Aracılığıyla paylaş

Windows kurumsal sertifika yetkilisinin yetkisini elinden alma ve tüm ilgili nesneleri kaldırma

Bu adım adım makalede, Microsoft Windows kurumsal CA'sının yetkisini alma ve Active Directory dizin hizmetinden tüm ilgili nesnelerin nasıl kaldırılacağı açıklanır.

Şunlar için geçerlidir: Windows Server
Özgün KB numarası: 889250

Özet

Bir sertifika yetkilisini (CA) kaldırdığınızda, CA tarafından verilen sertifikalar genellikle hala olağanüstü durumda olur. Bekleyen sertifikalar çeşitli Ortak Anahtar Altyapısı istemci bilgisayarları tarafından işlenirse doğrulama başarısız olur ve bu sertifikalar kullanılmaz.

Bu makalede, bekleyen sertifikaların nasıl iptal edildiği ve CA'nın başarıyla kaldırılması için gereken diğer çeşitli görevlerin nasıl tamamlandığı açıklanır. Ayrıca, bu makalede etki alanınızdan CA nesnelerini kaldırmanıza yardımcı olmak için kullanabileceğiniz çeşitli yardımcı programlar açıklanmaktadır.

1. Adım - Kuruluş CA'sı tarafından verilen tüm etkin sertifikaları iptal etme

  1. Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve sertifika yetkilisi'ni seçin.
  2. CA'nızı genişletin ve Verilen Sertifikalar klasörünü seçin.
  3. Sağ bölmede, verilen sertifikalardan birini seçin ve ardından CTRL+A tuşlarına basarak verilen tüm sertifikaları seçin.
  4. Seçili sertifikalara sağ tıklayın, Tüm Görevler'i ve ardından Sertifikayı İptal Et'i seçin.
  5. Sertifika İptali iletişim kutusunda, iptal nedeni olarak İşlemi Durdur'u ve ardından Tamam'ı seçin.

2. Adım - CRL yayın aralığını artırma

  1. Sertifika Yetkilisi Microsoft Yönetim Konsolu (MMC) ek bileşeninde İptal Edilen Sertifikalar klasörüne sağ tıklayın ve özellikler'i seçin.
  2. CRL Yayın Aralığı kutusuna uygun bir uzun değer yazın ve Tamam'ı seçin.

Not

Sertifika İptal Listesi'nin (CRL) ömrü, iptal edilen sertifikalar için kalan yaşam süresinden uzun olmalıdır.

3. Adım - Yeni CRL yayımlama

  1. Sertifika Yetkilisi MMC ek bileşeninde İptal Edilen Sertifikalar klasörüne sağ tıklayın.
  2. Tüm Görevler'i ve ardından Yayımla'yı seçin.
  3. CRL Yayımla iletişim kutusunda Yeni CRL'yi ve ardından Tamam'ı seçin.

4. Adım - Bekleyen istekleri reddetme

Varsayılan olarak, kuruluş CA'sı sertifika isteklerini depolamaz. Ancak, bir yönetici bu varsayılan davranışı değiştirebilir. Bekleyen sertifika isteklerini reddetmek için şu adımları izleyin:

  1. Sertifika Yetkilisi MMC ek bileşeninde Bekleyen İstekler klasörünü seçin.
  2. Sağ bölmede bekleyen isteklerden birini seçin ve ardından CTRL+A tuşlarına basarak bekleyen tüm sertifikaları seçin.
  3. Seçili isteklere sağ tıklayın, Tüm Görevler'i ve ardından İsteği Reddet'i seçin.

5. Adım - Sertifika Hizmetlerini sunucudan kaldırma

  1. Sertifika Hizmetleri'ni durdurmak için Başlat'ı seçin, Çalıştır'ı seçin, cmd yazın ve tamam'ı seçin.

  2. Komut istemine certutil -shutdown yazın ve Enter tuşuna basın.

  3. Komut isteminde certutil -getreg DBDirectory yazın ve Enter tuşuna basın. Çıktıdaki DBLogDirectory değerini not edin. Örneğin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBDirectory:
  DBDirectory REG_SZ = C:\Windows\system32\CertLog
CertUtil: -getreg command completed successfully.

  4. Komut isteminde certutil -getreg DBLogDirectory yazın ve Enter tuşuna basın. Çıktıdaki DBLogDirectory değerini not edin. Örneğin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBLogDirectory:
  DBLogDirectory REG_SZ = C:\Windows\system32\CertLog
CertUtil: -getreg command completed successfully.

