Condividi tramite

Come rimuovere le autorizzazioni di un'autorità di certificazione aziendale Windows e rimuovere tutti gli oggetti correlati

Questo articolo dettagliato descrive come rimuovere una CA aziendale di Microsoft Windows e come rimuovere tutti gli oggetti correlati dal servizio directory di Active Directory.

Si applica a: Windows Server
Numero KB originale: 889250

Riepilogo

Quando si disinstalla un'autorità di certificazione (CA), i certificati rilasciati dalla CA sono in genere ancora in sospeso. Se i certificati in sospeso vengono elaborati dai vari computer client dell'infrastruttura a chiave pubblica, la convalida avrà esito negativo e tali certificati non verranno usati.

Questo articolo descrive come revocare i certificati in sospeso e come completare varie altre attività necessarie per disinstallare correttamente una CA. In questo articolo vengono inoltre descritte diverse utilità che è possibile usare per rimuovere oggetti CA dal dominio.

Passaggio 1- Revocare tutti i certificati attivi rilasciati dalla CA aziendale

  1. Selezionare Start, strumenti di amministrazione e quindi autorità di certificazione.
  2. Espandere la CA e quindi selezionare la cartella Certificati rilasciati.
  3. Nel riquadro destro selezionare uno dei certificati rilasciati e quindi premere CTRL+A per selezionare tutti i certificati rilasciati.
  4. Fare clic con il pulsante destro del mouse sui certificati selezionati, selezionare Tutte le attività e quindi revoca certificato.
  5. Nella finestra di dialogo Revoca certificati selezionare Interrompi operazione come motivo della revoca e quindi selezionare OK.

Passaggio 2- Aumentare l'intervallo di pubblicazione CRL

  1. Nello snap-in Microsoft Management Console (MMC) autorità di certificazione fare clic con il pulsante destro del mouse sulla cartella Certificati revocati e quindi scegliere Proprietà.
  2. Nella casella Intervallo pubblicazione CRL digitare un valore appropriato lungo e quindi selezionare OK.

Note

La durata dell'elenco di revoche di certificati (CRL) deve essere superiore alla durata rimanente per i certificati revocati.

Passaggio 3: Pubblicare un nuovo CRL

  1. Nello snap-in MMC autorità di certificazione fare clic con il pulsante destro del mouse sulla cartella Certificati revocati.
  2. Selezionare Tutte le attività e quindi Pubblica.
  3. Nella finestra di dialogo Pubblica CRL selezionare Nuovo CRL e quindi selezionare OK.

Passaggio 4- Negare eventuali richieste in sospeso

Per impostazione predefinita, una CA aziendale non archivia le richieste di certificato. Tuttavia, un amministratore può modificare questo comportamento predefinito. Per negare eventuali richieste di certificato in sospeso, seguire questa procedura:

  1. Nello snap-in MMC autorità di certificazione selezionare la cartella Richieste in sospeso.
  2. Nel riquadro destro selezionare una delle richieste in sospeso e quindi premere CTRL+A per selezionare tutti i certificati in sospeso.
  3. Fare clic con il pulsante destro del mouse sulle richieste selezionate, selezionare Tutte le attività e quindi nega richiesta.

Passaggio 5- Disinstallare Servizi certificati dal server

  1. Per arrestare Servizi certificati, selezionare Start, selezionare Esegui, digitare cmd e quindi selezionare OK.

  2. Al prompt dei comandi digitare certutil -shutdown e quindi premere INVIO.

  3. Al prompt dei comandi digitare certutil -getreg DBDirectory e quindi premere INVIO. Prendere nota del valore DBLogDirectory nell'output. Ad esempio:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBDirectory:
  DBDirectory REG_SZ = C:\Windows\system32\CertLog
CertUtil: -getreg command completed successfully.

