Compartilhar via

Como desativar uma autoridade de certificação corporativa do Windows e remover todos os objetos relacionados

Este artigo passo a passo descreve como desativar uma autoridade de certificação corporativa do Microsoft Windows e como remover todos os objetos relacionados do serviço de diretório do Active Directory.

Aplica-se a: Windows Server
Número original do KB: 889250

Resumo

Quando você desinstala uma autoridade de certificação (CA), os certificados emitidos pela CA normalmente ainda estão pendentes. Se os certificados pendentes forem processados pelos vários computadores clientes da Infra-estrutura de Chave Pública, a validação falhará e esses certificados não serão usados.

Este artigo descreve como revogar certificados pendentes e como concluir várias outras tarefas necessárias para desinstalar uma autoridade de certificação com êxito. Além disso, este artigo descreve vários utilitários que você pode usar para ajudá-lo a remover objetos CA do seu domínio.

Etapa 1 - Revogar todos os certificados ativos emitidos pela autoridade de certificação corporativa

  1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Autoridade de Certificação.
  2. Expanda sua CA e selecione a pasta Certificados Emitidos.
  3. No painel direito, selecione um dos certificados emitidos e pressione CTRL+A para selecionar todos os certificados emitidos.
  4. Clique com o botão direito do mouse nos certificados selecionados, selecione Todas as Tarefas e, em seguida, selecione Revogar Certificado.
  5. Na caixa de diálogo Revogação de Certificado, selecione Cessar Operação como o motivo da revogação e, em seguida, selecione OK.

Etapa 2 - Aumentar o intervalo de publicação da CRL

  1. No snap-in do MMC (Console de Gerenciamento Microsoft) da Autoridade de Certificação, clique com o botão direito do mouse na pasta Certificados Revogados e selecione Propriedades.
  2. Na caixa Intervalo de Publicação da CRL, digite um valor adequadamente longo e selecione OK.

Observação

O tempo de vida da CRL (Lista de Certificados Revogados) deve ser maior do que o tempo de vida restante para certificados que foram revogados.

Etapa 3 – Publicar uma nova CRL

  1. No snap-in MMC da Autoridade de Certificação, clique com o botão direito do mouse na pasta Certificados Revogados.
  2. Selecione Todas as Tarefas e, em seguida, selecione Publicar.
  3. Na caixa de diálogo Publicar CRL, selecione Nova CRL e, em seguida, selecione OK.

Etapa 4 - Negar quaisquer solicitações pendentes

Por padrão, uma autoridade de certificação corporativa não armazena solicitações de certificado. No entanto, um administrador pode alterar esse comportamento padrão. Para negar solicitações de certificado pendentes, siga estas etapas:

  1. No snap-in MMC da Autoridade de Certificação, selecione a pasta Solicitações Pendentes.
  2. No painel direito, selecione uma das solicitações pendentes e pressione CTRL+A para selecionar todos os certificados pendentes.
  3. Clique com o botão direito do mouse nas solicitações selecionadas, selecione Todas as Tarefas e, em seguida, selecione Negar Solicitação.

Etapa 5 – Desinstalar os Serviços de Certificados do servidor

  1. Para interromper os Serviços de Certificados, selecione Iniciar, selecione Executar, digite cmd e selecione OK.

  2. No prompt de comando, digite certutil -shutdown e pressione Enter.

  3. No prompt de comando, digite certutil -getreg DBDirectory e pressione Enter. Observe o valor DBLogDirectory na saída. Por exemplo:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBDirectory:
  DBDirectory REG_SZ = C:\Windows\system32\CertLog
CertUtil: -getreg command completed successfully.

  4. No prompt de comando, digite certutil -getreg DBLogDirectory e pressione Enter. Observe o valor DBLogDirectory na saída. Por exemplo:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBLogDirectory:
  DBLogDirectory REG_SZ = C:\Windows\system32\CertLog
CertUtil: -getreg command completed successfully.