  5. Komut istemine certutil -getreg CA\CSP\Provider yazın ve Enter tuşuna basın. Çıktıdaki Sağlayıcı değerini not edin. Örneğin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:

  Provider REG_SZ = Microsoft Software Key Storage Provider
CertUtil: -getreg command completed successfully.

    Değer Microsoft Strong Şifreleme Sağlayıcısı veya Microsoft Gelişmiş Şifreleme Sağlayıcısı v1.0 ise, CertUtil -Key yazın ve Enter tuşuna basın.
    Değer Microsoft Yazılım Anahtarı Depolama Sağlayıcısı ise, CertUtil -CSP KSP -Key yazın ve Enter tuşuna basın.
    Değer başka bir değerse, CertUtil -CSP <PROVIDER NAME> -Key yazın ve Enter tuşuna basın.

    Bu komut, yüklü tüm şifreleme hizmeti sağlayıcılarının (CSP) adlarını ve her sağlayıcıyla ilişkili anahtar depolarını görüntüler. Listelenen anahtar depoları arasında ca'nızın adı yer alır. Ad, aşağıdaki örnekte gösterildiği gibi birkaç kez listelenir:

    (1)Microsoft Temel Şifreleme Sağlayıcısı v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Sunucusu
    Windows2000 Kurumsal Kök CA
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    NetMon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

    (5)Microsoft Gelişmiş Şifreleme Sağlayıcısı v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Sunucusu
    Windows2000 Kurumsal Kök CA
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    NetMon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

  6. CA ile ilişkili özel anahtarı silin. Bunu yapmak için komut isteminde aşağıdaki komutu yazın ve Enter tuşuna basın:

    CA CSP değeri Microsoft Strong Şifreleme Sağlayıcısı veya Microsoft Gelişmiş Şifreleme Sağlayıcısı v1.0 ise, aşağıdaki komutu yazın ve Enter tuşuna basın.

     certutil -delkey CertificateAuthorityName

    CA CSP değeri Microsoft Yazılım Anahtarı Depolama Sağlayıcısı ise, aşağıdaki komutu yazın ve Enter tuşuna basın.

     certutil -CSP KSP -delkey CertificateAuthorityName

    CA CSP değeri başka bir değerse, aşağıdaki komutu yazın ve Enter tuşuna basın.

    certutil -CSP \<PROVIDER NAME\> -delkey CertificateAuthorityName

    Not

    CA adınız boşluk içeriyorsa, adı tırnak içine alın. CA'nızda birden çok anahtar varsa, her anahtar için yukarıdaki komutu çalıştırmanız gerekir.

    Bu örnekte, sertifika yetkilisi adı Windows2000 Kurumsal Kök CA'dır. Bu nedenle, bu örnekteki komut satırı aşağıdaki gibidir:

    certutil -delkey "Windows2000 Enterprise Root CA"

  7. CA'nızın özel anahtarının silindiğini doğrulamak için anahtar depolarını yeniden listeleyin.

  8. CA'nızın özel anahtarını sildikten sonra Sertifika Hizmetleri'ni kaldırın. Bunu yapmak için, çalıştırdığınız Windows Server sürümüne bağlı olarak bu adımları izleyin.

    Bir kurumsal CA'yı kaldırıyorsanız, Enterprise Admins üyeliği veya eşdeğeri, bu yordamı tamamlamak için gereken en düşük değerdir. Daha fazla bilgi için bkz . Rol Tabanlı Yönetim Uygulama.

    CA'yı kaldırmak için şu adımları izleyin:

    1. Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve Sunucu Yöneticisi'yi seçin.
    2. Rol Özeti'nin altında Rolleri Kaldır'ı seçerek Rol Kaldırma Sihirbazı'nı başlatın ve ardından İleri'yi seçin.
    3. Active Directory Sertifika Hizmetleri onay kutusunu temizlemek için seçin ve ardından İleri'yi seçin.
    4. Kaldırma Seçeneklerini Onayla sayfasında, bilgileri gözden geçirin ve kaldır'ı seçin.
    5. Sertifika Yetkilisi Web Kaydı rolü yapılandırılmış ve çalışıyorsa ve kaldırma işlemine devam etmeden önce bu rolü kaldırmanız istenirse Tamam'ı seçin, önce bu rolü kaldırın ve yukarıdaki adımları yineleyin.
    6. Rolleri Kaldırma Sihirbazı tamamlandıktan sonra sunucuyu yeniden başlatın. Bu işlem kaldırma işlemini tamamlar.