  4. Al prompt dei comandi digitare certutil -getreg DBLogDirectory e quindi premere INVIO. Prendere nota del valore DBLogDirectory nell'output. Ad esempio:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBLogDirectory:
  DBLogDirectory REG_SZ = C:\Windows\system32\CertLog
CertUtil: -getreg command completed successfully.

  5. Al prompt dei comandi digitare certutil -getreg CA\CSP\Provider e quindi premere INVIO. Prendere nota del valore provider nell'output. Ad esempio:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:

  Provider REG_SZ = Microsoft Software Key Storage Provider
CertUtil: -getreg command completed successfully.

    Se il valore è Microsoft Strong Cryptographic Provider o Microsoft Enhanced Cryptographic Provider v1.0, digitare CertUtil -Key e premere INVIO.
    Se il valore è Microsoft Software Key Storage Provider, digitare CertUtil -CSP KSP -Key e premere INVIO.
    Se il valore è qualcos'altro, digitare CertUtil -CSP <PROVIDER NAME> -Key e premere INVIO.

    Questo comando visualizzerà i nomi di tutti i provider di servizi di crittografia installati (CSP) e gli archivi chiavi associati a ogni provider. Elencato tra gli archivi chiavi elencati sarà il nome della CA. Il nome verrà elencato più volte, come illustrato nell'esempio seguente:

    (1)Microsoft Base Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Server
    Ca radice di Windows2000 Enterprise
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    NetMon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-83952115-500

    (5)Microsoft Enhanced Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Server
    Ca radice di Windows2000 Enterprise
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    NetMon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-83952115-500

  6. Eliminare la chiave privata associata alla CA. A tale scopo, al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    Se il valore ca CSP è Microsoft Strong Cryptographic Provider o Microsoft Enhanced Cryptographic Provider v1.0, digitare il comando seguente e quindi premere INVIO.

     certutil -delkey CertificateAuthorityName

    Se il valore CA CSP è Microsoft Software Key Storage Provider, digitare il comando seguente e quindi premere INVIO.

     certutil -CSP KSP -delkey CertificateAuthorityName

    Se il valore ca CSP è qualcos'altro, digitare il comando seguente e quindi premere INVIO.

    certutil -CSP \<PROVIDER NAME\> -delkey CertificateAuthorityName

    Note

    Se il nome della CA contiene spazi, racchiudere il nome tra virgolette. Se la CA dispone di più chiavi, è necessario eseguire il comando precedente per ogni chiave.

    In questo esempio il nome dell'autorità di certificazione è Windows2000 Enterprise Root CA. Di conseguenza, la riga di comando in questo esempio è la seguente:

    certutil -delkey "Windows2000 Enterprise Root CA"

  7. Elencare di nuovo gli archivi chiavi per verificare che la chiave privata per la CA sia stata eliminata.

  8. Dopo aver eliminato la chiave privata per la CA, disinstallare Servizi certificati. A tale scopo, seguire questa procedura, a seconda della versione di Windows Server in esecuzione.

    Se si disinstalla un'autorità di certificazione aziendale, l'appartenenza a Enterprise Admins o l'equivalente è il requisito minimo necessario per completare questa procedura. Per altre informazioni, vedere Implementare l'amministrazione basata su ruoli.

    Per disinstallare una CA, seguire questa procedura:

    1. Selezionare Start, Strumenti di amministrazione e quindi Server Manager.
    2. In Riepilogo ruoli selezionare Rimuovi ruoli per avviare la Rimozione guidata ruoli e quindi selezionare Avanti.
    3. Selezionare questa opzione per deselezionare la casella di controllo Servizi certificati Active Directory e quindi selezionare Avanti.
    4. Nella pagina Conferma opzioni di rimozione esaminare le informazioni e quindi selezionare Rimuovi.
    5. Se il ruolo Registrazione Web autorità di certificazione è configurato e in esecuzione e viene richiesto di disinstallare questo ruolo prima di continuare con il processo di disinstallazione, selezionare OK, disinstallare prima di tutto questo ruolo e ripetere i passaggi precedenti.
    6. Al termine della Rimozione guidata ruoli, riavviare il server. In questo modo viene completato il processo di disinstallazione.