  5. No prompt de comando, digite certutil -getreg CA\CSP\Provider e pressione Enter. Observe o valor do Provedor na saída. Por exemplo:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:

  Provider REG_SZ = Microsoft Software Key Storage Provider
CertUtil: -getreg command completed successfully.

    Se o valor for Microsoft Strong Cryptographic Provider ou Microsoft Enhanced Cryptographic Provider v1.0, digite CertUtil -Key e pressione Enter.
    Se o valor for Provedor de Armazenamento de Chaves de Software da Microsoft, digite CertUtil -CSP KSP -Key e pressione Enter.
    Se o valor for diferente, digite CertUtil -CSP <PROVIDER NAME> -Key e pressione Enter.

    Esse comando exibirá os nomes de todos os CSPs (provedores de serviços de criptografia) instalados e os repositórios de chaves associados a cada provedor. Entre os armazenamentos de chaves listados estará o nome da sua CA. O nome será listado várias vezes, conforme mostrado no exemplo a seguir:

    (1)Provedor criptográfico básico da Microsoft v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    Servidor MS IIS DCOM
    Autoridade de certificação raiz do Windows2000 Enterprise
    Administrador do Cliente MS IIS DCOMS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Servidor de Informações da Internet da Microsoft
    NetMon
    Administrador do Cliente MS IIS DCOM-1-5-21-842925246-1715567821-839522115-500

    (5)Provedor Criptográfico Avançado da Microsoft v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    Servidor MS IIS DCOM
    Autoridade de certificação raiz do Windows2000 Enterprise
    Administrador do Cliente MS IIS DCOMS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Servidor de Informações da Internet da Microsoft
    NetMon
    Administrador do Cliente MS IIS DCOM-1-5-21-842925246-1715567821-839522115-500

  6. Exclua a chave privada associada à CA. Para fazer isso, em um prompt de comando, digite o seguinte comando e pressione Enter:

    Se o valor do CSP da CA for Microsoft Strong Cryptographic Provider ou Microsoft Enhanced Cryptographic Provider v1.0, digite o comando a seguir e pressione Enter.

     certutil -delkey CertificateAuthorityName

    Se o valor do CSP da autoridade de certificação for Provedor de Armazenamento de Chaves de Software da Microsoft, digite o comando a seguir e pressione Enter.

     certutil -CSP KSP -delkey CertificateAuthorityName

    Se o valor do CSP da autoridade de certificação for diferente, digite o comando a seguir e pressione Enter.

    certutil -CSP \<PROVIDER NAME\> -delkey CertificateAuthorityName

    Observação

    Se o nome da autoridade de certificação contiver espaços, coloque-o entre aspas. Se sua CA tiver várias chaves, você precisará executar o comando acima para cada chave.

    Neste exemplo, o nome da autoridade de certificação é Autoridade de certificação raiz do Windows2000 Enterprise. Portanto, a linha de comando neste exemplo é a seguinte:

    certutil -delkey "Windows2000 Enterprise Root CA"

  7. Liste os armazenamentos de chaves novamente para verificar se a chave privada da sua CA foi excluída.

  8. Depois de excluir a chave privada da CA, desinstale os Serviços de Certificados. Para fazer isso, siga estas etapas, dependendo da versão do Windows Server que você está executando.

    Se você estiver desinstalando uma autoridade de certificação corporativa, a associação em Administradores Corporativos ou equivalente é o mínimo necessário para concluir este procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.

    Para desinstalar uma CA, siga estas etapas:

    1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Gerenciador do Servidor.
    2. Em Resumo de Funções, selecione Remover Funções para iniciar o Assistente para Remover Funções e, em seguida, selecione Avançar.
    3. Selecione para desmarcar a caixa de seleção Serviços de Certificados do Active Directory e selecione Avançar.
    4. Na página Confirmar Opções de Remoção, examine as informações e selecione Remover.
    5. Se a função de Registro na Web da Autoridade de Certificação estiver configurada e em execução e você for solicitado a desinstalar essa função antes de continuar com o processo de desinstalação, selecione OK, desinstale essa função primeiro e repita as etapas acima.
    6. Depois que o Assistente para Remoção de Funções for concluído, reinicie o servidor. Isso conclui o processo de desinstalação.