    Tek bir sunucuda birden çok Active Directory Sertifika Hizmetleri (AD CS) rol hizmeti yüklüyse yordam biraz farklıdır. CA'yı kaldırmak ancak diğer AD CS rol hizmetlerini tutmak için aşağıdaki adımları izleyin.

    Not

    Bu yordamı tamamlamak için CA'yı yükleyen kullanıcıyla aynı izinlerle oturum açmanız gerekir. Bir kurumsal CA'yı kaldırıyorsanız, Enterprise Admins üyeliği veya eşdeğeri, bu yordamı tamamlamak için gereken en düşük değerdir. Daha fazla bilgi için bkz . Rol Tabanlı Yönetim Uygulama.

    1. Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve Sunucu Yöneticisi'yi seçin.
    2. Rol Özeti'nin altında Active Directory Sertifika Hizmetleri'ni seçin.
    3. Rol Hizmetleri'nin altında Rol Hizmetlerini Kaldır'ı seçin.
    4. Sertifika Yetkilisi onay kutusunu temizlemek için seçin ve ardından İleri'yi seçin.
    5. Kaldırma Seçeneklerini Onayla sayfasında, bilgileri gözden geçirin ve kaldır'ı seçin.
    6. IIS çalışıyorsa ve kaldırma işlemine devam etmeden önce hizmeti durdurmanız istenirse Tamam'ı seçin.
    7. Rol Kaldırma Sihirbazı tamamlandıktan sonra sunucuyu yeniden başlatmanız gerekir. Bu işlem kaldırma işlemini tamamlar.

    Çevrimiçi Yanıtlayıcı hizmeti gibi kalan rol hizmetleri kaldırılan CA'dan verileri kullanacak şekilde yapılandırılmışsa, bu hizmetleri farklı bir CA'yı destekleyecek şekilde yeniden yapılandırmanız gerekir. CA kaldırıldıktan sonra sunucuda aşağıdaki bilgiler bırakılır:

    • CA veritabanı.
    • CA ortak ve özel anahtarları.
    • Ca'nın kişisel deposundaki sertifikaları.
    • AD CS kurulumu sırasında paylaşılan bir klasör belirtildiyse, paylaşılan klasördeki CA'nın sertifikaları.
    • CA zincirinin Güvenilen Kök Sertifika Yetkilileri deposundaki kök sertifikası.
    • CA zincirinin Ara Sertifika Yetkilileri deposundaki ara sertifikaları.
    • CA'nın CRL'sini.

    Varsayılan olarak, CA'yı kaldırıp yeniden yüklerken bu bilgiler sunucuda tutulur. Örneğin, tek başına CA'yı kurumsal CA olarak değiştirmek istiyorsanız CA'yı kaldırıp yeniden yükleyebilirsiniz.

6. Adım - Active Directory'den CA nesnelerini kaldırma

Bir etki alanının üyesi olan bir sunucuya Microsoft Sertifika Hizmetleri yüklendiğinde, Active Directory'deki yapılandırma kapsayıcısında birkaç nesne oluşturulur.

Bu nesneler aşağıdaki gibidir:

  • certificateAuthority nesnesi

    • CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain konumunda bulunur.
    • CA için CA sertifikasını içerir.
    • Yayımlanan Yetkili Bilgileri Erişimi (AIA) konumu.

  • crlDistributionPoint nesnesi

    • CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com konumunda bulunur.
    • CA tarafından düzenli aralıklarla yayımlanan CRL'yi içerir.
    • Yayımlanan CRL Dağıtım Noktası (CDP) konumu.

  • certificationAuthority nesnesi

    • CN=Sertifika Yetkilileri,CN=Ortak Anahtar Hizmetleri,CN=Hizmetler,CN=Yapılandırma,DC=OrmanKökü,DC=com konumundadır.
    • CA için CA sertifikasını içerir.

  • pKIEnrollmentService nesnesi

    • CN=Kayıt Hizmetleri,CN=Ortak Anahtar Hizmetleri,CN=Hizmetler,CN=Yapılandırma,DC=ForestRoot,DC=com konumunda bulunur.
    • Kuruluş CA'sı tarafından oluşturulur.
    • CA'nın vermek üzere yapılandırdığı sertifika türleri hakkında bilgi içerir. Bu nesnedeki izinler, bu CA'ya hangi güvenlik sorumlularının kaydedilebileceğini denetleyebiliyor.

