ich nehme also an, ich mache den Server offline, springe ein paar Jahre vorwärts und versuche es dann. seufz noch ein wochenende mit arbeitszeug. blogs.technet.com/b/askds/archive/2010/08/31/…
HopelessN00b
2

Mein Bauch sagt, wische es ab und beginne von vorne, ohne dass es kaputt geht, und du wirst später glücklich sein, aber wenn du es bereits geändert hast, um die Zertifikate in AD zu speichern (was ideal ist) und du wischst und fängst von vorne an, hast du immer noch eine Tonne gefälschte Zertifikate werden nur in AD an alle Computerkonten anstatt an Ihre Zertifizierungsstelle angehängt. So oder so ist es ein Durcheinander.

Schwierige Wahl. Sie können widerrufen, wie Sie sagten, aber ich glaube nicht, dass Sie sie vollständig von der CA mmc loswerden können.

Wenn Sie von vorne beginnen, befolgen Sie die hier beschriebenen Schritte , um dies so sauber wie möglich zu machen

Paul Ackerman
quelle
In AD ist bereits ein Durcheinander aufgetreten, dank der letzten ... 4 (?) Zertifizierungsstellen, die ersetzt wurden, dass sie nicht ordnungsgemäß / überhaupt nicht freigegeben wurden. (Ganz zu schweigen von all den "anderen Dingen", die in unserer Domain nicht stimmen.) Wir wechseln sowieso bald zu einer neuen Domain, daher bin ich mir nicht sicher, ob die Auszahlung die Zeit wert ist, die ich investieren müsste, um sie zu bekommen das sauber gemacht.
HopelessN00b
2

Da ich am nächsten Tag keine weiteren ~ 4000 ausgestellten Zertifikate finden wollte, habe ich die mutwillige Zertifikatausstellung gestoppt, indem ich die standardmäßige "Computer" -Zertifikatvorlage entfernt und ein Duplikat davon hinzugefügt habe, das auf Publish certificate in Active Directory und gesetzt ist Do not automatically reenroll if a duplicate certificate exists in Active Directory.

  • Wie sollten die Standardeinstellungen sein?

Ich habe immer noch das Problem, wie ich die bereits vorhandenen loswerden kann, aber es ist ein Anfang.

HopelessN00b
quelle