Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu adım adım makalede, Microsoft Windows kurumsal CA'sının yetkisini alma ve Active Directory dizin hizmetinden tüm ilgili nesnelerin nasıl kaldırılacağı açıklanır.
Şunlar için geçerlidir: Windows Server
Özgün KB numarası: 889250
Özet
Bir sertifika yetkilisini (CA) kaldırdığınızda, CA tarafından verilen sertifikalar genellikle hala olağanüstü durumda olur. Bekleyen sertifikalar çeşitli Ortak Anahtar Altyapısı istemci bilgisayarları tarafından işlenirse doğrulama başarısız olur ve bu sertifikalar kullanılmaz.
Bu makalede, bekleyen sertifikaların nasıl iptal edildiği ve CA'nın başarıyla kaldırılması için gereken diğer çeşitli görevlerin nasıl tamamlandığı açıklanır. Ayrıca, bu makalede etki alanınızdan CA nesnelerini kaldırmanıza yardımcı olmak için kullanabileceğiniz çeşitli yardımcı programlar açıklanmaktadır.
1. Adım - Kuruluş CA'sı tarafından verilen tüm etkin sertifikaları iptal etme
- Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve sertifika yetkilisi'ni seçin.
- CA'nızı genişletin ve Verilen Sertifikalar klasörünü seçin.
- Sağ bölmede, verilen sertifikalardan birini seçin ve ardından CTRL+A tuşlarına basarak verilen tüm sertifikaları seçin.
- Seçili sertifikalara sağ tıklayın, Tüm Görevler'i ve ardından Sertifikayı İptal Et'i seçin.
- Sertifika İptali iletişim kutusunda, iptal nedeni olarak İşlemi Durdur'u ve ardından Tamam'ı seçin.
2. Adım - CRL yayın aralığını artırma
- Sertifika Yetkilisi Microsoft Yönetim Konsolu (MMC) ek bileşeninde İptal Edilen Sertifikalar klasörüne sağ tıklayın ve özellikler'i seçin.
- CRL Yayın Aralığı kutusuna uygun bir uzun değer yazın ve Tamam'ı seçin.
Not
Sertifika İptal Listesi'nin (CRL) ömrü, iptal edilen sertifikalar için kalan yaşam süresinden uzun olmalıdır.
3. Adım - Yeni CRL yayımlama
- Sertifika Yetkilisi MMC ek bileşeninde İptal Edilen Sertifikalar klasörüne sağ tıklayın.
- Tüm Görevler'i ve ardından Yayımla'yı seçin.
- CRL Yayımla iletişim kutusunda Yeni CRL'yi ve ardından Tamam'ı seçin.
4. Adım - Bekleyen istekleri reddetme
Varsayılan olarak, kuruluş CA'sı sertifika isteklerini depolamaz. Ancak, bir yönetici bu varsayılan davranışı değiştirebilir. Bekleyen sertifika isteklerini reddetmek için şu adımları izleyin:
- Sertifika Yetkilisi MMC ek bileşeninde Bekleyen İstekler klasörünü seçin.
- Sağ bölmede bekleyen isteklerden birini seçin ve ardından CTRL+A tuşlarına basarak bekleyen tüm sertifikaları seçin.
- Seçili isteklere sağ tıklayın, Tüm Görevler'i ve ardından İsteği Reddet'i seçin.
5. Adım - Sertifika Hizmetlerini sunucudan kaldırma
Sertifika Hizmetleri'ni durdurmak için Başlat'ı seçin, Çalıştır'ı seçin, cmd yazın ve tamam'ı seçin.
Komut istemine certutil -shutdown yazın ve Enter tuşuna basın.
Komut isteminde certutil -getreg DBDirectory yazın ve Enter tuşuna basın. Çıktıdaki DBLogDirectory değerini not edin. Örneğin:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBDirectory: DBDirectory REG_SZ = C:\Windows\system32\CertLog CertUtil: -getreg command completed successfully.
Komut isteminde certutil -getreg DBLogDirectory yazın ve Enter tuşuna basın. Çıktıdaki DBLogDirectory değerini not edin. Örneğin:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBLogDirectory: DBLogDirectory REG_SZ = C:\Windows\system32\CertLog CertUtil: -getreg command completed successfully.