CA kaldırıldığında, yalnızca pKIEnrollmentService nesnesi kaldırılır. Bu, istemcilerin yetkisi alınmış CA'ya kaydolmaya çalışmasını engeller. CA tarafından verilen sertifikalar büyük olasılıkla hala olağanüstü olduğundan diğer nesneler korunur. Bu sertifikaların, 1. Adım - Kuruluş CA'sı tarafından verilen tüm etkin sertifikaları iptal etme bölümündeki yordama uyularak iptal edilmesi gerekir.

Ortak Anahtar Altyapısı (PKI) istemci bilgisayarlarının bu bekleyen sertifikaları başarıyla işlemesi için, bilgisayarların Active Directory'de Yetkili Bilgi Erişimi (AIA) ve CRL dağıtım noktası yollarını bulması gerekir. Tüm bekleyen sertifikaları iptal etmek, CRL'nin ömrünü uzatmak ve CRL'yi Active Directory'de yayımlamak iyi bir fikirdir. Bekleyen sertifikalar çeşitli PKI istemcileri tarafından işlenirse doğrulama başarısız olur ve bu sertifikalar kullanılmaz.

Active Directory'de CRL dağıtım noktasını ve AIA'yı korumak öncelikli değilse, bu nesneleri kaldırabilirsiniz. Eski etkin dijital sertifikalardan birini veya daha fazlasını işlemeyi bekliyorsanız bu nesneleri kaldırmayın.

Active Directory'den tüm Sertifika Hizmetleri nesnelerini kaldırma

Not

Active Directory ormanındaki tüm CA nesnelerini kaldırana kadar Active Directory'den sertifika şablonlarını kaldırmamalısınız.

Tüm Sertifika Hizmetleri nesnelerini Active Directory'den kaldırmak için şu adımları izleyin:

  1. CA'nın CACommonName değerini belirleyin. Bunun için aşağıdaki adımları izleyin:

    1. Başlat'ı seçin, Çalıştır'ı seçin, Aç kutusuna cmd yazın ve tamam'ı seçin.
    2. certutil yazın ve ENTER tuşuna basın.
    3. CA'nıza ait Olan Ad değerini not edin. Bu yordamın sonraki adımları için CACommonName gerekir.

  2. Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve ardından Active Directory Siteleri ve Hizmetleri'ni seçin.

  3. Görünüm menüsünde Hizmetler Düğümünü Göster'i seçin.

  4. Hizmetler'i genişletin, Ortak Anahtar Hizmetleri'ni genişletin ve ardından AIA klasörünü seçin.

  5. Sağ bölmede, CA'nız için CertificationAuthority nesnesine sağ tıklayın, Sil'i ve ardından Evet'i seçin.

  6. Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde CDP klasörünü seçin.

  7. Sağ bölmede, Sertifika Hizmetleri'nin yüklü olduğu sunucunun kapsayıcı nesnesini bulun. Kapsayıcıya sağ tıklayın, Sil'i ve ardından evet'i iki kez seçin.

  8. Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde Sertifika Yetkilileri düğümünü seçin.

  9. Sağ bölmede, CA'nız için CertificationAuthority nesnesine sağ tıklayın, Sil'i ve ardından Evet'i seçin.

  10. Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde Kayıt Hizmetleri düğümünü seçin.

  11. Sağ bölmede Sertifika Hizmetleri kaldırıldığında CA'nız için pKIEnrollmentService nesnesinin kaldırıldığını doğrulayın. Nesne silinmezse, nesneye sağ tıklayın, Sil'i ve ardından Evet'i seçin.

  12. Tüm nesneleri bulamadıysanız, bu adımları gerçekleştirdikten sonra bazı nesneler Active Directory'de bırakılabilir. Active Directory'de nesneleri kalmış olabilecek bir CA'dan sonra temizlemek için, herhangi bir AD nesnesinin kalıp kalmadığını belirlemek için şu adımları izleyin:

    1. Komut satırına aşağıdaki komutu yazın ve ENTER tuşuna basın:

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf

      Bu komutta, CACommonName 1. adımda belirlediğiniz Ad değerini temsil eder. Örneğin, Ad değeri CA1 Contoso ise, aşağıdakileri yazın:

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf

    2. Not Defteri'nde kalanCAobjects.ldf dosyasını açın. changetype: add terimini changetype: delete ile değiştirin. Ardından, sildiğiniz Active Directory nesnelerinin geçerli olup olmadığını doğrulayın.

