Comment désactiver une autorité de certification d’entreprise Windows et supprimer tous les objets associés

Cet article pas à pas explique comment désactiver une autorité de certification d’entreprise Microsoft Windows et comment supprimer tous les objets associés du service d’annuaire Active Directory.

S’applique à : Windows Server
Numéro de la base de connaissances d’origine : 889250

Résumé

Lorsque vous désinstallez une autorité de certification, les certificats émis par l’autorité de certification sont généralement toujours en attente. Si les certificats en attente sont traités par les différents ordinateurs clients infrastructure à clé publique, la validation échoue et ces certificats ne seront pas utilisés.

Cet article explique comment révoquer des certificats en attente et comment effectuer différentes autres tâches requises pour désinstaller correctement une autorité de certification. En outre, cet article décrit plusieurs utilitaires que vous pouvez utiliser pour vous aider à supprimer des objets d’autorité de certification de votre domaine.

Étape 1 : révoquer tous les certificats actifs émis par l’autorité de certification d’entreprise

1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Autorité de certification.
2. Développez votre autorité de certification, puis sélectionnez le dossier Certificats émis.
3. Dans le volet droit, sélectionnez l’un des certificats émis, puis appuyez sur Ctrl+A pour sélectionner tous les certificats émis.
4. Cliquez avec le bouton droit sur les certificats sélectionnés, sélectionnez Toutes les tâches, puis révoquez le certificat.
5. Dans la boîte de dialogue Révocation de certificats, sélectionnez Cesser d’opération comme motif de révocation, puis sélectionnez OK.

Étape 2 : augmenter l’intervalle de publication de la liste de révocation de certificats

1. Dans le composant logiciel enfichable MMC (Certification Authority Microsoft Management Console), cliquez avec le bouton droit sur le dossier Certificats révoqués, puis sélectionnez Propriétés.
2. Dans la zone Intervalle de publication de liste de révocation de certificats, tapez une valeur convenablement longue, puis sélectionnez OK.

Note

La durée de vie de la liste de révocation de certificats (CRL) doit être supérieure à la durée de vie restante pour les certificats qui ont été révoqués.

Étape 3 : Publier une nouvelle liste de révocation de certificats

1. Dans le composant logiciel enfichable MMC autorité de certification, cliquez avec le bouton droit sur le dossier Certificats révoqués.
2. Sélectionnez Toutes les tâches, puis sélectionnez Publier.
3. Dans la boîte de dialogue Publier la liste de révocation de certificats, sélectionnez Nouvelle liste de révocation de certificats, puis sélectionnez OK.

Étape 4 : Refuser toutes les demandes en attente

Par défaut, une autorité de certification d’entreprise ne stocke pas les demandes de certificat. Toutefois, un administrateur peut modifier ce comportement par défaut. Pour refuser les demandes de certificat en attente, procédez comme suit :

1. Dans le composant logiciel enfichable MMC autorité de certification, sélectionnez le dossier Demandes en attente.
2. Dans le volet droit, sélectionnez l’une des demandes en attente, puis appuyez sur Ctrl+A pour sélectionner tous les certificats en attente.
3. Cliquez avec le bouton droit sur les demandes sélectionnées, sélectionnez Toutes les tâches, puis sélectionnez Refuser la demande.

Étape 5 : désinstaller les services de certificats du serveur

1. Pour arrêter les services de certificats, sélectionnez Démarrer, exécuter, taper cmd, puis OK.

2. À l’invite de commandes, tapez certutil -shutdown, puis appuyez sur Entrée.

3. À l’invite de commandes, tapez certutil -getreg DBDirectory, puis appuyez sur Entrée. Notez la valeur DBLogDirectory dans la sortie. Par exemple :

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBDirectory:
     DBDirectory REG_SZ = C:\Windows\system32\CertLog
   CertUtil: -getreg command completed successfully.
   

4. À l’invite de commandes, tapez certutil -getreg DBLogDirectory, puis appuyez sur Entrée. Notez la valeur DBLogDirectory dans la sortie. Par exemple :

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBLogDirectory:
     DBLogDirectory REG_SZ = C:\Windows\system32\CertLog
   CertUtil: -getreg command completed successfully.
   

