kun CA-palvelin poistetaan tai kaatuu hyödyntämisen jälkeen jotkut objektit jäävät Active Directoryyn. On hyvä käytäntö poistaa nämä vanhentuneet esineet.
Tausta
kun asennat version varmenneviranomaisesta, joka on Active Directory-integroitu (eli yrityksen Root tai yrityksen alainen), seuraavat 6 objektia luodaan/muunnetaan Active Directory-tietokantaan:
nimi: < CA yleisnimi>
Type: certificateAuthority
LDAP Path: CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=DC=example,DC=com
Used for: Sisältää CA-varmenteita, joita asiakkaat voivat hakea varmenneketjua validoidessaan. Varmenteet voivat osoittaa tähän sijaintiin aia (Authority Information Access) – varmenteen laajennuksen kautta.
Name: < CA Common Name>
Type: crlDistributionPoint
LDAP Path: CN = <CAServerName>, CN=CDP,CN=Public Key Service, CN=Services,CN=Configuration, DC=DC=example, DC = com
Used for: Sisältää CRL: t (base ja delta), jotka CAs on julkaissut mainoksessa. Varmenteet voivat osoittaa tähän sijaintiin CRL Distribution Point (CDP) – varmenteen laajennuksen kautta.
Name: <Root CA Common Name>
Type: certificationAuthority
LDAP Path: CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=example,DC=com
Used for: tähän sijoitetut Root CA-varmenteet ovat automaattisesti kaikkien toimialueen jäsenten luotettuja. AD-integroitu CA sijoittaa sertifikaattinsa tähän asennuksen aikana. Voit tuoda muita Root CA-varmenteita tähän manuaalisesti.
Name: < CA Common Name>
Type: pKIEnrollmentService
LDAP Path: CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=example,DC=com
Used for: Sisältää CAS: n varmenteita, jotka voivat myöntää mainoksessa varmenteita.
Name: < CA Common Name>
Type: msPKI-PrivateKeyRecoveryAgent
LDAP Path: CN=KRA,CN=Public Key Services,CN=Services,CN=Configuration,DC=example,DC=com
Used for: sisältää kaikkien keskeisten talteenottoaineiden varmenteet. Avain recovery agents on määritettävä manuaalisesti CA.
nimi: NtAuthCertificates
Type: certificationAuthority
LDAP Path: CN=Public Key Services,CN=Services,CN=Configuration,DC=example,DC=com
Used for: Contains CA certificates from Cas whos smart card and domain controller certificates are trusted for Windows logon. AD-integroitu CAs lisätään tähän automaattisesti duing asennus.
Huom! Tämä objekti luodaan ensimmäisen AD-integroidun CA: n avulla, mutta myöhemmin CAS muokkaa tätä objektia uusien uniqe-objektien luomisen sijaan. Lisätietoja tästä myöhemmin tässä artikkelissa.
kun myöhemmin poistat CA-roolin palvelimelta, vain yksi mainosobjekti on todellisuudessa poistettu, pkienrollmentservice-objekti. Kun kyseinen objekti poistetaan, asiakkaat eivät enää yritä rekisteröidä varmenteita kyseiseltä CA: lta. Muut PKI: hen liittyvät objektit jätetään koskemattomiksi, koska kaikki myönnetyt peruuttamattomat varmenteet aiheuttavat ongelmia, jos niitä ei ole olemassa.
jos olet varma, että kaikki kyseiseltä CA-palvelimelta myönnetyt sertifikaatit ovat joko vanhentuneita tai peruutettuja, Voit/sinun pitäisi poistaa nämä CA-liittyvät objektit AD: stä.
askeleet
Tärkeä huomautus: Varmista, että et poista mitään esineitä, jotka liittyvät muihin PKI-asennuksiin kuin CA, jonka aiot puhdistaa!
Aloita Active Directory-sivustot ja-palvelut
Huom! Voit myös tehdä joitakin näistä vaiheista hallita MAINOSKONTTEJA Enterprise PKI-laajennuksessa , mutta siellä on joitakin ongelmia (KRA entrys ei näy), joten olisin kiinni Active Directory sivustoja ja palveluja.
jos et näe Palvelusolmua, varmista, että Näytä Palvelusolmu on valittu:
Laajenna palvelut/julkisen avaimen palvelut/AIA, napsauta kyseistä CA-palvelinta vastaavassa oikeassa ruudussa olevaa objektia hiiren kakkospainikkeella ja valitse Poista, vahvista Kyllä:
valitse kontti CDP, Napsauta konttia hiiren kakkospainikkeella oikeassa ruudussa, joka vastaa kyseistä CA-palvelinta, ja valitse Poista, vahvista Kyllä kahdesti:
valitse konttien Varmentajat. Varmista, että sinun pitäisi poistaa tämä objekti. Jos poistat tietoja alisteisesta varmenteesta, tämä objekti on likly Root CA ja tähän varmenteeseen voi liittyä muitakin riippuvuuksia. Jos poistat tietoja yrityksen Root CA voit poistaa sen. Voit tehdä tämän napsauttamalla hiiren kakkospainikkeella kohdetta oikeassa ruudussa, joka vastaa kyseistä CA-palvelinta, ja valitsemalla Poista, vahvista Kyllä-ohjelmalla.:
Valitse säiliö KRA, napsauta kyseistä CA-palvelinta vastaavassa oikeassa ruudussa olevaa objektia hiiren kakkospainikkeella ja valitse Poista, vahvista Kyllä:
valitse säiliön rekisteröintipalvelut, varmista, että CA-roolin poisto-ohjattu toiminto poisti objektin täältä. Jos CA-palvelinta ei jostain syystä koskaan poistettu oikein, sinun on myös poistettava pkienrollmentservice-objekti manuaalisesti. Voit tehdä niin napsauttamalla hiiren kakkospainikkeella kohdetta oikeassa ruudussa, joka vastaa kyseistä CA-palvelinta, ja valitsemalla Poista, vahvista Kyllä:
nyt meidän täytyy poistaa CA-palvelin NtAuthCertificates objekti. Tämä on kuitenkin hieman erilainen, koska kyseessä ei ole erillinen objekti, vaan olemassa olevan MAINOSOBJEKTIN arvo.
jos haluat poistaa CA-palvelinta koskevat tiedot NtAuthCertificates-objektista, suorita seuraava certutil-komento (sinun on suoritettava tämä Enterprise Admin-komennolla)):
certutil-viewdelstore ” ldap://CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=tomdemo,DC=se?cACertificate?tukikohta?objectclass=certificationAuthority”
muuta korostettua metsän Juuritietoa ensin ympäristösi mukaan.
NtAuthCertificates-objektissa sinulta kysytään varmenteiden luetteloa:
varmista, että olet valinnut oikean CA-varmenteen (kuvakaappaus näyttää vain yhden varmenteen, saatat nähdä yhden tai useamman) ja valitse sitten OK. Peruuta-valinta keskeyttää poistoyritykset.
kaikki tieto CA: sta on poistettu Active Directorysta. Olet nyt valmis toteuttamaan uuden, tuoreen PKI-ratkaisun!