文档介绍：该【完全卸载CA证书服务 】是由【北京】上传分享，文档一共【5】页，该文档可以免费在线阅读，需要了解更多关于【完全卸载CA证书服务 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。完全卸载CA证书服务
问题:DC上的CA证书服务因为某些原因出现了问题,于是在添加/删除组件”中将证书服务卸载了,然后再重新安装
证书服务,建立与原来同名的企业根CA原来的问题是解决了,但又出现了新的问题:现在客户端
申请的用户证书在中级证书办法机构”和受信任的证书颁发机构”中都会有两个同名的CA这说明原来的那个CA并没
有卸载干净,请问怎样才能卸载干净,使客户端申请证书只出现一个新安装的CA
需要使用ntdsutil进行AD的清理才可以
步骤1:吊销所有由企业CA颁发的活动证书
”,指向管理工具”,然后单击征书颁发机构”。
,然后单击颁发的证书”文件夹。
,单击某个颁发的证书,然后按Ctrl+A以选中所有颁发的证书。
,单击所有任务”,然后单击吊销证书”。
”对话框中,单击以选择停止操作”作为吊销原因,然后单击确定”。
步骤2:增大CRL发布间隔
(MMC)管理单元中,右键单击’吊销的证书”文件夹,然后单击属性”。
“CR发布间隔”框中,键入一个适当
长一些的间隔值,然后单击确定”。
注意:证书吊销列表(CRL)的有效期应长于已吊销证书的剩余有效时间。
步骤3:发布新的CRL
,右键单击吊销的证书”文件夹。
”,然后单击发布”。
'对话框中,单击新的CRL',然后单击确定”。
步骤4:拒绝任何挂起的申请
默认情况下,企业CA不存储证书申请。不过,管理员可以更改此默认行为。要拒绝任何挂起的证书申请,
请按照下列步骤操作:
,单击挂起的申请”文件夹。
,单击某个挂起的申请,然后按Ctrl+A以选中所有挂起的证书。
,单击所有任务”,然后单击拒绝申请”。
步骤5:从服务器中卸载证书服务
,请单击开始”,单击运行”,键入cmd,然后单击确定”。
-shutdown,然后按Entero
,请在命令提示符处键入certutil-key。此命令将显示所有已安装
的加密服务提供程序(CSP)的名称,以及与每个提供程序相关的密钥存储。在列出的密钥存储中,您
将看到您的CA名称列出了多次,如以下示例所示。
d.(l)MicrosoftBaseCryptographicProvider:
-2540-408b-8867-51bd6b6ed413
-1-5-18


-069-8395228-500
j.
-a93c-4a31-8056-c0b9ca632896


-246-9522115-500
o.
n.(5)MicrosoftEnhancedCryptographicProvider:
-2540-408b-8867-51bd6b6ed413
-1-5-18


