Удаление вручную корпоративного управления сертификатами Windows из домена Windows 2000/2003
Эта статья была написана Yuval Sinay, MVP Майкрософт.
Оригинальная версия продукта: Windows Server 2003
Исходный номер КБ: 555151
Симптомы
В некоторых организациях регулярно проводятся процедуры резервного копирования для корпоративного управления сертификатами Windows. Если возникла проблема сервера (программное и аппаратное обеспечение), может потребоваться переустановка управления корпоративными сертификатами Windows. Прежде чем переустановить управление корпоративными сертификатами Windows, может потребоваться вручную удалять объекты и данные, принадлежащие исходной корпоративной Windows, и находиться в Каталоге Windows Active.
Причина
Управление корпоративными сертификатами Windows сохраняет параметры конфигураций и данные в Windows Active Directory.
Решение
A. Резервное копирование:
Перед и после этой процедуры рекомендуется использовать все узлы, содержащие данные, связанные с Active Directory, в том числе следующие:
- Контроллеры домена Windows
- Серверы Exchange
- Соединитетор Active Directory
- Windows Server с службами для Unix
- ISA Server Enterprise
- Управление корпоративными сертификатами Windows
Используйте следующую процедуру в качестве последнего средства. Это может повлиять на производственную среду и может потребовать перезапустить некоторые узлы/службы.
B. Active Directory Clean:
Войдите в систему с учетной записью с разрешениями:
- Администратор предприятия
- Администратор домена
- Администратор управления сертификатами
- Администратор схемы (сервер, который работает в качестве FSMO Schema Master, должен быть в интернете во время процесса).
Удаление всех объектов служб сертификации из Active Directory:
Начните «Сайты и службы Active Directory».
Выберите параметр «Просмотр меню» и выберите узел «Показать службы».
Расширь «Службы», а затем расширь «Службы общедоступных ключей».
Выберите узел AIA.
В правой области найдите объект «certificateAuthority» для вашего органа сертификации. Удаление объекта.
Выберите узел «CDP».
В правой области найдите объект Container для сервера, на котором установлены службы сертификации. Удаление контейнера и объектов, которые в нем содержатся.
Выберите узел «Органы сертификации».
В правой области найдите объект «certificateAuthority» для вашего органа сертификации. Удаление объекта.
Выберите узел «Службы регистрации».
В правой области убедитесь, что объект «pKIEnrollmentService» для вашего органа сертификации удалите.
Выберите узел «Шаблоны сертификатов».
В правой области удалите все шаблоны сертификатов.
Удалите все шаблоны сертификатов только в том случае, если в лесу не установлены другие корпоративные ЦС. Если шаблоны непреднамеренно удалены, восстановим шаблоны из резервного копирования.
Выберите узел «Службы общедоступных ключей» и найдите объект «NTAuthCertificates».
Если в лесу не установлены другие корпоративные или автономные ЦС, удалите объект, в противном случае оставьте его в покое.
Используйте команду «Active Directory Sites and Services» или «команду из набора ресурсов Windows для принудительного репликации другим контроллерам домена в Repadmin домене/лесу.
Очистка контроллера домена
После снятия ЦС сертификаты, выданные всем контроллерам домена, должны быть удалены. Это можно легко сделать с помощью DSSTORE.EXE из набора ресурсов:
Вы также можете удалить старые сертификаты контроллера домена с помощью certutil команды:
В командной подсказке контроллера домена введите: certutil -dcinfo deleteBad .
Certutil.exe попытается проверить все сертификаты DC, выданные контроллерам домена. Сертификаты, которые не будут проверяться, будут удалены. На этом этапе можно переустановить службы сертификатов. После завершения установки новый корневой сертификат будет опубликован в Active Directory. Когда домен
клиенты обновляют свою политику безопасности, они автоматически загружают новый корневой сертификат в надежные корневые хранилища. o принудительное применение политики безопасности.
В командной подсказке введите gpupdate /target: computer .
Если управление корпоративных сертификатов Windows опубликовало сертификат компьютера или пользователя или другие типы сертификатов (сертификат веб-сервера и так далее), рекомендуется удалить старые сертификаты, прежде чем переустановить корпоративный сертификат Windows.