5. À l’invite de commandes, tapez certutil -getreg CA\CSP\Provider, puis appuyez sur Entrée. Notez la valeur du fournisseur dans la sortie. Par exemple :

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:
   
     Provider REG_SZ = Microsoft Software Key Storage Provider
   CertUtil: -getreg command completed successfully.
   

   Si la valeur est Microsoft Strong Cryptographic Provider ou Microsoft Enhanced Cryptographic Provider v1.0, tapez CertUtil -Key et appuyez sur Entrée.
   Si la valeur est microsoft Software Key Storage Provider, tapez CertUtil -CSP KSP -Key , puis appuyez sur Entrée.
   Si la valeur est autre, tapez CertUtil -CSP <PROVIDER NAME> -Key , puis appuyez sur Entrée.

   Cette commande affiche les noms de tous les fournisseurs de services de chiffrement installés (CSP) et les magasins de clés associés à chaque fournisseur. Parmi les magasins de clés répertoriés, il s’agira du nom de votre autorité de certification. Le nom est répertorié plusieurs fois, comme indiqué dans l’exemple suivant :

   (1)Fournisseur de chiffrement de base Microsoft v1.0 :
   1a3b2f44-2540-408b-8867-51bd6b6ed413
   MS IIS DCOM ClientSYSTEMS-1-5-18
   Serveur MS IIS DCOM
   Autorité de certification racine Windows2000 Entreprise
   MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

   afd1bc0a-a93c-4a31-8056-c0b9ca632896
   Microsoft Internet Information Server
   NetMon
   MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-83952215-500

   (5)Fournisseur de chiffrement microsoft amélioré v1.0 :
   1a3b2f44-2540-408b-8867-51bd6b6ed413
   MS IIS DCOM ClientSYSTEMS-1-5-18
   Serveur MS IIS DCOM
   Autorité de certification racine Windows2000 Entreprise
   MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

   afd1bc0a-a93c-4a31-8056-c0b9ca632896
   Microsoft Internet Information Server
   NetMon
   MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-83952215-500

6. Supprimez la clé privée associée à l’autorité de certification. Pour ce faire, à l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

   Si la valeur csp de l’autorité de certification est Microsoft Strong Cryptographic Provider ou Microsoft Enhanced Cryptographic Provider v1.0, tapez la commande suivante, puis appuyez sur Entrée.

    certutil -delkey CertificateAuthorityName
   

   Si la valeur csp de l’autorité de certification de certification est le fournisseur de stockage de clés logicielles Microsoft, tapez la commande suivante, puis appuyez sur Entrée.

    certutil -CSP KSP -delkey CertificateAuthorityName
   

   Si la valeur csp de l’autorité de certification est autre chose, tapez la commande suivante, puis appuyez sur Entrée.

   certutil -CSP \<PROVIDER NAME\> -delkey CertificateAuthorityName
   

   Note

   Si votre nom d’autorité de certification contient des espaces, placez le nom entre guillemets. Si votre autorité de certification a plusieurs clés, vous devez exécuter la commande ci-dessus pour chaque clé.

   Dans cet exemple, le nom de l’autorité de certification est l’autorité de certification racine Windows2000 Entreprise. Par conséquent, la ligne de commande de cet exemple est la suivante :

   certutil -delkey "Windows2000 Enterprise Root CA"
   

7. Répertoriez à nouveau les magasins de clés pour vérifier que la clé privée de votre autorité de certification a été supprimée.

8. Après avoir supprimé la clé privée de votre autorité de certification, désinstallez les services de certificats. Pour ce faire, procédez comme suit, en fonction de la version de Windows Server que vous exécutez.

   Si vous désinstallez une autorité de certification d’entreprise, l’appartenance aux administrateurs d’entreprise ou l’équivalent est le minimum nécessaire pour effectuer cette procédure. Pour plus d’informations, consultez Implémenter l’administration basée sur les rôles.