    O procedimento é ligeiramente diferente se você tiver vários serviços de função de serviços de certificados do Active Directory (AD CS) instalados em um único servidor. Para desinstalar uma autoridade de certificação, mas manter outros serviços de função do AD CS, siga estas etapas.

    Observação

    Você deve fazer logon com as mesmas permissões que o usuário que instalou a CA para concluir este procedimento. Se você estiver desinstalando uma autoridade de certificação corporativa, a associação em Administradores Corporativos ou equivalente é o mínimo necessário para concluir este procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.

    1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Gerenciador do Servidor.
    2. Em Resumo de Funções, selecione Serviços de Certificados do Active Directory.
    3. Em Serviços de Funções, selecione Remover Serviços de Função.
    4. Marque para desmarcar a caixa de seleção Autoridade de Certificação e selecione Avançar.
    5. Na página Confirmar Opções de Remoção, examine as informações e selecione Remover.
    6. Se o IIS estiver em execução e você for solicitado a interromper o serviço antes de continuar com o processo de desinstalação, selecione OK.
    7. Depois que o Assistente para Remover Funções for concluído, você deverá reiniciar o servidor. Isso conclui o processo de desinstalação.

    Se os serviços de função restantes, como o serviço Respondente Online, foram configurados para usar dados da autoridade de certificação desinstalada, você deve reconfigurar esses serviços para oferecer suporte a uma autoridade de certificação diferente. Depois que uma autoridade de certificação é desinstalada, as seguintes informações são deixadas no servidor:

    • O banco de dados da CA.
    • As chaves pública e privada da CA.
    • Os certificados da autoridade de certificação no repositório Pessoal.
    • Os certificados da autoridade de certificação na pasta compartilhada, se uma pasta compartilhada tiver sido especificada durante a instalação do AD CS.
    • O certificado raiz da cadeia de CA no repositório de Autoridades de Certificação Raiz Confiáveis.
    • Os certificados intermediários da cadeia de CA no repositório de Autoridades de Certificação Intermediárias.
    • O CRL da CA.

    Por padrão, essas informações são mantidas no servidor caso você esteja desinstalando e reinstalando a CA. Por exemplo, você pode desinstalar e reinstalar a autoridade de certificação se quiser alterar uma autoridade de certificação autônoma para uma autoridade de certificação corporativa.

Etapa 6 - Remover objetos CA do Active Directory

Quando os Serviços de Certificados da Microsoft são instalados em um servidor que é membro de um domínio, vários objetos são criados no contêiner de configuração no Active Directory.

Esses objetos são os seguintes:

  • certificateAuthority

    • Localizado em CN=AIA,CN=Serviços de Chave Pública,CN=Serviços,CN=Configuração,DC=ForestRootDomain.
    • Contém o certificado de autoridade de certificação para a autoridade de certificação.
    • Local de acesso a informações de autoridade publicada (AIA).

  • objeto crlDistributionPoint

    • Localizado em CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contém a CRL publicada periodicamente pela CA.
    • Local do CDP (Ponto de Distribuição) de CRL publicado.

  • certificaçãoObjeto de autoridade

    • Localizado em CN=Autoridades de Certificação,CN=Serviços de Chave Pública,CN=Serviços,CN=Configuração,DC=ForestRoot,DC=com.
    • Contém o certificado de autoridade de certificação para a autoridade de certificação.