    La procedura è leggermente diversa se più servizi ruolo di Servizi certificati Active Directory sono installati in un solo server. Per disinstallare una CA ma mantenere altri servizi ruolo Servizi certificati Active Directory, seguire questa procedura.

    Note

    Per completare questa procedura, è necessario accedere con le stesse autorizzazioni dell'utente che ha installato la CA. Se si disinstalla un'autorità di certificazione aziendale, l'appartenenza a Enterprise Admins o l'equivalente è il requisito minimo necessario per completare questa procedura. Per altre informazioni, vedere Implementare l'amministrazione basata su ruoli.

    1. Selezionare Start, Strumenti di amministrazione e quindi Server Manager.
    2. In Riepilogo ruoli selezionare Servizi certificati Active Directory.
    3. In Servizi ruoli selezionare Rimuovi servizi ruolo.
    4. Selezionare questa opzione per deselezionare la casella di controllo Autorità di certificazione e quindi selezionare Avanti.
    5. Nella pagina Conferma opzioni di rimozione esaminare le informazioni e quindi selezionare Rimuovi.
    6. Se IIS è in esecuzione e viene richiesto di arrestare il servizio prima di continuare con il processo di disinstallazione, selezionare OK.
    7. Al termine della Rimozione guidata ruoli, è necessario riavviare il server. In questo modo viene completato il processo di disinstallazione.

    Se i servizi ruolo rimanenti, ad esempio il servizio Risponditore online, sono stati configurati per l'uso dei dati dalla CA disinstallata, è necessario riconfigurare questi servizi per supportare una CA diversa. Dopo la disinstallazione di una CA, nel server vengono lasciate le informazioni seguenti:

    • Database CA.
    • Chiavi pubbliche e private della CA.
    • Certificati della CA nell'archivio personale.
    • I certificati della CA nella cartella condivisa, se è stata specificata una cartella condivisa durante l'installazione di Servizi certificati Active Directory.
    • Il certificato radice della catena CA nell'archivio Autorità di certificazione radice attendibili.
    • I certificati intermedi della catena ca nell'archivio Autorità di certificazione intermedie.
    • CRL della CA.

    Per impostazione predefinita, queste informazioni vengono mantenute nel server nel caso in cui si stia disinstallando e quindi reinstallando la CA. Ad esempio, è possibile disinstallare e reinstallare la CA se si vuole modificare una CA autonoma in una CA aziendale.

Passaggio 6: Rimuovere oggetti CA da Active Directory

Quando Servizi certificati Microsoft viene installato in un server membro di un dominio, vengono creati diversi oggetti nel contenitore di configurazione in Active Directory.

Questi oggetti sono i seguenti:

  • oggetto certificateAuthority

    • Situato in CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
    • Contiene il certificato CA per la CA.
    • Posizione di accesso alle informazioni sull'autorità pubblicata (AIA).

  • oggetto crlDistributionPoint

    • Situato in CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contiene periodicamente il CRL pubblicato dalla CA.
    • Posizione del punto di distribuzione CRL (CDP) pubblicata.

  • certificationAuthority - oggetto

    • Situato in CN=Autorità di certificazione,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contiene il certificato CA per la CA.

  • Oggetto pKIEnrollmentService

    • Situato in CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Creato dalla CA aziendale.
    • Contiene informazioni sui tipi di certificati configurati per il rilascio della CA. Le autorizzazioni per questo oggetto possono controllare le entità di sicurezza che possono essere registrate in questa CA.