   Pour désinstaller une autorité de certification, procédez comme suit :

   1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Gestionnaire de serveur.
   2. Sous Résumé des rôles, sélectionnez Supprimer les rôles pour démarrer l’Assistant Suppression de rôles, puis sélectionnez Suivant.
   3. Activez la case à cocher Active Directory Certificate Services , puis sélectionnez Suivant.
   4. Dans la page Confirmer la suppression des options , passez en revue les informations, puis sélectionnez Supprimer.
   5. Si le rôle d’inscription web de l’autorité de certification est configuré et en cours d’exécution et que vous êtes invité à désinstaller ce rôle avant de poursuivre le processus de désinstallation, sélectionnez OK, désinstallez d’abord ce rôle, puis répétez les étapes ci-dessus.
   6. Une fois l’Assistant Suppression de rôles terminé, redémarrez le serveur. Cette opération termine le processus de désinstallation.

   La procédure est légèrement différente si vous avez plusieurs services de rôle AD CS (Active Directory Certificate Services) installés sur un même serveur. Pour désinstaller une autorité de certification, mais conserver d’autres services de rôle AD CS, procédez comme suit.

   Note

   Vous devez vous connecter avec les mêmes autorisations que l’utilisateur qui a installé l’autorité de certification pour effectuer cette procédure. Si vous désinstallez une autorité de certification d’entreprise, l’appartenance aux administrateurs d’entreprise ou l’équivalent est le minimum nécessaire pour effectuer cette procédure. Pour plus d’informations, consultez Implémenter l’administration basée sur les rôles.

   1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Gestionnaire de serveur.
   2. Sous Résumé des rôles, sélectionnez Services de certificats Active Directory.
   3. Sous Services de rôles, sélectionnez Supprimer les services de rôle.
   4. Cochez la case Autorité de certification, puis sélectionnez Suivant.
   5. Dans la page Confirmer la suppression des options , passez en revue les informations, puis sélectionnez Supprimer.
   6. Si IIS est en cours d’exécution et que vous êtes invité à arrêter le service avant de poursuivre le processus de désinstallation, sélectionnez OK.
   7. Une fois l’Assistant Suppression de rôles terminé, vous devez redémarrer le serveur. Cette opération termine le processus de désinstallation.

   Si les services de rôle restants, tels que le service Répondeur en ligne, ont été configurés pour utiliser les données de l’autorité de certification désinstallée, vous devez reconfigurer ces services pour prendre en charge une autre autorité de certification. Une fois l’autorité de certification désinstallée, les informations suivantes sont conservées sur le serveur :

   • Base de données de l’autorité de certification.
   • Clés publiques et privées de l’autorité de certification.
   • Certificats de l’autorité de certification dans le magasin personnel.
   • Certificats de l’autorité de certification dans le dossier partagé, si un dossier partagé a été spécifié lors de l’installation d’AD CS.
   • Certificat racine de la chaîne d’autorité de certification dans le magasin autorités de certification racines approuvées.
   • Les certificats intermédiaires de la chaîne d’autorité de certification dans le magasin autorités de certification intermédiaires.
   • La liste de révocation de certificats de l’autorité de certification.

   Par défaut, ces informations sont conservées sur le serveur au cas où vous désinstallez l’autorité de certification, puis réinstallez l’autorité de certification. Par exemple, vous pouvez désinstaller et réinstaller l’autorité de certification si vous souhaitez remplacer une autorité de certification autonome par une autorité de certification d’entreprise.

Étape 6 : Supprimer des objets d’autorité de certification d’Active Directory

Lorsque microsoft Certificate Services est installé sur un serveur membre d’un domaine, plusieurs objets sont créés dans le conteneur de configuration dans Active Directory.

Ces objets sont les suivants :

• certificateAuthority (objet)

  • Situé dans CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
  • Contient le certificat d’autorité de certification de l’autorité de certification.
  • Emplacement de l’accès aux informations de l’autorité publiée (AIA).

• crlDistributionPoint (objet)

  • Situé dans CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
  • Contient la liste de révocation de certificats régulièrement publiée par l’autorité de certification.
  • Emplacement du point de distribution de liste de révocation de certificats (CDP) publié.

• certificationAuthority (objet)

  • Situé dans CN=Autorités de certification,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
  • Contient le certificat d’autorité de certification de l’autorité de certification.

• objet pKIEnrollmentService

  • Situé dans CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
  • Créé par l’autorité de certification d’entreprise.
  • Contient des informations sur les types de certificats que l’autorité de certification a été configurée pour émettre. Les autorisations sur cet objet peuvent contrôler quels principaux de sécurité peuvent s’inscrire auprès de cette autorité de certification.