    3. Komut isteminde, aşağıdaki komutu yazın ve ardından KALAN CA nesnelerini Active Directory'den silmek için ENTER tuşuna basın:

      ldifde -i -f remainingCAobjects.ldf

  13. Tüm sertifika yetkililerinin silindiğinden eminseniz sertifika şablonlarını silin. Herhangi bir AD nesnesinin kalıp kalmadığını belirlemek için 12. adımı yineleyin.

    Önemli

    Tüm sertifika yetkilileri silinmediği sürece sertifika şablonlarını silmemelisiniz. Şablonlar yanlışlıkla silinirse şu adımları izleyin:

    1. Sertifika Hizmetleri'ni Kuruluş yöneticisi olarak çalıştıran bir sunucuda oturum açtığınızdan emin olun.

    2. Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:

      cd %windir%\system32

    3. Aşağıdaki komutu yazın ve ENTER tuşuna basın:

      regsvr32 /i:i /n /s certcli.dll

      Bu eylem, Active Directory'de sertifika şablonlarını yeniden oluşturur.

    Sertifika şablonlarını silmek için aşağıdaki adımları izleyin.

    1. Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde Sertifika Şablonları klasörünü seçin.
    2. Sağ bölmede bir sertifika şablonu seçin ve ardından Ctrl+A tuşlarına basarak tüm şablonları seçin. Seçili şablonlara sağ tıklayın, Sil'i ve ardından Evet'i seçin.

7. Adım - NtAuthCertificates nesnesinde yayımlanan sertifikaları silme

CA nesnelerini sildikten sonra, nesnede yayımlanan NtAuthCertificates CA sertifikalarını silmeniz gerekir. Aşağıdaki komutlardan birini kullanarak depodan NTAuthCertificates sertifikaları silin:

certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Not

Bu görevi gerçekleştirmek için Kuruluş Yöneticisi izinlerine sahip olmanız gerekir.

Eylem, -viewdelstore belirtilen öznitelikteki sertifika kümesinde sertifika seçimi kullanıcı arabirimini çağırır. Sertifika ayrıntılarını görüntüleyebilirsiniz. Değişiklik yapmak için seçim iletişim kutusunu iptal edebilirsiniz. Bir sertifika seçerseniz, kullanıcı arabirimi kapatıldığında ve komut tam olarak yürütülürken bu sertifika silinir.

Active Directory'nizdeki NtAuthCertificates nesnesinin tam LDAP yolunu görmek için aşağıdaki komutu kullanın:

certutil -viewdelstore -? | findstr "CN=NTAuth"

8. Adım - CA veritabanını silme

Sertifika Hizmetleri kaldırıldığında CA veritabanı olduğu gibi bırakılır, böylece CA başka bir sunucuda yeniden oluşturulabilir.

CA veritabanını kaldırmak için veritabanını ve günlüğü içeren Certlog klasörünü silin. Bu, varsayılan olarak %systemroot%\System32\Certlog klasöründe depolanır.

Veritabanı ve günlükler klasörünün konumunu, Sunucu bölümünden 5. Adım - Sertifika Hizmetlerini Kaldırma bölümünde bulabilirsiniz.

9. Adım - Etki alanı denetleyicilerini temizleme

CA kaldırıldıktan sonra, etki alanı denetleyicilerine verilen sertifikaların kaldırılması gerekir.

Windows Server 2003 ve daha yeni etki alanı denetleyicilerine verilen sertifikaları kaldırmak için aşağıdaki adımları izleyin.

Önemli

Sürüm 1 etki alanı denetleyicisi şablonlarını temel alan sertifikalar kullanıyorsanız bu yordamı kullanmayın.

  1. Başlat'ı seçin, Çalıştır'ı seçin, cmd yazın ve ENTER tuşuna basın.

  2. Bir etki alanı denetleyicisindeki komut istemine certutil -dcinfo deleteBad yazın.

    Certutil.exe, etki alanı denetleyicilerine verilen tüm DC sertifikalarını doğrulamaya çalışır. Doğrulanmamış sertifikalar kaldırılır.

Grup ilkesinin uygulanmasını zorlamak için şu adımları izleyin:

  1. Başlat'ı seçin, Çalıştır'ı seçin, Aç kutusuna cmd yazın ve ENTER tuşuna basın.

  2. Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:

    gpupdate /force