  • Objeto pKIEnrollmentService

    • Localizado em CN=Serviços de Registro,CN=Serviços de Chave Pública,CN=Serviços,CN=Configuração,DC=ForestRoot,DC=com.
    • Criado pela autoridade de certificação corporativa.
    • Contém informações sobre os tipos de certificados que a autoridade de certificação foi configurada para emitir. As permissões nesse objeto podem controlar quais entidades de segurança podem se registrar nessa autoridade de certificação.

Quando a CA é desinstalada, somente o objeto pKIEnrollmentService é removido. Isso impede que os clientes tentem se inscrever na CA desativada. Os outros objetos são retidos porque os certificados emitidos pela autoridade de certificação provavelmente ainda estão pendentes. Esses certificados devem ser revogados seguindo o procedimento na seção Etapa 1 - Revogar todos os certificados ativos emitidos pela autoridade de certificação corporativa.

Para que os computadores cliente da PKI (Infra-estrutura de Chave Pública) processem com êxito esses certificados pendentes, os computadores devem localizar os caminhos do ponto de distribuição AIA (Acesso a Informações da Autoridade) e da CRL no Active Directory. É uma boa idéia revogar todos os certificados pendentes, estender o tempo de vida da CRL e publicá-la no Active Directory. Se os certificados pendentes forem processados pelos vários clientes PKI, a validação falhará e esses certificados não serão usados.

Se não for uma prioridade manter o ponto de distribuição de CRL e o AIA no Active Directory, você poderá remover esses objetos. Não remova esses objetos se você espera processar um ou mais dos certificados digitais ativos anteriormente.

Remover todos os objetos dos Serviços de Certificação do Active Directory

Observação

Você não deve remover modelos de certificado do Active Directory até remover todos os objetos de autoridade de certificação na floresta do Active Directory.

Para remover todos os objetos dos Serviços de Certificação do Active Directory, siga estas etapas:

  1. Determine o CACommonName da CA. Para fazer isso, siga estas etapas:

    1. Selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
    2. Digite certutile pressione ENTER.
    3. Anote o valor Name que pertence à sua CA. Você precisará do CACommonName para etapas posteriores neste procedimento.

  2. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Sites e Serviços do Active Directory.

  3. No menu Exibir, selecione Mostrar Nó de Serviços.

  4. Expanda Serviços, expanda Serviços de Chave Pública e selecione a pasta AIA.

  5. No painel direito, clique com o botão direito do mouse no objeto CertificationAuthority da sua autoridade de certificação, selecione Excluir e, em seguida, selecione Sim.

  6. No painel esquerdo do snap-in do MMC Sites e Serviços do Active Directory, selecione a pasta CDP.

  7. No painel direito, localize o objeto de contêiner do servidor em que os Serviços de Certificados estão instalados. Clique com o botão direito do mouse no contêiner, selecione Excluir e, em seguida, selecione Sim duas vezes.

  8. No painel esquerdo do snap-in do MMC Sites e Serviços do Active Directory, selecione o nó Autoridades de Certificação .

  9. No painel direito, clique com o botão direito do mouse no objeto CertificationAuthority da sua autoridade de certificação, selecione Excluir e, em seguida, selecione Sim.

  10. No painel esquerdo do snap-in MMC Sites e Serviços do Active Directory, selecione o nó Serviços de Registro.

  11. No painel direito, verifique se o objeto pKIEnrollmentService da sua CA foi removido quando os Serviços de Certificados foram desinstalados. Se o objeto não for excluído, clique com o botão direito do mouse nele, selecione Excluir e, em seguida, selecione Sim.

  12. Se você não localizou todos os objetos, alguns objetos podem ser deixados no Active Directory depois que você executar essas etapas. Para limpar após uma autoridade de certificação que pode ter deixado objetos no Active Directory, siga estas etapas para determinar se algum objeto do AD permanece:

    1. Digite o seguinte comando em uma linha de comando e pressione ENTER:

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf

      Nesse comando, CACommonName representa o valor Name que você determinou na etapa 1. Por exemplo, se o valor Name for CA1 Contoso, digite o seguinte:

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf

    2. Abra o arquivo remainingCAobjects.ldf no Bloco de Notas. Substitua o termo changetype: add por changetype: delete. Em seguida, verifique se os objetos do Active Directory que você excluirá são legítimos.