Lorsque l’autorité de certification est désinstallée, seul l’objet pKIEnrollmentService est supprimé. Cela empêche les clients d’essayer de s’inscrire auprès de l’autorité de certification désaffectée. Les autres objets sont conservés, car les certificats émis par l’autorité de certification sont probablement toujours en attente. Ces certificats doivent être révoqués en suivant la procédure décrite à l’étape 1 : révoquez tous les certificats actifs émis par la section d’autorité de certification d’entreprise.

Pour que les ordinateurs clients PKI (Public Key Infrastructure) traitent correctement ces certificats en attente, les ordinateurs doivent localiser les chemins de point de distribution AIA (Authority Information Access) et CRL dans Active Directory. Il est judicieux de révoquer tous les certificats en attente, d’étendre la durée de vie de la liste de révocation de certificats et de publier la liste de révocation de certificats dans Active Directory. Si les certificats en attente sont traités par les différents clients PKI, la validation échoue et ces certificats ne seront pas utilisés.

S’il n’est pas prioritaire de conserver le point de distribution de liste de révocation de certificats et AIA dans Active Directory, vous pouvez supprimer ces objets. Ne supprimez pas ces objets si vous prévoyez de traiter un ou plusieurs des certificats numériques précédemment actifs.

Supprimer tous les objets Services de certification d’Active Directory

Note

Vous ne devez pas supprimer les modèles de certificat d’Active Directory tant qu’après avoir supprimé tous les objets d’autorité de certification dans la forêt Active Directory.

Pour supprimer tous les objets Certification Services d’Active Directory, procédez comme suit :

1. Déterminez le CACommonName de l’autorité de certification. Pour ce faire, procédez comme suit :

   1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
   2. Tapez certutil, puis appuyez sur ENTRÉE.
   3. Notez la valeur Name qui appartient à votre autorité de certification. Vous aurez besoin de caCommonName pour les étapes ultérieures de cette procédure.

2. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Sites et services Active Directory.

3. Dans le menu Affichage, sélectionnez Afficher le nœud Services.

4. Développez Services, développez Services à clé publique, puis sélectionnez le dossier AIA.

5. Dans le volet droit, cliquez avec le bouton droit sur l’objet CertificationAuthority pour votre autorité de certification , sélectionnez Supprimer, puis Sélectionnez Oui.

6. Dans le volet gauche du composant logiciel enfichable MMC Sites et services Active Directory, sélectionnez le dossier CDP.

7. Dans le volet droit, recherchez l’objet conteneur du serveur sur lequel les services de certificats sont installés. Cliquez avec le bouton droit sur le conteneur, sélectionnez Supprimer, puis sélectionnez Oui deux fois.

8. Dans le volet gauche du composant logiciel enfichable MMC Sites et services Active Directory, sélectionnez le nœud Autorités de certification.

9. Dans le volet droit, cliquez avec le bouton droit sur l’objet CertificationAuthority pour votre autorité de certification , sélectionnez Supprimer, puis Sélectionnez Oui.

10. Dans le volet gauche du composant logiciel enfichable Sites et services Active Directory MMC, sélectionnez le nœud Services d’inscription.

11. Dans le volet droit, vérifiez que l’objet pKIEnrollmentService pour votre autorité de certification a été supprimé lors de la désinstallation des services de certificats. Si l’objet n’est pas supprimé, cliquez avec le bouton droit sur l’objet, sélectionnez Supprimer, puis sélectionnez Oui.

12. Si vous n’avez pas localisé tous les objets, certains objets peuvent être laissés dans Active Directory après avoir effectué ces étapes. Pour nettoyer une autorité de certification qui peut avoir laissé des objets dans Active Directory, procédez comme suit pour déterminer si les objets AD restent :

    1. Tapez la commande suivante sur une ligne de commande, puis appuyez sur Entrée :

       ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf
       

       Dans cette commande, CACommonName représente la valeur Name que vous avez déterminée à l’étape 1. Par exemple, si la valeur Name est CA1 Contoso, tapez ce qui suit :

       ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf
       

    2. Ouvrez le fichier restantCAobjects.ldf dans le Bloc-notes. Remplacez le terme changetype : ajouter par changetype : delete. Vérifiez ensuite si les objets Active Directory que vous supprimerez sont légitimes.

