Cómo retirar una entidad de certificación de empresa de Windows y eliminar todos los objetos relacionados

En este artículo paso a paso se describe cómo retirar una ENTIDAD de certificación empresarial de Microsoft Windows y cómo quitar todos los objetos relacionados del servicio de directorio de Active Directory.

Se aplica a: Windows Server
Número de KB original: 889250

Resumen

Al desinstalar una entidad de certificación (CA), los certificados emitidos por la ENTIDAD de certificación normalmente siguen pendientes. Si los distintos equipos cliente de infraestructura de clave pública procesan los certificados pendientes, se producirá un error en la validación y esos certificados no se usarán.

En este artículo se describe cómo revocar certificados pendientes y cómo completar otras tareas necesarias para desinstalar correctamente una entidad de certificación. Además, en este artículo se describen varias utilidades que puede usar para ayudarle a quitar objetos de CA del dominio.

Paso 1: Revocar todos los certificados activos emitidos por la ENTIDAD de certificación empresarial

1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Entidad de certificación.
2. Expanda la ENTIDAD de certificación y, a continuación, seleccione la carpeta Certificados emitidos.
3. En el panel derecho, seleccione uno de los certificados emitidos y presione CTRL+A para seleccionar todos los certificados emitidos.
4. Haga clic con el botón derecho en los certificados seleccionados, seleccione Todas las tareas y, a continuación, seleccione Revocar certificado.
5. En el cuadro de diálogo Revocación de certificados, seleccione Detener la operación como motivo de revocación y, a continuación, seleccione Aceptar.

Paso 2: Aumento del intervalo de publicación de CRL

1. En el complemento Microsoft Management Console (MMC) de la entidad de certificación, haga clic con el botón derecho en la carpeta Certificados revocados y, a continuación, seleccione Propiedades.
2. En el cuadro Intervalo de publicación crL, escriba un valor de longitud adecuada y, a continuación, seleccione Aceptar.

Nota:

La duración de la lista de revocación de certificados (CRL) debe ser mayor que la duración que permanece para los certificados que se han revocado.

Paso 3: Publicación de una nueva CRL

1. En el complemento MMC de entidad de certificación, haga clic con el botón derecho en la carpeta Certificados revocados.
2. Seleccione Todas las tareas y, a continuación, seleccione Publicar.
3. En el cuadro de diálogo Publicar CRL, seleccione Nueva CRL y, a continuación, seleccione Aceptar.

Paso 4: Denegar las solicitudes pendientes

De forma predeterminada, una ENTIDAD de certificación de empresa no almacena solicitudes de certificado. Sin embargo, un administrador puede cambiar este comportamiento predeterminado. Para denegar las solicitudes de certificado pendientes, siga estos pasos:

1. En el complemento MMC de entidad de certificación, seleccione la carpeta Solicitudes pendientes.
2. En el panel derecho, seleccione una de las solicitudes pendientes y presione CTRL+A para seleccionar todos los certificados pendientes.
3. Haga clic con el botón derecho en las solicitudes seleccionadas, seleccione Todas las tareas y, a continuación, seleccione Denegar solicitud.

Paso 5: Desinstalación de servicios de certificados del servidor

1. Para detener Servicios de certificados, seleccione Inicio, Ejecutar, escriba cmd y, a continuación, seleccione Aceptar.

2. En el símbolo del sistema, escriba certutil -shutdown y presione Entrar.

3. En el símbolo del sistema, escriba certutil -getreg DBDirectory y presione Entrar. Anote el valor DBLogDirectory en la salida. Por ejemplo:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBDirectory:
     DBDirectory REG_SZ = C:\Windows\system32\CertLog
   CertUtil: -getreg command completed successfully.
   

4. En el símbolo del sistema, escriba certutil -getreg DBLogDirectory y presione Entrar. Anote el valor DBLogDirectory en la salida. Por ejemplo:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBLogDirectory:
     DBLogDirectory REG_SZ = C:\Windows\system32\CertLog
   CertUtil: -getreg command completed successfully.
   