    3. Em um prompt de comando, digite o seguinte comando e pressione ENTER para excluir os objetos de autoridade de certificação restantes do Active Directory:

      ldifde -i -f remainingCAobjects.ldf

  13. Exclua os modelos de certificado se tiver certeza de que todas as autoridades de certificação foram excluídas. Repita a etapa 12 para determinar se algum objeto do AD permanece.

    Importante

    Você não deve excluir os modelos de certificado, a menos que todas as autoridades de certificação tenham sido excluídas. Se os modelos forem excluídos acidentalmente, siga estas etapas:

    1. Verifique se você está conectado a um servidor que esteja executando os Serviços de Certificados como administrador corporativo.

    2. Em um prompt de comando, digite o seguinte comando e pressione ENTER:

      cd %windir%\system32

    3. Digite o seguinte comando e pressione ENTER:

      regsvr32 /i:i /n /s certcli.dll

      Essa ação recria os modelos de certificado no Active Directory.

    Para excluir os modelos de certificado, siga estas etapas.

    1. No painel esquerdo do snap-in do MMC Sites e Serviços do Active Directory, selecione a pasta Modelos de Certificado.
    2. No painel direito, selecione um modelo de certificado e pressione Ctrl+A para selecionar todos os modelos. Clique com o botão direito do mouse nos modelos selecionados, selecione Excluir e, em seguida, selecione Sim.

Etapa 7 – Excluir certificados publicados no objeto NtAuthCertificates

Depois de excluir os objetos CA, você precisa excluir os certificados CA publicados no NtAuthCertificates objeto. Use um dos seguintes comandos para excluir certificados de dentro do NTAuthCertificates repositório:

certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Observação

Você deve ter permissões de Administrador Corporativo para executar essa tarefa.

A -viewdelstore ação invoca a interface do usuário de seleção de certificado no conjunto de certificados no atributo especificado. Você pode exibir os detalhes do certificado. Você pode cancelar a caixa de diálogo de seleção para não fazer alterações. Se você selecionar um certificado, esse certificado será excluído quando a interface do usuário for fechada e o comando for totalmente executado.

Use o seguinte comando para ver o caminho LDAP completo para o objeto NtAuthCertificates no Active Directory:

certutil -viewdelstore -? | findstr "CN=NTAuth"

Etapa 8 - Excluir o banco de dados da CA

Quando os Serviços de Certificação são desinstalados, o banco de dados da autoridade de certificação é deixado intacto para que a autoridade de certificação possa ser recriada em outro servidor.

Para remover o banco de dados CA, exclua a pasta Certlog que contém o banco de dados e o log. Isso é armazenado por padrão na pasta %systemroot%\System32\Certlog .

Você pode encontrar o local do banco de dados e da pasta de logs na seção Etapa 5 - Desinstalar Serviços de Certificados na seção do servidor .

Etapa 9 – Limpar controladores de domínio

Depois que a autoridade de certificação for desinstalada, os certificados que foram emitidos para controladores de domínio deverão ser removidos.

Para remover certificados que foram emitidos para o Windows Server 2003 e controladores de domínio mais recentes, siga estas etapas.

Importante

Não use este procedimento se você estiver usando certificados baseados em modelos de controlador de domínio da versão 1.

  1. Selecione Iniciar, selecione Executar, digite cmd e pressione ENTER.

  2. No prompt de comando em um controlador de domínio, digite certutil -dcinfo deleteBad.

    Certutil.exe tenta validar todos os certificados DC emitidos para os controladores de domínio. Os certificados que não são validados são removidos.

Para forçar a aplicação da política de grupo, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e pressione ENTER.

  2. Em um prompt de comando, digite o seguinte comando e pressione ENTER:

    gpupdate /force