Дополнительная информация
Заявление об отказе от контента решений сообщества
КОРПОРАЦИЯ МАЙКРОСОФТ И/ИЛИ ЕЕ ПОСТАВЩИКИ НЕ СОДЕРЖАТ НИКАКИХ ПРЕДСТАВЛЕНИЙ О ПРИГОДНОСТИ, НАДЕЖНОСТИ ИЛИ ТОЧНОСТИ ИНФОРМАЦИИ И СВЯЗАННОЙ С НЕЙ ГРАФИКИ. ВСЯ ТАКАЯ ИНФОРМАЦИЯ И СВЯЗАННАЯ С НЕЙ ГРАФИКА ПРЕДОСТАВЛЯЮТСЯ БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. КОРПОРАЦИЯ МАЙКРОСОФТ И/ИЛИ ЕЕ ПОСТАВЩИКИ НАСТОЯЩИМ СНИМАТЬИ ВСЕ ГАРАНТИИ И УСЛОВИЯ, ОТНОСЯЩИЕСЯ К ЭТОЙ ИНФОРМАЦИИ И СВЯЗАННЫМ ГРАФИЧЕСКИМ ГРАФИКАМ, ВКЛЮЧАЯ ВСЕ ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ И УСЛОВИЯ ДЛЯ ОБЕСПЕЧЕНИЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ, ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННЫХ ЦЕЛЕЙ, ВОРКМАНЛИКЕ УСИЛИЯ, ДОЛЖНОСТИ И НЕНАРУШЕНИЯ ПРАВ. ВЫ ЯВНО СОГЛАСНЫ, ЧТО В СЛУЧАЕ ОТСУТСТВИЯ У КОРПОРАЦИИ МАЙКРОСОФТ И/ИЛИ ЕЕ ПОСТАВЩИКОВ НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ ПРЯМЫЕ, КОСВЕННЫЕ, ПУНИТИВЕ, СЛУЧАЙНЫЕ, СПЕЦИАЛЬНЫЕ УБЫТКИ, А ТАКЖЕ ЛЮБЫЕ УЩЕРБА БЕЗ ОГРАНИЧЕНИЙ, УЩЕРБА ДЛЯ ПОТЕРИ ИСПОЛЬЗОВАНИЯ, ДАННЫХ ИЛИ ПРИБЫЛИ, КОТОРЫЕ СВЯЗАНЫ С ИСПОЛЬЗОВАНИЕМ ИЛИ НЕВОЗМОЖНОСТЬЮ ИСПОЛЬЗОВАТЬ ИНФОРМАЦИЮ И СВЯЗАННУЮ С НИМИ ГРАФИКУ, В ЗАВИСИМОСТИ ОТ ДОГОВОРА, НАРУШЕНИЯМ, НЕБРЕЖНОСТЬЮ, ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТИ ИЛИ ИНЫМ СПОСОБОМ, ДАЖЕ ЕСЛИ КОРПОРАЦИИ МАЙКРОСОФТ ИЛИ ЕЕ ПОСТАВЩИКАМ РЕКОМЕНДУЕТСЯ ВОЗДЕРЖАТЬ УЩЕРБ.
Удаление центра сертификации
Иногда может понадобиться удалить центр сертификации. Однако после удаления центра сертификации, который служит для проверки достоверности и состояния отзыва сертификата, клиенты не смогут отправлять запросы в этот центр сертификации, и некоторые приложения, зависящие от инфраструктуры открытого ключа, могут работать неправильно.
Если центр сертификации списывается окончательно перед ожидаемым истечением срока, сертификат ЦС должен быть отозван из родительского ЦС с указанием причины отзыва «Прекращение работы». Если центр сертификации является корневым самозаверяющим ЦС, все сертификаты, выданные этим ЦС, срок действия которых еще не вышел, должны быть отозваны, а также должен быть сформирован список отзыва сертификатов с указанием той же причины. Таким образом, будет указано, что сертификаты больше не являются допустимыми, так как центр сертификации был списан.
Удаление центра сертификации предприятия должно быть выполнено правильно, чтобы объект регистрации центра сертификации был удален из доменных служб Active Directory. В противном случае клиенты Active Directory будут пытаться получить сертификаты из этого центра сертификации. Если центр сертификации предприятия не может быть удален обычным способом, используйте оснастку PKI предприятия для ручного удаления объектов центра сертификации из доменных служб Active Directory.
Минимальным требованием для удаления центра сертификации предприятия является членство в группе Администраторы предприятия или наличие эквивалентных прав. Дополнительные сведения см. в разделе Реализация ролевого администрирования.
 | Чтобы удалить центр сертификации |
Нажмите кнопку Пуск, выберите Администрирование, затем Диспетчер сервера.
В пункте Сводка по ролям щелкните Удалить роли для запуска мастера удаления ролей. Нажмите кнопку Далее.
Снимите флажок Службы сертификации Active Directory и нажмите кнопку Далее.
На странице Подтверждение параметров удаления просмотрите отображенные сведения и нажмите кнопку Удалить.
Если при запущенных службах IIS появился запрос на подтверждение остановки службы перед продолжением процесса удаления, нажмите кнопку ОК.
После завершения работы мастера удаления ролей, необходимо перезапустить сервер, чтобы завершить процесс удаления.
Процедура немного отличается, если на одном сервере установлены несколько служб роли служб сертификатов Active Directory. Можно использовать следующую процедуру для удаления центра сертификации и сохранения других служб роли служб сертификатов Active Directory.
Чтобы выполнить эту процедуру, необходимо войти в систему с теми же правами, которые были у пользователя, установившего центр сертификации. Минимальным требованием для удаления центра сертификации предприятия является членство в группе Администраторы предприятия или наличие эквивалентных прав. Дополнительные сведения см. в разделе Реализация ролевого администрирования.
| Чтобы удалить службу роли центра сертификации |
Нажмите кнопку Пуск, выберите Администрирование, затем Диспетчер сервера.