5. En el símbolo del sistema, escriba certutil -getreg CA\CSP\Provider y presione Entrar. Anote el valor del proveedor en la salida. Por ejemplo:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:
   
     Provider REG_SZ = Microsoft Software Key Storage Provider
   CertUtil: -getreg command completed successfully.
   

   Si el valor es Proveedor criptográfico seguro de Microsoft o Proveedor criptográfico mejorado de Microsoft v1.0, escriba CertUtil -Key y presione Entrar.
   Si el valor es Proveedor de almacenamiento de claves de software de Microsoft, escriba CertUtil -CSP KSP -Key y presione Entrar.
   Si el valor es otra cosa, escriba CertUtil -CSP <PROVIDER NAME> -Key y presione Entrar.

   Este comando mostrará los nombres de todos los proveedores de servicios criptográficos instalados (CSP) y los almacenes de claves asociados a cada proveedor. En la lista de almacenes de claves se mostrará el nombre de la ENTIDAD de certificación. El nombre se mostrará varias veces, como se muestra en el ejemplo siguiente:

   (1)Proveedor criptográfico base de Microsoft v1.0:
   1a3b2f44-2540-408b-8867-51bd6b6ed413
   CLIENTE DCOM de MS IISSYSTEMS-1-5-18
   Servidor DCOM de MS IIS
   Entidad de certificación raíz de Windows2000 Enterprise
   MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

   afd1bc0a-a93c-4a31-8056-c0b9ca632896
   Microsoft Internet Information Server
   NetMon
   MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

   (5)Proveedor criptográfico mejorado de Microsoft v1.0:
   1a3b2f44-2540-408b-8867-51bd6b6ed413
   CLIENTE DCOM de MS IISSYSTEMS-1-5-18
   Servidor DCOM de MS IIS
   Entidad de certificación raíz de Windows2000 Enterprise
   MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

   afd1bc0a-a93c-4a31-8056-c0b9ca632896
   Microsoft Internet Information Server
   NetMon
   MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

6. Elimine la clave privada asociada a la ENTIDAD de certificación. Para ello, en un símbolo del sistema, escriba el siguiente comando y presione Entrar:

   Si el valor de CSP de CA es Proveedor criptográfico seguro de Microsoft o Proveedor criptográfico mejorado de Microsoft v1.0, escriba el siguiente comando y presione Entrar.

    certutil -delkey CertificateAuthorityName
   

   Si el valor de CSP de CA es Proveedor de almacenamiento de claves de software de Microsoft, escriba el siguiente comando y presione Entrar.

    certutil -CSP KSP -delkey CertificateAuthorityName
   

   Si el valor de CSP de CA es algo más, escriba el siguiente comando y presione Entrar.

   certutil -CSP \<PROVIDER NAME\> -delkey CertificateAuthorityName
   

   Nota:

   Si el nombre de la entidad de certificación contiene espacios, escriba el nombre entre comillas. Si la ENTIDAD de certificación tiene varias claves, debe ejecutar el comando anterior para cada clave.

   En este ejemplo, el nombre de la entidad de certificación es la ENTIDAD de certificación raíz de Windows2000 Enterprise. Por lo tanto, la línea de comandos de este ejemplo es la siguiente:

   certutil -delkey "Windows2000 Enterprise Root CA"
   

7. Vuelva a enumerar los almacenes de claves para comprobar que se eliminó la clave privada de la entidad de certificación.

8. Después de eliminar la clave privada de la entidad de certificación, desinstale Servicios de certificados. Para ello, siga estos pasos, en función de la versión de Windows Server que esté ejecutando.

   Si va a desinstalar una ENTIDAD de certificación empresarial, la pertenencia a administradores de empresa o el equivalente es el mínimo necesario para completar este procedimiento. Para obtener más información, consulte Implementación de la administración basada en roles.