-069-8395228-500
v.
-a93c-4a31-8056-c0b9ca632896


MSIISDCOMClientAdministratorS-246-9522115-500
乙删除与该CA相关的私钥。为此,请在命令提示符处键入以下命令:
certutil-delkeyCertificateAuthorityName
注意:如果您的CA名称包含空格,请将名称用引号括起来。
在此示例中,CertificateAuthorityName是Windows2000EnterpriseRootCA。因此,此示例中的命令行如下所
示:
certutil-delkey"Windows2000EnterpriseRootCA”
。
,卸载证书服务。为此,请按照下列步骤操作:
,请将其关闭。
”,指向控制面板”,然后单击添加或删除程序”。
”。
”框中,单击以清除征书服务”复选框,单击下一步”,然后按照“Windows组件向导
中的说明来完成删除证书服务。
步骤6:从ActiveDirectory中删除CA对象
将Microsoft证书服务安装在属于域成员的服务器上后,将在ActiveDirectory中的配置容器中创建多个对象。这些对象
如下所示:
certificateAuthority对象
o位于CN=AIA,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=ForestRootDomain中。
o包含该CA的CA证书。
o已发布的颁发机构信息访问(AIA)位置。
crlDistributionPoint对象
o位于CN=ServerName,CN=CDP,CN=PublicKey
Service,CN=Services,CN=Configuration,DC=ForestRootDomain中。
o包含由CA定期发布的CRL
o已发布的CRL分发点(CDP)位置。
certificationAuthority对象
o位于CN=CertificationAuthorities,CN=PublicKey
Services,CN=Services,CN=Configuration,DC=ForestRootDomain中。
o包含该CA的CA证书。
pKIEnrollmentService对象
o位于CN=EnrollmentServices,CN=PublicKey
Services,CN=Services,CN=Configuration,DC=ForestRootDomain中。
o由企业CA创建。
o包含有关CA配置中指定要发布的证书类型的信息。此对象的权限可以控制哪些安全主体可以向此CA注
册。
卸载CA时,将只删除pKIEnrollmentService对象。这就可以防止客户端试图向已停用的CA进行注册。其
他对象则会保留下来,因为由CA发布的证书可能仍未卸载。这些证书必须按步骤1:吊销所有由企业CA
颁发的活动证书”一节所介绍的过程进行吊销。
为了使公钥基础结构(PKI)客户端计算机成功处理这些未卸载的证书,计算机必须在ActiveDirectory中找到
颁发机构信息访问(AIA)和CRL分发点路径。最好吊销所有未卸载的证书、延长CRL的有效期并在Active
Directory中发布CRL如果多种不同的PKI客户端在处理未卸载的证书,验证将失败,因而将不使用这些证
书。
如果在ActiveDirectory中不优先维护CRL分发点和AIA,则可以删除这些对象。如果希望处理以前处于活动状态的一个
或多个数字证书,请不要删除这些对象。
要从ActiveDirectory中删除所有证书服务对象,请按照下列步骤操作:
",指向管理工具",然后单击"ActiveDirectory站点和服务"。
”菜单选项,然后单击显示服务节点”。
”、公钥服务”,然后单击“AI位件夹。
,右键单击CA的CertificationAuthority对象,单击删除",然后单击是"。
,单击“CDP:件夹。
,找到安装了证书服务的服务器的容器对象。右键单击该容器,单击删除”,然后单击是”
两次。
,单击证书颁发机构"节点。
,右键单击CA的CertificationAuthority对象,单击删除",然后单击是"。
,单击注册服务”节点。
,验证卸载证书服务后是否已删除CA的pKIEnrollmentService对象。如果未删除该对象,
则右键单击该对象,单击删除”,然后单击是”。
,单击证书模板"文件夹。
,单击一个证书模板,然后按Ctrl+A以选择所有模板。右键单击所选模板,单击删除”,然后单击
是”。
m.
:如果意外删除了模板,请确保以企业管理员的身份登录到运行证书服务的服务器。在命令
提示符处,键入cd%windir%\system32,按Enter,键入regsvr32/i:i/n/s,然后按Entero这将在Active
Directory中重新创建证书模板。
,单击公钥服务”文件夹,右键单击
"NTAuthCertificates对象,"单击删除",然后单击是"。
P.
:如果林中安装有其他企业或独立CA,请不要删除此对象。
步骤7:删除CA数据库
卸载证书服务后,CA数据库将保留原样,以防需要在另一台服务器上重新创建该CA。
要删除CA数据库,请删除%systemroot%\System32\Certlog文件夹。
步骤8:清理域控制器
卸载CA后,必须删除已发布给所有域控制器的证书。要删除发布给域控制器的证书,请使用Microsoft
Windows2000ResourceKit中的实用工具。
要删除旧的域控制器证书,请按照下列步骤操作:
",单击运行",键入cmd,然后按Entero
,在命令提示符处键入dsstore-dcmon,然后按Entero
,然后按Entero此选择将删除所有域控制器上的所有证书。
d.
”:实用工具将尝试验证向每个域控制器颁发的域控制器证书。未验证的证书将从相关的域控制器中删除。
这时,您可以重新安装证书服务。完成安装后,将为ActiveDirectory发布新的根证书。当域客户端计算机更新它们的安
全策略时,计算机会自动将新的根证书下载到其受信任的根存储中。
要强制应用安全策略,请按照下列步骤操作:
",单击运行",键入cmd,然后按Entero
,键入以下命令:

secedit/refreshpolicymachine_policy/enforce
WindowsServer2003gpupdate/force
帮助您删除CA对象的实用工具WindowsServer2003ResourceKit工具包含可帮助您从域中删除CA对象
的实用工具。Certu...
帮助您删除CA对象的实用工具
WindowsServer2003ResourceKit工具包含可帮助您从域中删除CA对象的实用工具。
实用工具
WindowsServer2003版的实用工具可用于从ActiveDirectory中删除WindowsServer2003和Windows2000CA。
要从ActiveDirectory中删除CA,请在命令提示符处键入以下命令:certutil-dsdelCAName
在此示例中,CA名称是Windows2000EnterpriseRootCA。因此,此示例中的命令行如下所示:
certutil-dsdel"Windows2000EnterpriseRootCA"
注意:如果CA名称包含空格,则名称必须用引号括起来。
实用工具
此图形MMC管理单元可用于查看、添加以及从ActiveDirectory中删除证书和对象。要使用实用工具,
请按照下列步骤操作:
”,单击运行”,键入MMC,然后单击确定”。
”、打开”,然后找到安装有实用工具的文件夹。
(EnterprisePKI),然后单击管理AD容器”。
,然后删除对已停用的CA的所有引用。
注意:这些实用工具既可用于Windows2000和WindowsServer2003企业CA,也可用于Windows2000和
WindowsServer2003独立CA
有关如何获取WindowsServer2003ResourceKit工具的其他信息,请访问下面的Microsoft网站:&displaylang=en
&displaylang=en)