如何从 Windows 2000/2003 域手动删除企业 Windows 证书颁发机构

项目
02/26/2024

本文由 Microsoft MVP Yuval Sinay 撰写。

适用于： Windows Server 2003
原始 KB 编号： 555151

症状

在某些组织中，企业 Windows 证书颁发机构有定期备份过程。如果软件/硬件) (服务器问题，则可能需要重新安装企业 Windows 证书颁发机构。在重新安装企业 Windows 证书颁发机构之前，可能需要手动删除属于原始企业 Windows 并驻留在 Windows Active Directory 中的对象和数据。

原因

企业 Windows 证书颁发机构将配置设置和数据保存在 Windows Active Directory 中。

解决方案

A. 备份：

建议在遵循此过程之前和之后备份包含 Active Directory 相关数据的所有节点，包括：

Windows 域控制器
Exchange Servers
Active Directory 连接器
Windows Server with Services for Unix
ISA Server Enterprise
企业 Windows 证书颁发机构

使用以下过程作为最后手段。它可能会影响生产环境，并可能需要重启某些节点/服务。

B. Active Directory Clean：

注意

使用具有以下权限的帐户登录到系统：

企业管理员
域管理员
证书颁发机构管理员
架构管理员 (充当架构主 FSMO 的服务器应在) 过程中联机。

若要从 Active Directory 中删除所有认证服务对象，请执行以下操作：

启动“Active Directory 站点和服务”。
选择“查看”菜单选项，然后选择“显示服务”节点。
展开“服务”，然后展开“公钥服务”。
选择“AIA”节点。
在右侧窗格中，找到证书颁发机构的“certificateAuthority”对象。删除对象。
选择“CDP”节点。
在右侧窗格中，找到安装认证服务的服务器的 Container 对象。删除容器及其包含的对象。
选择“证书颁发机构”节点。
在右侧窗格中，找到证书颁发机构的“certificateAuthority”对象。删除对象。
选择“注册服务”节点。
在右侧窗格中，验证证书颁发机构的“pKIEnrollmentService”对象是否删除。
选择“证书模板”节点。
在右侧窗格中，删除所有证书模板。

注意

仅当林中未安装其他企业 CA 时，才删除所有证书模板。如果无意中删除了模板，请从备份还原模板。
选择“公钥服务”节点并找到“NTAuthCertificates”对象。
如果林中没有安装其他企业版或独立 CA，请删除该对象，否则将其保留。
使用 Windows 资源工具包中的“Active Directory 站点和服务”或“Repadmin”命令强制复制到域/林中的其他域控制器。

域控制器清理

删除 CA 后，需要删除已颁发给所有域控制器的证书。可以使用资源工具包中的 DSSTORE.EXE 轻松完成此操作：

还可以使用 certutil 命令删除旧的域控制器证书：

在域控制器上的命令提示符处，键入： certutil -dcinfo deleteBad。
Certutil.exe 将尝试验证颁发给域控制器的所有 DC 证书。将删除无法验证的证书。此时，可以重新安装证书服务。安装完成后，新的根证书将发布到 Active Directory。域时
客户端会刷新其安全策略，它们会自动将新的根证书下载到其受信任的根存储中。 o 强制应用安全策略。
在命令提示符下，键入 gpupdate /target: computer。

注意

如果企业 Windows 证书颁发机构发布的计算机/用户证书或其他类型的证书 (Web Server 证书等) ，建议在重新安装企业 Windows 证书之前删除旧证书。

如何从 Windows 2000/2003 域手动删除企业 Windows 证书颁发机构

症状

原因

解决方案

域控制器清理

更多信息

反馈

反馈

其他资源