   Para desinstalar una ENTIDAD de certificación, siga estos pasos:

   1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Administrador del servidor.
   2. En Resumen de roles, seleccione Quitar roles para iniciar el Asistente para quitar roles y, a continuación, seleccione Siguiente.
   3. Seleccione esta opción para desactivar la casilla Servicios de certificados de Active Directory y, a continuación, seleccione Siguiente.
   4. En la página Confirmar opciones de eliminación, revise la información y, a continuación, seleccione Quitar.
   5. Si el rol inscripción web de entidad de certificación está configurado y en ejecución y se le pedirá que desinstale este rol antes de continuar con el proceso de desinstalación, seleccione Aceptar, desinstale este rol en primer lugar y repita los pasos anteriores.
   6. Una vez finalizado el Asistente para quitar roles, reinicie el servidor. Esto completa el proceso de desinstalación.

   El procedimiento es ligeramente distinto si tiene varios servicios de rol de servicios de certificados de Active Directory (AD CS) instalados en un solo servidor. Para desinstalar una ENTIDAD de certificación, pero mantener otros servicios de rol de AD CS, siga estos pasos.

   Nota:

   Debe iniciar sesión con los mismos permisos que el usuario que instaló la ENTIDAD de certificación para completar este procedimiento. Si va a desinstalar una ENTIDAD de certificación empresarial, la pertenencia a administradores de empresa o el equivalente es el mínimo necesario para completar este procedimiento. Para obtener más información, consulte Implementación de la administración basada en roles.

   1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Administrador del servidor.
   2. En Resumen de roles, seleccione Servicios de certificados de Active Directory.
   3. En Servicios de roles, seleccione Quitar servicios de rol.
   4. Seleccione esta opción para desactivar la casilla Entidad de certificación y, a continuación, seleccione Siguiente.
   5. En la página Confirmar opciones de eliminación, revise la información y, a continuación, seleccione Quitar.
   6. Si IIS se está ejecutando y se le pedirá que detenga el servicio antes de continuar con el proceso de desinstalación, seleccione Aceptar.
   7. Una vez finalizado el Asistente para quitar roles, debe reiniciar el servidor. Esto completa el proceso de desinstalación.

   Si el resto de servicios de rol, como el servicio de respondedor en línea, se configuraron para usar datos de la CA desinstalada, debe volver a configurar estos servicios para admitir una ca diferente. Una vez desinstalada una entidad de certificación, se deja la siguiente información en el servidor:

   • La base de datos de CA.
   • Claves públicas y privadas de ca.
   • Certificados de la ENTIDAD de certificación en el almacén personal.
   • Los certificados de la ENTIDAD de certificación en la carpeta compartida, si se especificó una carpeta compartida durante la instalación de AD CS.
   • El certificado raíz de la cadena de CA en el almacén de entidades de certificación raíz de confianza.
   • Los certificados intermedios de la cadena de certificación en el almacén de entidades de certificación intermedias.
   • CRL de la ENTIDAD de certificación.

   De forma predeterminada, esta información se mantiene en el servidor en caso de que se desinstale y vuelva a instalar la ENTIDAD de certificación. Por ejemplo, puede desinstalar y reinstalar la ENTIDAD de certificación si desea cambiar una entidad de certificación independiente a una ENTIDAD de certificación empresarial.

Paso 6: Eliminación de objetos de ENTIDAD de certificación de Active Directory

Cuando Los Servicios de certificados de Microsoft se instalan en un servidor que es miembro de un dominio, se crean varios objetos en el contenedor de configuración de Active Directory.

Estos objetos son los siguientes:

• certificateAuthority (objeto)

  • Ubicado en CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
  • Contiene el certificado de ENTIDAD de certificación para la ENTIDAD de certificación.
  • Ubicación del acceso a la información de autoridad (AIA) publicada.

• crlDistributionPoint (objeto)

  • Ubicado en CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
  • Contiene la CRL publicada periódicamente por la ENTIDAD de certificación.
  • Ubicación del punto de distribución de CRL (CDP) publicada.

• certificationAuthority (objeto)

  • Ubicado en CN=Entidades de certificación,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
  • Contiene el certificado de ENTIDAD de certificación para la ENTIDAD de certificación.