Komut istemine certutil -getreg CA\CSP\Provider yazın ve Enter tuşuna basın. Çıktıdaki Sağlayıcı değerini not edin. Örneğin:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp: Provider REG_SZ = Microsoft Software Key Storage Provider CertUtil: -getreg command completed successfully.
Değer Microsoft Strong Şifreleme Sağlayıcısı veya Microsoft Gelişmiş Şifreleme Sağlayıcısı v1.0 ise, CertUtil -Key yazın ve Enter tuşuna basın.
Değer Microsoft Yazılım Anahtarı Depolama Sağlayıcısı ise, CertUtil -CSP KSP -Key yazın ve Enter tuşuna basın.
Değer başka bir değerse, CertUtil -CSP <PROVIDER NAME> -Key yazın ve Enter tuşuna basın.Bu komut, yüklü tüm şifreleme hizmeti sağlayıcılarının (CSP) adlarını ve her sağlayıcıyla ilişkili anahtar depolarını görüntüler. Listelenen anahtar depoları arasında ca'nızın adı yer alır. Ad, aşağıdaki örnekte gösterildiği gibi birkaç kez listelenir:
(1)Microsoft Temel Şifreleme Sağlayıcısı v1.0:
1a3b2f44-2540-408b-8867-51bd6b6ed413
MS IIS DCOM ClientSYSTEMS-1-5-18
MS IIS DCOM Sunucusu
Windows2000 Kurumsal Kök CA
MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500(5)Microsoft Gelişmiş Şifreleme Sağlayıcısı v1.0:
1a3b2f44-2540-408b-8867-51bd6b6ed413
MS IIS DCOM ClientSYSTEMS-1-5-18
MS IIS DCOM Sunucusu
Windows2000 Kurumsal Kök CA
MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500CA ile ilişkili özel anahtarı silin. Bunu yapmak için komut isteminde aşağıdaki komutu yazın ve Enter tuşuna basın:
CA CSP değeri Microsoft Strong Şifreleme Sağlayıcısı veya Microsoft Gelişmiş Şifreleme Sağlayıcısı v1.0 ise, aşağıdaki komutu yazın ve Enter tuşuna basın.
certutil -delkey CertificateAuthorityName
CA CSP değeri Microsoft Yazılım Anahtarı Depolama Sağlayıcısı ise, aşağıdaki komutu yazın ve Enter tuşuna basın.
certutil -CSP KSP -delkey CertificateAuthorityName
CA CSP değeri başka bir değerse, aşağıdaki komutu yazın ve Enter tuşuna basın.
certutil -CSP \<PROVIDER NAME\> -delkey CertificateAuthorityName
Not
CA adınız boşluk içeriyorsa, adı tırnak içine alın. CA'nızda birden çok anahtar varsa, her anahtar için yukarıdaki komutu çalıştırmanız gerekir.
Bu örnekte, sertifika yetkilisi adı Windows2000 Kurumsal Kök CA'dır. Bu nedenle, bu örnekteki komut satırı aşağıdaki gibidir:
certutil -delkey "Windows2000 Enterprise Root CA"
CA'nızın özel anahtarının silindiğini doğrulamak için anahtar depolarını yeniden listeleyin.
CA'nızın özel anahtarını sildikten sonra Sertifika Hizmetleri'ni kaldırın. Bunu yapmak için, çalıştırdığınız Windows Server sürümüne bağlı olarak bu adımları izleyin.
Bir kurumsal CA'yı kaldırıyorsanız, Enterprise Admins üyeliği veya eşdeğeri, bu yordamı tamamlamak için gereken en düşük değerdir. Daha fazla bilgi için bkz . Rol Tabanlı Yönetim Uygulama.
CA'yı kaldırmak için şu adımları izleyin:
- Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve Sunucu Yöneticisi'yi seçin.
- Rol Özeti'nin altında Rolleri Kaldır'ı seçerek Rol Kaldırma Sihirbazı'nı başlatın ve ardından İleri'yi seçin.
- Active Directory Sertifika Hizmetleri onay kutusunu temizlemek için seçin ve ardından İleri'yi seçin.
- Kaldırma Seçeneklerini Onayla sayfasında, bilgileri gözden geçirin ve kaldır'ı seçin.
- Sertifika Yetkilisi Web Kaydı rolü yapılandırılmış ve çalışıyorsa ve kaldırma işlemine devam etmeden önce bu rolü kaldırmanız istenirse Tamam'ı seçin, önce bu rolü kaldırın ve yukarıdaki adımları yineleyin.