    3. À l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée pour supprimer les objets d’autorité de certification restants d’Active Directory :

       ldifde -i -f remainingCAobjects.ldf
       

13. Supprimez les modèles de certificat si vous êtes sûr que toutes les autorités de certification ont été supprimées. Répétez l’étape 12 pour déterminer si des objets AD restent.

    Important

    Vous ne devez pas supprimer les modèles de certificat, sauf si toutes les autorités de certification ont été supprimées. Si les modèles sont supprimés accidentellement, procédez comme suit :

    1. Assurez-vous que vous êtes connecté à un serveur exécutant les services de certificats en tant qu’administrateur d’entreprise.

    2. Au niveau d'une invite de commande, tapez la commande ci-après, puis appuyez sur la touche ENTRÉE :

       cd %windir%\system32
       

    3. Tapez la commande suivante et appuyez sur ENTRÉE :

       regsvr32 /i:i /n /s certcli.dll
       

       Cette action recrée les modèles de certificat dans Active Directory.

    Pour supprimer les modèles de certificat, procédez comme suit.

    1. Dans le volet gauche du composant logiciel enfichable MMC Sites et services Active Directory, sélectionnez le dossier Modèles de certificats.
    2. Dans le volet droit, sélectionnez un modèle de certificat, puis appuyez sur Ctrl+A pour sélectionner tous les modèles. Cliquez avec le bouton droit sur les modèles sélectionnés, sélectionnez Supprimer, puis Sélectionnez Oui.

Étape 7 : Supprimer les certificats publiés dans l’objet NtAuthCertificates

Après avoir supprimé les objets d’autorité de certification, vous devez supprimer les certificats d’autorité de certification publiés sur l’objet NtAuthCertificates . Utilisez l’une des commandes suivantes pour supprimer des certificats dans le NTAuthCertificates magasin :

certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Note

Vous devez disposer des autorisations d’administrateur d’entreprise pour effectuer cette tâche.

L’action -viewdelstore appelle l’interface utilisateur de sélection de certificat sur l’ensemble de certificats dans l’attribut spécifié. Vous pouvez afficher les détails du certificat. Vous pouvez annuler la boîte de dialogue de sélection pour apporter aucune modification. Si vous sélectionnez un certificat, ce certificat est supprimé lorsque l’interface utilisateur se ferme et que la commande est entièrement exécutée.

Utilisez la commande suivante pour afficher le chemin LDAP complet de l’objet NtAuthCertificates dans votre annuaire Active Directory :

certutil -viewdelstore -? | findstr "CN=NTAuth"

Étape 8 : supprimer la base de données d’autorité de certification

Lorsque les services de certification sont désinstallés, la base de données de l’autorité de certification reste intacte afin que l’autorité de certification puisse être recréée sur un autre serveur.

Pour supprimer la base de données d’autorité de certification, supprimez le dossier Certlog contenant la base de données et le journal. Cette opération est stockée par défaut dans le dossier %systemroot%\System32\Certlog .

Vous trouverez l’emplacement du dossier de base de données et de journaux à partir de l’étape 5 - Désinstaller les services de certificats à partir de la section serveur .

Étape 9 - Nettoyer les contrôleurs de domaine

Une fois l’autorité de certification désinstallée, les certificats émis aux contrôleurs de domaine doivent être supprimés.

Pour supprimer les certificats émis sur les contrôleurs de domaine Windows Server 2003 et les plus récents, procédez comme suit.

Important

N’utilisez pas cette procédure si vous utilisez des certificats basés sur des modèles de contrôleur de domaine version 1.

1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez cmd, puis appuyez sur Entrée.

2. À l’invite de commandes sur un contrôleur de domaine, tapez certutil -dcinfo deleteBad.

   Certutil.exe tente de valider tous les certificats DC émis aux contrôleurs de domaine. Les certificats qui ne sont pas validés sont supprimés.

Pour forcer l’application de la stratégie de groupe, procédez comme suit :

1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez cmd dans la zone Ouvrir , puis appuyez sur Entrée.

2. Au niveau d'une invite de commande, tapez la commande ci-après, puis appuyez sur la touche ENTRÉE :

   gpupdate /force