• pKIEnrollmentService (objeto)

  • Ubicado en CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
  • Creado por la entidad de certificación empresarial.
  • Contiene información sobre los tipos de certificados que la ENTIDAD de certificación se ha configurado para emitir. Los permisos de este objeto pueden controlar qué entidades de seguridad pueden inscribirse en esta CA.

Cuando se desinstala la ENTIDAD de certificación, solo se quita el objeto pKIEnrollmentService. Esto impide que los clientes intenten inscribirse en la CA retirada. Los demás objetos se conservan porque es probable que los certificados emitidos por la ENTIDAD de certificación sigan pendientes. Estos certificados deben revocarse siguiendo el procedimiento descrito en el paso 1: revocar todos los certificados activos emitidos por la entidad de certificación empresarial.

Para que los equipos cliente de infraestructura de clave pública (PKI) procesen correctamente estos certificados pendientes, los equipos deben localizar las rutas de acceso a la información de autoridad (AIA) y de punto de distribución CRL en Active Directory. Es recomendable revocar todos los certificados pendientes, ampliar la duración de la CRL y publicar la CRL en Active Directory. Si los distintos clientes PKI procesan los certificados pendientes, se producirá un error en la validación y esos certificados no se usarán.

Si no es una prioridad mantener el punto de distribución crL y AIA en Active Directory, puede quitar estos objetos. No quite estos objetos si espera procesar uno o varios de los certificados digitales anteriormente activos.

Eliminación de todos los objetos de Servicios de certificación de Active Directory

Nota:

No debe quitar plantillas de certificado de Active Directory hasta después de quitar todos los objetos de CA del bosque de Active Directory.

Para quitar todos los objetos de Servicios de certificación de Active Directory, siga estos pasos:

1. Determine el CACommonName de la ENTIDAD de certificación. Para ello, siga estos pasos:

   1. Seleccione Inicio, seleccione Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
   2. Escribe certutily después pulsa Entrar.
   3. Anote el valor Name que pertenece a la ENTIDAD de certificación. Necesitará CACommonName para los pasos posteriores de este procedimiento.

2. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Sitios y servicios de Active Directory.

3. En el menú Ver , seleccione Mostrar nodo servicios.

4. Expanda Servicios, Expanda Servicios de clave pública y, a continuación, seleccione la carpeta AIA.

5. En el panel derecho, haga clic con el botón derecho en el objeto CertificationAuthority de la CA, seleccione Eliminar y, a continuación, seleccione Sí.

6. En el panel izquierdo del complemento MMC Sitios y servicios de Active Directory, seleccione la carpeta CDP.

7. En el panel derecho, busque el objeto contenedor del servidor donde está instalado Certificate Services. Haga clic con el botón derecho en el contenedor, seleccione Eliminar y, a continuación, seleccione Sí dos veces.

8. En el panel izquierdo del complemento MMC sitios y servicios de Active Directory, seleccione el nodo Entidades de certificación.

9. En el panel derecho, haga clic con el botón derecho en el objeto CertificationAuthority de la CA, seleccione Eliminar y, a continuación, seleccione Sí.

10. En el panel izquierdo del complemento MMC Sitios y servicios de Active Directory, seleccione el nodo Servicios de inscripción.

11. En el panel derecho, compruebe que el objeto pKIEnrollmentService de la ENTIDAD de certificación se quitó cuando se desinstaló Certificate Services. Si el objeto no se elimina, haga clic con el botón derecho en el objeto, seleccione Eliminar y, a continuación, seleccione Sí.

12. Si no ha localizado todos los objetos, algunos objetos pueden dejarse en Active Directory después de realizar estos pasos. Para limpiar después de una entidad de certificación que pueda haber dejado objetos en Active Directory, siga estos pasos para determinar si los objetos de AD permanecen:

    1. Escriba el siguiente comando en una línea de comandos y presione ENTRAR:

       ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf
       

       En este comando, CACommonName representa el valor name que determinó en el paso 1. Por ejemplo, si el valor Name es CA1 Contoso, escriba lo siguiente:

       ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf
       

    2. Abra el archivo restanteCAobjects.ldf en el Bloc de notas. Reemplace el término changetype: add with changetype: delete. A continuación, compruebe si los objetos de Active Directory que eliminará son legítimos.

