Windows 2008 R2 CA dan pendaftaran otomatis: bagaimana cara menyingkirkan> 100.000 sertifikat yang dikeluarkan?

14

Masalah dasar yang saya alami adalah bahwa saya memiliki> 100.000 sertifikat mesin yang tidak berguna mengacaukan CA saya, dan saya ingin menghapusnya, tanpa menghapus semua sertifikat, atau waktu melompati server di depan, dan membatalkan beberapa sertifikat yang berguna di sana.

Ini muncul sebagai akibat dari menerima pasangan standar dengan Enterprise Root CA (2008 R2) kami dan menggunakan GPOmesin klien untuk mendaftar otomatis untuk sertifikat untuk memungkinkan 802.1xotentikasi ke jaringan nirkabel perusahaan kami.

Ternyata itu default Computer (Machine) Certificate Template akan dengan senang hati mengizinkan mesin untuk mendaftar ulang alih-alih mengarahkan mereka untuk menggunakan sertifikat yang sudah mereka miliki. Ini menciptakan sejumlah masalah bagi orang (saya) yang berharap untuk menggunakan Otoritas Sertifikat lebih dari satu log setiap kali workstation dinyalakan kembali.

Mataku yang ketakutan!

(Bilah gulir di samping tergeletak, jika Anda menyeretnya ke bawah, layar berhenti dan memuat beberapa lusin sertifikat berikutnya.)

Apakah ada yang tahu caranya MENGHAPUS 100.000 atau lebih, sertifikat yang ada saat ini dari Windows Server 2008R2 CA?

Ketika saya pergi untuk menghapus sertifikat sekarang, sekarang, saya mendapatkan kesalahan bahwa itu tidak dapat dihapus karena masih valid. Jadi, idealnya, beberapa cara untuk memotong sementara kesalahan itu, karena Mark Henderson menyediakan cara untuk menghapus sertifikat dengan skrip setelah rintangan itu dihapus.

(Mencabut mereka bukan pilihan, karena hanya memindahkan mereka ke Revoked Certificates , yang kita harus dapat melihatnya, dan mereka juga tidak dapat dihapus dari "folder" yang dicabut.)

Memperbarui:

Saya mencoba situs @MarkHenderson yang ditautkan , yang menjanjikan, dan menawarkan pengelolaan sertifikat yang jauh lebih baik, tetapi masih belum cukup sampai di sana. Masalah dalam kasus saya tampaknya adalah bahwa sertifikat masih "valid waktu", (CA belum ingin berakhir) sehingga CA tidak ingin membiarkannya dihapus dari keberadaan, dan ini berlaku untuk sertifikat yang dicabut juga, jadi pencabutan semuanya dan kemudian menghapusnya juga tidak akan berhasil.

Saya juga menemukan blog technet ini dengan Google-Fu saya , tetapi sayangnya, mereka sepertinya hanya perlu menghapus sejumlah besar permintaan sertifikat, bukan sertifikat yang sebenarnya.

Akhirnya, untuk saat ini, waktu melompati CA ke depan sehingga sertifikat yang ingin saya hilangkan kedaluwarsa, dan karena itu dapat dihapus dengan alat di situs Markus yang terhubung bukan pilihan yang bagus, karena akan kadaluarsa sejumlah sertifikat valid yang kami gunakan yang harus dikeluarkan secara manual. Jadi itu pilihan yang lebih baik daripada membangun kembali CA, tapi bukan yang bagus.

windows active-directory windows-server-2008-r2 group-policy certificate-authority HopelessN00b
sumber

Jawaban:

8

Saya belum mencoba ini, tetapi ada penyedia PKI PowerShell dari https://pspki.codeplex.com/ yang memiliki banyak fungsi yang tampak menarik seperti Revoke-Certificatediikuti oleh Remove-Request:

Menghapus baris permintaan sertifikat yang ditentukan dari Database Otoritas Sertifikasi (CA).

Perintah ini dapat digunakan untuk mengurangi ukuran basis data CA, dengan menghapus permintaan sertifikat yang tidak perlu. Misalnya, hapus permintaan yang gagal dan sertifikat kedaluwarsa yang tidak digunakan.

Catatan: setelah Anda menghapus baris tertentu, Anda tidak akan dapat mengambil properti apa pun dan (jika perlu) mencabut sertifikat yang sesuai.

Mark Henderson
sumber
Cemerlang! Saya tunduk pada Google-Fu superior Anda, dan akan mencoba ini besok.
HopelessN00b
1
Hampir cemerlang, sial. Tidak dapat mencabut sertifikat "sah waktu" yang dikeluarkan atau dicabut karena certserv tidak akan membiarkan Anda. Jadi saya kira saya mengambil server offline-ish, melompat jam ke depan beberapa tahun dan kemudian mencoba ini. Menghela napas akhir pekan lagi dengan barang-barang kantor. blogs.technet.com/b/askds/archive/2010/08/31/…
HopelessN00b
2

Usus saya mengatakan menghapus dan memulai kembali tanpa kesalahan dan Anda akan senang nanti tetapi jika Anda sudah mengubahnya untuk menyimpan sertifikat dalam AD (yang ideal) dan Anda menghapus dan memulai lagi, Anda masih akan memiliki satu ton sertifikat palsu mereka hanya akan berada dalam AD yang dilampirkan ke semua akun komputer alih-alih pada CA Anda. Jadi benar-benar berantakan.

Panggilan yang sulit. Anda dapat mencabut seperti yang Anda katakan, tetapi saya tidak percaya Anda dapat menyingkirkan mereka sepenuhnya dari CA mmc.

Jika Anda memulai dari awal, ikuti langkah-langkah di sini untuk melakukannya sebersih mungkin

Paul Ackerman
sumber
Sudah mendapat kekacauan dalam AD, terima kasih kepada yang terakhir ... 4 (?) CAs yang satu ini diganti tidak di-decommed dengan benar / sama sekali. (Belum lagi semua "hal-hal lain" yang salah dalam domain kami.) Lagi pula, kami akan pergi ke domain baru, jadi saya tidak yakin apakah imbalannya sepadan dengan waktu yang harus saya masukkan untuk mendapatkan ini dilakukan dengan bersih.
HopelessN00b
2

Karena saya tidak ingin menemukan ~ 4000 sertifikat yang dikeluarkan pada hari berikutnya, saya menghentikan penerbitan sertifikat nakal dengan menghapus "Komputer" "Template Sertifikat" default dan menambahkan duplikat yang diatur ke Publish certificate in Active Directory dan Do not automatically reenroll if a duplicate certificate exists in Active Directory.

  • Apa yang seharusnya menjadi default

Masih meninggalkan saya dengan masalah bagaimana cara menyingkirkan yang sudah ada di sana, tapi ini awal.

HopelessN00b
sumber