Quando la CA viene disinstallata, viene rimosso solo l'oggetto pKIEnrollmentService. Ciò impedisce ai client di provare a eseguire la registrazione nella CA rimossa. Gli altri oggetti vengono conservati perché i certificati rilasciati dalla CA sono probabilmente ancora in sospeso. Questi certificati devono essere revocati seguendo la procedura descritta nella sezione Passaggio 1 - Revocare tutti i certificati attivi rilasciati dalla CA aziendale.

Affinché i computer client PKI (Public Key Infrastructure) eselaborino correttamente questi certificati in sospeso, i computer devono individuare i percorsi di accesso alle informazioni sull'autorità (AIA) e i percorsi dei punti di distribuzione CRL in Active Directory. È consigliabile revocare tutti i certificati in sospeso, estendere la durata del CRL e pubblicare il CRL in Active Directory. Se i certificati in sospeso vengono elaborati dai vari client PKI, la convalida avrà esito negativo e tali certificati non verranno usati.

Se non è una priorità per mantenere il punto di distribuzione CRL e AIA in Active Directory, è possibile rimuovere questi oggetti. Non rimuovere questi oggetti se si prevede di elaborare uno o più certificati digitali attivi in precedenza.

Rimuovere tutti gli oggetti servizi di certificazione da Active Directory

Note

Non è consigliabile rimuovere i modelli di certificato da Active Directory fino a quando non vengono rimossi tutti gli oggetti CA nella foresta Active Directory.

Per rimuovere tutti gli oggetti servizi di certificazione da Active Directory, seguire questa procedura:

  1. Determinare caCommonName dell'autorità di certificazione. A tale scopo, effettuare i passaggi seguenti:

    1. Selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
    2. Digitare certutil, quindi premere INVIO.
    3. Prendere nota del valore Name che appartiene alla CA. Per i passaggi successivi di questa procedura, sarà necessario IL nome CACommonName.

  2. Selezionare Start, strumenti di amministrazione e quindi siti e servizi di Active Directory.

  3. Scegliere Mostra nodo servizi dal menu Visualizza.

  4. Espandere Servizi, espandere Servizi a chiave pubblica e quindi selezionare la cartella AIA.

  5. Nel riquadro destro fare clic con il pulsante destro del mouse sull'oggetto CertificationAuthority per la CA, scegliere Elimina e quindi selezionare .

  6. Nel riquadro sinistro dello snap-in MMC Siti e servizi di Active Directory selezionare la cartella CDP.

  7. Nel riquadro destro individuare l'oggetto contenitore per il server in cui è installato Servizi certificati. Fare clic con il pulsante destro del mouse sul contenitore, scegliere Elimina e quindi selezionare due volte.

  8. Nel riquadro sinistro dello snap-in MMC Siti e servizi di Active Directory selezionare il nodo Autorità di certificazione.

  9. Nel riquadro destro fare clic con il pulsante destro del mouse sull'oggetto CertificationAuthority per la CA, scegliere Elimina e quindi selezionare .

  10. Nel riquadro sinistro dello snap-in SERVIZI e siti di Active Directory selezionare il nodo Servizi di registrazione.

  11. Nel riquadro di destra verificare che l'oggetto pKIEnrollmentService per la CA sia stato rimosso quando Servizi certificati è stato disinstallato. Se l'oggetto non viene eliminato, fare clic con il pulsante destro del mouse sull'oggetto, scegliere Elimina e quindi selezionare .

  12. Se non sono stati individuati tutti gli oggetti, alcuni oggetti potrebbero essere lasciati in Active Directory dopo aver eseguito questi passaggi. Per eseguire la pulizia dopo un'autorità di certificazione che potrebbe aver lasciato oggetti in Active Directory, seguire questa procedura per determinare se gli oggetti di Active Directory rimangono:

    1. Digitare il comando seguente in una riga di comando e quindi premere INVIO:

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf

      In questo comando CACommonName rappresenta il valore name determinato nel passaggio 1. Ad esempio, se il valore Name è CA1 Contoso, digitare quanto segue:

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf

    2. Aprire il file rimanenteCAobjects.ldf nel Blocco note. Sostituire il termine changetype: aggiungere con changetype: delete. Verificare quindi se gli oggetti di Active Directory che verranno eliminati sono legittimi.