- Rolleri Kaldırma Sihirbazı tamamlandıktan sonra sunucuyu yeniden başlatın. Bu işlem kaldırma işlemini tamamlar.
Tek bir sunucuda birden çok Active Directory Sertifika Hizmetleri (AD CS) rol hizmeti yüklüyse yordam biraz farklıdır. CA'yı kaldırmak ancak diğer AD CS rol hizmetlerini tutmak için aşağıdaki adımları izleyin.
Not
Bu yordamı tamamlamak için CA'yı yükleyen kullanıcıyla aynı izinlerle oturum açmanız gerekir. Bir kurumsal CA'yı kaldırıyorsanız, Enterprise Admins üyeliği veya eşdeğeri, bu yordamı tamamlamak için gereken en düşük değerdir. Daha fazla bilgi için bkz . Rol Tabanlı Yönetim Uygulama.
- Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve Sunucu Yöneticisi'yi seçin.
- Rol Özeti'nin altında Active Directory Sertifika Hizmetleri'ni seçin.
- Rol Hizmetleri'nin altında Rol Hizmetlerini Kaldır'ı seçin.
- Sertifika Yetkilisi onay kutusunu temizlemek için seçin ve ardından İleri'yi seçin.
- Kaldırma Seçeneklerini Onayla sayfasında, bilgileri gözden geçirin ve kaldır'ı seçin.
- IIS çalışıyorsa ve kaldırma işlemine devam etmeden önce hizmeti durdurmanız istenirse Tamam'ı seçin.
- Rol Kaldırma Sihirbazı tamamlandıktan sonra sunucuyu yeniden başlatmanız gerekir. Bu işlem kaldırma işlemini tamamlar.
Çevrimiçi Yanıtlayıcı hizmeti gibi kalan rol hizmetleri kaldırılan CA'dan verileri kullanacak şekilde yapılandırılmışsa, bu hizmetleri farklı bir CA'yı destekleyecek şekilde yeniden yapılandırmanız gerekir. CA kaldırıldıktan sonra sunucuda aşağıdaki bilgiler bırakılır:
- CA veritabanı.
- CA ortak ve özel anahtarları.
- Ca'nın kişisel deposundaki sertifikaları.
- AD CS kurulumu sırasında paylaşılan bir klasör belirtildiyse, paylaşılan klasördeki CA'nın sertifikaları.
- CA zincirinin Güvenilen Kök Sertifika Yetkilileri deposundaki kök sertifikası.
- CA zincirinin Ara Sertifika Yetkilileri deposundaki ara sertifikaları.
- CA'nın CRL'sini.
Varsayılan olarak, CA'yı kaldırıp yeniden yüklerken bu bilgiler sunucuda tutulur. Örneğin, tek başına CA'yı kurumsal CA olarak değiştirmek istiyorsanız CA'yı kaldırıp yeniden yükleyebilirsiniz.
6. Adım - Active Directory'den CA nesnelerini kaldırma
Bir etki alanının üyesi olan bir sunucuya Microsoft Sertifika Hizmetleri yüklendiğinde, Active Directory'deki yapılandırma kapsayıcısında birkaç nesne oluşturulur.
Bu nesneler aşağıdaki gibidir:
certificateAuthority nesnesi
- CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain konumunda bulunur.
- CA için CA sertifikasını içerir.
- Yayımlanan Yetkili Bilgileri Erişimi (AIA) konumu.
crlDistributionPoint nesnesi
- CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com konumunda bulunur.
- CA tarafından düzenli aralıklarla yayımlanan CRL'yi içerir.
- Yayımlanan CRL Dağıtım Noktası (CDP) konumu.
certificationAuthority nesnesi
- CN=Sertifika Yetkilileri,CN=Ortak Anahtar Hizmetleri,CN=Hizmetler,CN=Yapılandırma,DC=OrmanKökü,DC=com konumundadır.
- CA için CA sertifikasını içerir.
pKIEnrollmentService nesnesi
- CN=Kayıt Hizmetleri,CN=Ortak Anahtar Hizmetleri,CN=Hizmetler,CN=Yapılandırma,DC=ForestRoot,DC=com konumunda bulunur.
- Kuruluş CA'sı tarafından oluşturulur.
- CA'nın vermek üzere yapılandırdığı sertifika türleri hakkında bilgi içerir. Bu nesnedeki izinler, bu CA'ya hangi güvenlik sorumlularının kaydedilebileceğini denetleyebiliyor.
