本文由 Microsoft MVP 尤瓦尔·西奈撰写。
适用于: Windows Server 2003
原始 KB 数: 555151
症状
在某些组织中,企业 Windows 证书颁发机构有常规的备份过程。 如果服务器出现问题(软件/硬件),可能需要重新安装企业 Windows 证书颁发机构。 在重新安装企业版 Windows 证书颁发机构之前,可能需要手动删除属于原始企业版 Windows 的对象和数据,这些对象和数据存储在 Windows Active Directory 中。
原因
企业 Windows 证书颁发机构将配置设置和数据保存在 Windows Active Directory 中。
决议
答: 备份:
建议你在遵循此过程之前和之后备份所有包含 Active Directory 相关数据的节点,包括:
- Windows 域控制器
- Exchange 服务器
- Active Directory 连接器
- 具有适用于 Unix 的服务的 Windows Server
- ISA Server 企业版
- 企业 Windows 证书颁发机构
使用以下过程作为最后手段。 它可能会影响生产环境,并且可能需要重启某些节点/服务。
B. Active Directory 清理:
注释
使用具有以下权限的帐户登录系统:
- 企业管理员
- 域管理员
- 证书颁发机构管理员
- 架构管理员(充当架构主机 FSMO 的服务器应在过程中联机)。
若要从 Active Directory 中删除所有认证服务对象,请执行以下操作:
启动“Active Directory 站点和服务”。
选择“视图”菜单选项,然后选择“显示服务”节点。
展开“服务”,然后展开“公钥服务”。
选择“AIA”节点。
在右侧窗格中,找到证书颁发机构的“certificateAuthority”对象。 删除对象。
选择“CDP”节点。
在右侧窗格中,找到安装认证服务的服务器的容器对象。 删除容器及其包含的对象。
选择“证书颁发机构”节点。
在右侧窗格中,找到证书颁发机构的“certificateAuthority”对象。 删除对象。
选择“注册服务”节点。
在右侧窗格中,验证您的证书颁发机构的“pKIEnrollmentService”对象,然后将其删除。
选择“证书模板”节点。
在右侧窗格中,删除所有证书模板。
注释
仅当林中未安装其他企业 CA 时,才删除所有证书模板。 如果无意中删除模板,请从备份还原模板。
选择“公钥服务”节点并找到“NTAuthCertificates”对象。
如果林中没有安装其他企业或独立 CA,请删除该对象,否则将其保留为单独对象。
使用 Windows 资源工具包中的“Active Directory 站点和服务”或
Repadmin命令,强制在域/林中的其他域控制器之间进行复制。
域控制器清理
关闭 CA 后,需要删除已颁发给所有域控制器的证书。 可以使用资源工具包中的DSSTORE.EXE轻松完成此操作:
还可以使用 certutil 命令删除旧的域控制器证书:
在域控制器上的命令提示符处,键入:
certutil -dcinfo deleteBad。Certutil.exe将尝试验证颁发给域控制器的所有 DC 证书。 将删除无法验证的证书。 此时,可以重新安装证书服务。 安装完成后,新的根证书将发布到 Active Directory。 域时
客户端刷新其安全策略,它们会自动将新的根证书下载到其受信任的根存储中。 o 强制应用安全策略。在命令提示符下键入
gpupdate /target: computer。注释
如果企业 Windows 证书颁发机构已发布计算机/用户证书或其他类型的证书(Web 服务器证书等),建议在重新安装企业 Windows 证书之前删除旧证书。
详细信息
社区解决方案内容声明
MICROSOFT公司及其各自的供应商对此处包含的信息和相关图形的适用性、可靠性或准确性没有陈述。 所有这些信息和相关的图形都“按原样”提供,没有任何保证。 MICROSOFT及其各自的供应商特此声明不对本信息及相关图形提供任何保证和条件,包括所有默示的适销性保证和条件、特定用途适用性、专业努力、所有权和不侵权的保证和条件。 您明确同意,在任何情况下,MICROSOFT及/或其供应商均不对任何直接、间接、惩罚性、偶然性、特殊性或后果性损害负责,包括但不限于使用或无法使用此处包含的信息和相关图形而导致的使用损失、数据丢失或利润损失造成的任何损害。无论是基于合同、侵权、过失、严格责任还是其他原因,即使MICROSOFT或其任何供应商已被告知可能发生损害的情况。