В группе Сводка по ролям выберите Службы сертификации Active Directory.
В группе Службы ролей выберите Удалить службы ролей.
Снимите флажок Центр сертификации и нажмите кнопку Далее.
На странице Подтверждение параметров удаления просмотрите показанные сведения и нажмите кнопку Удалить.
Если при запущенных службах IIS появился запрос на подтверждение остановки службы перед продолжением процесса удаления, нажмите кнопку ОК.
После завершения работы мастера удаления ролей необходимо перезапустить сервер, чтобы завершить процесс удаления.
Если оставшиеся службы роли, например служба сетевого ответчика, были настроены для использования данных, полученных от удаленного центра сертификации, перенастроить эти службы для поддержки другого центра сертификации.
После того как был удален центр сертификации, на сервере остаются указанные ниже данные:
- база данных центра сертификации;
открытые и закрытые ключи центра сертификации;
сертификаты центра сертификации в личном хранилище;
сертификаты центра сертификации в общей папке, если общая папка была указана во время установки служб сертификатов Active Directory;
корневой сертификат цепочки центра сертификации в корневом хранилище центров сертификации;
промежуточные сертификаты цепочки центра сертификации в промежуточном хранилище центров сертификации;
список отзыва сертификатов центра сертификации.
По умолчанию эти данные сохраняются на сервере на случай повторной установки удаленного центра сертификации. Например, можно удалить, а затем повторно установить центр сертификации, если следует изменить автономный центр сертификации на центр сертификации предприятия.
Переустановка роли ЦС в Windows Server 2012 Essentials
В этой статье описывается, как удалить и переустановить роль ЦС в Windows Server 2012 Essentials.
Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 2795825
Удалить роль сервера ЦС
В диспетчере серверов щелкните «Управление» и выберите «Удалить роли и возможности».
На странице Перед началом работы нажмите кнопку Далее.
На странице «Выбор сервера назначения» выберите сервер в пуле серверов и нажмите кнопку «Далее».
На странице «Удаление ролей сервера» разйдите службы сертификатов Active Directory, снимите с веб-регистрации центра сертификации и нажмите кнопку «Далее».
На странице «Удаление компонентов» нажмите кнопку «Далее».
На странице «Подтверждение выбора удаления» проверьте сведения и нажмите кнопку «Удалить».
Нажмите кнопку «Закрыть» после удаления.
Повторите шаги 1-3.
На странице «Удаление ролей сервера» щелкните, чтобы снять с нее контрольный окне «Службы сертификатов Active Directory».
Когда вам будет предложено удалить средства удаленного администрирования сервера, щелкните «Удалить функции» и нажмите кнопку «Далее».
На странице «Удаление компонентов» нажмите кнопку «Далее».
На странице «Подтверждение выбора удаления» проверьте сведения и нажмите кнопку «Удалить».
После удаления нажмите кнопку «Закрыть» и перезапустите сервер.
Переустановка роли сервера ЦС
В диспетчере серверов щелкните «Управление» и выберите «Добавить роли и возможности».
На странице «Перед началом работы» нажмите кнопку «Далее».
На странице «Выбор типа установки» щелкните «Установка на основе ролей или на основе функций» и нажмите кнопку «Далее».
На странице «Выбор сервера назначения» выберите сервер в пуле серверов и нажмите кнопку «Далее».
На странице «Выбор ролей сервера» выберите роль служб сертификатов Active Directory.
Когда вам будет предложено установить средства удаленного администрирования сервера, нажмите кнопку «Добавить функции» и нажмите кнопку «Далее».
На странице «Выбор компонентов» нажмите кнопку «Далее».
На странице «Службы сертификатов Active Directory» нажмите кнопку «Далее».
На странице «Выбор служб ролей» выберите веб-регистрацию для сертификации и сертификации, а затем нажмите кнопку «Далее».
На странице «Подтверждение выбора установки» проверьте сведения и нажмите кнопку «Установить».
Дождись завершения установки. После завершения установки щелкните ссылку «Настройка служб сертификатов Active Directory» на ссылке сервера назначения.
На странице «Учетные данные» нажмите кнопку «Далее».
При необходимости вы можете изменить учетные данные.
На странице «Службы ролей» выберите веб-регистрацию в службе сертификации и в веб-регистрации, а затем нажмите кнопку «Далее».
На странице «Тип установки» щелкните «Корпоративный ЦС» и нажмите кнопку «Далее».
На странице «Тип ЦС» щелкните «Корневой ЦС» и нажмите кнопку «Далее».
На странице «Закрытый ключ» щелкните «Использовать существующий закрытый ключ», выберите сертификат и используйте связанный с ним закрытый ключ, а затем нажмите кнопку «Далее».
На странице «Существующий сертификат» выберите сертификат -CA и нажмите кнопку «Далее».
— имя конечного сервера.
На странице «База данных ЦС» примите расположения по умолчанию и нажмите кнопку «Далее».
На странице подтверждения подтвердите выбор и нажмите кнопку «Настроить».
После завершения настройки нажмите кнопку «Закрыть».