    3. En un símbolo del sistema, escriba el siguiente comando y presione ENTRAR para eliminar los objetos de CA restantes de Active Directory:

       ldifde -i -f remainingCAobjects.ldf
       

13. Elimine las plantillas de certificado si está seguro de que se han eliminado todas las entidades de certificación. Repita el paso 12 para determinar si los objetos de AD permanecen.

    Importante

    No debe eliminar las plantillas de certificado a menos que se hayan eliminado todas las entidades de certificación. Si las plantillas se eliminan accidentalmente, siga estos pasos:

    1. Asegúrese de que ha iniciado sesión en un servidor que ejecuta Servicios de certificados como administrador de empresa.

    2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

       cd %windir%\system32
       

    3. Escribe el siguiente comando y presiona ENTRAR:

       regsvr32 /i:i /n /s certcli.dll
       

       Esta acción vuelve a crear las plantillas de certificado en Active Directory.

    Para eliminar las plantillas de certificado, siga estos pasos.

    1. En el panel izquierdo del complemento MMC Sitios y servicios de Active Directory, seleccione la carpeta Plantillas de certificado.
    2. En el panel derecho, seleccione una plantilla de certificado y presione Ctrl+A para seleccionar todas las plantillas. Haga clic con el botón derecho en las plantillas seleccionadas, seleccione Eliminar y, a continuación, seleccione Sí.

Paso 7: Eliminación de certificados publicados en el objeto NtAuthCertificates

Después de eliminar los objetos de ENTIDAD de certificación, debe eliminar los certificados de ENTIDAD de certificación que se publican en el NtAuthCertificates objeto . Use cualquiera de los siguientes comandos para eliminar certificados desde el NTAuthCertificates almacén:

certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Nota:

Debe tener permisos de administrador de empresa para realizar esta tarea.

La -viewdelstore acción invoca la interfaz de usuario de selección de certificados en el conjunto de certificados del atributo especificado. Puede ver los detalles del certificado. Puede cancelar el cuadro de diálogo de selección para no realizar ningún cambio. Si selecciona un certificado, ese certificado se elimina cuando se cierra la interfaz de usuario y el comando se ejecuta por completo.

Use el siguiente comando para ver la ruta de acceso LDAP completa al objeto NtAuthCertificates en Active Directory:

certutil -viewdelstore -? | findstr "CN=NTAuth"

Paso 8: Eliminación de la base de datos de CA

Cuando se desinstala Certification Services, la base de datos de CA se deja intacta para que la ENTIDAD de certificación se pueda volver a crear en otro servidor.

Para quitar la base de datos de CA, elimine la carpeta Certlog que contiene la base de datos y el registro. Esto se almacena de forma predeterminada en la carpeta %systemroot%\System32\Certlog .

Puede encontrar la ubicación de la carpeta de base de datos y registros de la sección Step 5 - Uninstall Certificate Services from the server (Paso 5: desinstalar servicios de certificados desde el servidor ).

Paso 9: Limpieza de controladores de dominio

Una vez desinstalada la ENTIDAD de certificación, se deben quitar los certificados emitidos a los controladores de dominio.

Para quitar certificados emitidos a los controladores de dominio de Windows Server 2003 y versiones más recientes, siga estos pasos.

Importante

No use este procedimiento si usa certificados basados en plantillas de controlador de dominio de la versión 1.

1. Seleccione Iniciar, seleccione Ejecutar, escriba cmd y presione ENTRAR.

2. En el símbolo del sistema de un controlador de dominio, escriba certutil -dcinfo deleteBad.

   Certutil.exe intenta validar todos los certificados de controlador de dominio emitidos a los controladores de dominio. Los certificados que no validan se quitan.

Para forzar la aplicación de la directiva de grupo, siga estos pasos:

1. Seleccione Inicio, seleccione Ejecutar, escriba cmd en el cuadro Abrir y presione ENTRAR.

2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

   gpupdate /force