    3. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO per eliminare gli oggetti CA rimanenti da Active Directory:

      ldifde -i -f remainingCAobjects.ldf

  13. Eliminare i modelli di certificato se si è certi che tutte le autorità di certificazione siano state eliminate. Ripetere il passaggio 12 per determinare se gli oggetti di Active Directory rimangono.

    Importante

    Non è necessario eliminare i modelli di certificato a meno che non siano state eliminate tutte le autorità di certificazione. Se i modelli vengono eliminati accidentalmente, seguire questa procedura:

    1. Assicurarsi di aver eseguito l'accesso a un server che esegue Servizi certificati come amministratore dell'organizzazione.

    2. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

      cd %windir%\system32

    3. Digitare il comando seguente e quindi premere INVIO:

      regsvr32 /i:i /n /s certcli.dll

      Questa azione ricrea i modelli di certificato in Active Directory.

    Per eliminare i modelli di certificato, seguire questa procedura.

    1. Nel riquadro sinistro dello snap-in MMC Siti e servizi di Active Directory selezionare la cartella Modelli di certificato.
    2. Nel riquadro destro selezionare un modello di certificato e quindi premere CTRL+A per selezionare tutti i modelli. Fare clic con il pulsante destro del mouse sui modelli selezionati, scegliere Elimina e quindi selezionare .

Passaggio 7: Eliminare i certificati pubblicati nell'oggetto NtAuthCertificates

Dopo aver eliminato gli oggetti CA, è necessario eliminare i certificati CA pubblicati nell'oggetto NtAuthCertificates . Usare uno dei comandi seguenti per eliminare i certificati dall'archivio NTAuthCertificates :

certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Note

Per eseguire questa attività, è necessario disporre delle autorizzazioni di amministratore dell'organizzazione.

L'azione -viewdelstore richiama l'interfaccia utente di selezione del certificato nel set di certificati nell'attributo specificato. È possibile visualizzare i dettagli del certificato. È possibile annullare la finestra di dialogo di selezione per non apportare modifiche. Se si seleziona un certificato, tale certificato viene eliminato quando l'interfaccia utente viene chiusa e il comando viene eseguito completamente.

Usare il comando seguente per visualizzare il percorso LDAP completo dell'oggetto NtAuthCertificates in Active Directory:

certutil -viewdelstore -? | findstr "CN=NTAuth"

Passaggio 8: Eliminare il database della CA

Quando i servizi di certificazione vengono disinstallati, il database della CA rimane intatto in modo che la CA possa essere ricreata in un altro server.

Per rimuovere il database CA, eliminare la cartella Certlog contenente il database e il log. Questa operazione viene archiviata per impostazione predefinita nella cartella %systemroot%\System32\Certlog .

È possibile trovare il percorso del database e della cartella logs nella sezione Passaggio 5 - Disinstallare Servizi certificati dalla sezione server .

Passaggio 9 - Pulire i controller di dominio

Dopo la disinstallazione della CA, è necessario rimuovere i certificati rilasciati ai controller di dominio.

Per rimuovere i certificati rilasciati ai controller di dominio Windows Server 2003 e versioni successive, seguire questa procedura.

Importante

Non utilizzare questa procedura se si usano certificati basati su modelli di controller di dominio versione 1.

  1. Selezionare Start, selezionare Esegui, digitare cmd e quindi premere INVIO.

  2. Al prompt dei comandi in un controller di dominio digitare certutil -dcinfo deleteBad.

    Certutil.exe tenta di convalidare tutti i certificati del controller di dominio rilasciati ai controller di dominio. I certificati che non convalidano vengono rimossi.

Per forzare l'applicazione dei criteri di gruppo, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi premere INVIO.

  2. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    gpupdate /force