CA kaldırıldığında, yalnızca pKIEnrollmentService nesnesi kaldırılır. Bu, istemcilerin yetkisi alınmış CA'ya kaydolmaya çalışmasını engeller. CA tarafından verilen sertifikalar büyük olasılıkla hala olağanüstü olduğundan diğer nesneler korunur. Bu sertifikaların, 1. Adım - Kuruluş CA'sı tarafından verilen tüm etkin sertifikaları iptal etme bölümündeki yordama uyularak iptal edilmesi gerekir.
Ortak Anahtar Altyapısı (PKI) istemci bilgisayarlarının bu bekleyen sertifikaları başarıyla işlemesi için, bilgisayarların Active Directory'de Yetkili Bilgi Erişimi (AIA) ve CRL dağıtım noktası yollarını bulması gerekir. Tüm bekleyen sertifikaları iptal etmek, CRL'nin ömrünü uzatmak ve CRL'yi Active Directory'de yayımlamak iyi bir fikirdir. Bekleyen sertifikalar çeşitli PKI istemcileri tarafından işlenirse doğrulama başarısız olur ve bu sertifikalar kullanılmaz.
Active Directory'de CRL dağıtım noktasını ve AIA'yı korumak öncelikli değilse, bu nesneleri kaldırabilirsiniz. Eski etkin dijital sertifikalardan birini veya daha fazlasını işlemeyi bekliyorsanız bu nesneleri kaldırmayın.
Active Directory'den tüm Sertifika Hizmetleri nesnelerini kaldırma
Not
Active Directory ormanındaki tüm CA nesnelerini kaldırana kadar Active Directory'den sertifika şablonlarını kaldırmamalısınız.
Tüm Sertifika Hizmetleri nesnelerini Active Directory'den kaldırmak için şu adımları izleyin:
CA'nın CACommonName değerini belirleyin. Bunun için aşağıdaki adımları izleyin:
- Başlat'ı seçin, Çalıştır'ı seçin, Aç kutusuna cmd yazın ve tamam'ı seçin.
- certutil yazın ve ENTER tuşuna basın.
- CA'nıza ait Olan Ad değerini not edin. Bu yordamın sonraki adımları için CACommonName gerekir.
Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve ardından Active Directory Siteleri ve Hizmetleri'ni seçin.
Görünüm menüsünde Hizmetler Düğümünü Göster'i seçin.
Hizmetler'i genişletin, Ortak Anahtar Hizmetleri'ni genişletin ve ardından AIA klasörünü seçin.
Sağ bölmede, CA'nız için CertificationAuthority nesnesine sağ tıklayın, Sil'i ve ardından Evet'i seçin.
Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde CDP klasörünü seçin.
Sağ bölmede, Sertifika Hizmetleri'nin yüklü olduğu sunucunun kapsayıcı nesnesini bulun. Kapsayıcıya sağ tıklayın, Sil'i ve ardından evet'i iki kez seçin.
Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde Sertifika Yetkilileri düğümünü seçin.
Sağ bölmede, CA'nız için CertificationAuthority nesnesine sağ tıklayın, Sil'i ve ardından Evet'i seçin.
Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde Kayıt Hizmetleri düğümünü seçin.
Sağ bölmede Sertifika Hizmetleri kaldırıldığında CA'nız için pKIEnrollmentService nesnesinin kaldırıldığını doğrulayın. Nesne silinmezse, nesneye sağ tıklayın, Sil'i ve ardından Evet'i seçin.
Tüm nesneleri bulamadıysanız, bu adımları gerçekleştirdikten sonra bazı nesneler Active Directory'de bırakılabilir. Active Directory'de nesneleri kalmış olabilecek bir CA'dan sonra temizlemek için, herhangi bir AD nesnesinin kalıp kalmadığını belirlemek için şu adımları izleyin:
Komut satırına aşağıdaki komutu yazın ve ENTER tuşuna basın:
ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf
Bu komutta, CACommonName 1. adımda belirlediğiniz Ad değerini temsil eder. Örneğin, Ad değeri CA1 Contoso ise, aşağıdakileri yazın:
ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf
Not Defteri'nde kalanCAobjects.ldf dosyasını açın. changetype: add terimini changetype: delete ile değiştirin. Ardından, sildiğiniz Active Directory nesnelerinin geçerli olup olmadığını doğrulayın.
Komut isteminde, aşağıdaki komutu yazın ve ardından KALAN CA nesnelerini Active Directory'den silmek için ENTER tuşuna basın:
ldifde -i -f remainingCAobjects.ldf
Tüm sertifika yetkililerinin silindiğinden eminseniz sertifika şablonlarını silin. Herhangi bir AD nesnesinin kalıp kalmadığını belirlemek için 12. adımı yineleyin.
Önemli
Tüm sertifika yetkilileri silinmediği sürece sertifika şablonlarını silmemelisiniz. Şablonlar yanlışlıkla silinirse şu adımları izleyin:
Sertifika Hizmetleri'ni Kuruluş yöneticisi olarak çalıştıran bir sunucuda oturum açtığınızdan emin olun.
Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:
cd %windir%\system32
Aşağıdaki komutu yazın ve ENTER tuşuna basın:
regsvr32 /i:i /n /s certcli.dll
Bu eylem, Active Directory'de sertifika şablonlarını yeniden oluşturur.
Sertifika şablonlarını silmek için aşağıdaki adımları izleyin.
- Active Directory Siteleri ve Hizmetleri MMC ek bileşeninin sol bölmesinde Sertifika Şablonları klasörünü seçin.
- Sağ bölmede bir sertifika şablonu seçin ve ardından Ctrl+A tuşlarına basarak tüm şablonları seçin. Seçili şablonlara sağ tıklayın, Sil'i ve ardından Evet'i seçin.
7. Adım - NtAuthCertificates nesnesinde yayımlanan sertifikaları silme
CA nesnelerini sildikten sonra, nesnede yayımlanan NtAuthCertificates
CA sertifikalarını silmeniz gerekir. Aşağıdaki komutlardan birini kullanarak depodan NTAuthCertificates
sertifikaları silin:
certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"
certutil -viewdelstore "ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"
Not
Bu görevi gerçekleştirmek için Kuruluş Yöneticisi izinlerine sahip olmanız gerekir.
Eylem, -viewdelstore
belirtilen öznitelikteki sertifika kümesinde sertifika seçimi kullanıcı arabirimini çağırır. Sertifika ayrıntılarını görüntüleyebilirsiniz. Değişiklik yapmak için seçim iletişim kutusunu iptal edebilirsiniz. Bir sertifika seçerseniz, kullanıcı arabirimi kapatıldığında ve komut tam olarak yürütülürken bu sertifika silinir.
Active Directory'nizdeki NtAuthCertificates nesnesinin tam LDAP yolunu görmek için aşağıdaki komutu kullanın:
certutil -viewdelstore -? | findstr "CN=NTAuth"
8. Adım - CA veritabanını silme
Sertifika Hizmetleri kaldırıldığında CA veritabanı olduğu gibi bırakılır, böylece CA başka bir sunucuda yeniden oluşturulabilir.
CA veritabanını kaldırmak için veritabanını ve günlüğü içeren Certlog klasörünü silin. Bu, varsayılan olarak %systemroot%\System32\Certlog klasöründe depolanır.
Veritabanı ve günlükler klasörünün konumunu, Sunucu bölümünden 5. Adım - Sertifika Hizmetlerini Kaldırma bölümünde bulabilirsiniz.
9. Adım - Etki alanı denetleyicilerini temizleme
CA kaldırıldıktan sonra, etki alanı denetleyicilerine verilen sertifikaların kaldırılması gerekir.
Windows Server 2003 ve daha yeni etki alanı denetleyicilerine verilen sertifikaları kaldırmak için aşağıdaki adımları izleyin.
Önemli
Sürüm 1 etki alanı denetleyicisi şablonlarını temel alan sertifikalar kullanıyorsanız bu yordamı kullanmayın.
Başlat'ı seçin, Çalıştır'ı seçin, cmd yazın ve ENTER tuşuna basın.
Bir etki alanı denetleyicisindeki komut istemine certutil -dcinfo deleteBad yazın.
Certutil.exe, etki alanı denetleyicilerine verilen tüm DC sertifikalarını doğrulamaya çalışır. Doğrulanmamış sertifikalar kaldırılır.
Grup ilkesinin uygulanmasını zorlamak için şu adımları izleyin:
Başlat'ı seçin, Çalıştır'ı seçin, Aç kutusuna cmd yazın ve ENTER tuşuna basın.
Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:
gpupdate /force