Windows 2008 R2 CA và đăng ký tự động: làm thế nào để thoát khỏi> 100.000 chứng chỉ được cấp?

14

Vấn đề cơ bản mà tôi gặp phải là tôi có> 100.000 chứng chỉ máy vô dụng làm lộn xộn CA của tôi và tôi muốn xóa chúng, mà không xóa tất cả các certs, hoặc nhảy lên máy chủ trước và vô hiệu hóa một số certs hữu ích trên ở đó

Điều này xảy ra do việc chấp nhận một vài mặc định với Enterprise Root CA (2008 R2) của chúng tôi và sử dụng GPOmáy khách để đăng ký tự động để lấy chứng chỉ để cho phép 802.1xxác thực với mạng không dây của công ty chúng tôi.

Hóa ra mặc định Computer (Machine) Certificate Templatesẽ vui vẻ cho phép các máy đăng ký lại thay vì hướng dẫn họ sử dụng chứng chỉ mà họ đã có. Điều này đang tạo ra một số vấn đề cho anh chàng (tôi), người hy vọng sẽ sử dụng Tổ chức phát hành chứng chỉ nhiều hơn nhật ký mỗi khi máy trạm được khởi động lại.

Đôi mắt kỳ dị của tôi!

(Thanh cuộn ở bên cạnh đang nằm, nếu bạn kéo nó xuống dưới cùng, màn hình sẽ tạm dừng và tải vài chục certs tiếp theo.)

Có ai biết làm thế nào để XÓA 100.000 chứng chỉ hiện có, hợp lệ từ Windows Server 2008R2 CA không?

Khi tôi xóa một chứng chỉ bây giờ, bây giờ, tôi gặp một lỗi mà nó không thể xóa được vì nó vẫn còn hiệu lực. Vì vậy, lý tưởng nhất, một số cách để tạm thời khắc phục lỗi đó, vì Mark Henderson đã cung cấp một cách để xóa các chứng chỉ bằng một tập lệnh một khi rào cản đó được xóa.

(Thu hồi chúng không phải là một tùy chọn, vì nó chỉ di chuyển chúng đến Revoked Certificates, mà chúng ta cần có thể xem và chúng cũng không thể bị xóa khỏi "thư mục" bị thu hồi.)

Cập nhật:

Tôi đã thử trang web @MarkHenderson được liên kết , có triển vọng và cung cấp khả năng quản lý chứng chỉ tốt hơn nhiều, nhưng vẫn không hoàn toàn đạt được điều đó. Điều khó khăn trong trường hợp của tôi dường như là các chứng chỉ vẫn còn "hợp lệ về thời gian" (chưa hết hạn) nên CA không muốn để chúng bị xóa khỏi sự tồn tại và điều này cũng áp dụng cho các certs bị thu hồi, do đó, thu hồi tất cả chúng và sau đó xóa chúng sẽ không hoạt động.

Tôi cũng đã tìm thấy blog kỹ thuật này với Google-Fu của tôi , nhưng thật không may, họ dường như chỉ phải xóa một số lượng lớn yêu cầu chứng chỉ, không phải chứng chỉ thực tế.

Cuối cùng, hiện tại, thời gian nhảy CA về phía trước để các chứng chỉ tôi muốn thoát khỏi hết hạn và do đó có thể bị xóa bằng các công cụ tại trang web Mark được liên kết không phải là một lựa chọn tuyệt vời, vì sẽ hết hạn một số chứng chỉ hợp lệ chúng tôi sử dụng mà phải được ban hành bằng tay. Vì vậy, đó là một lựa chọn tốt hơn so với việc xây dựng lại CA, nhưng không phải là một lựa chọn tuyệt vời.

windows  active-directory  windows-server-2008-r2  group-policy  certificate-authority 
Vô vọngN00b
nguồn

Câu trả lời:

8

Tôi chưa thử điều này, nhưng có một nhà cung cấp PKI PowerShell từ https://pspki.codeplex.com/ có rất nhiều chức năng tìm kiếm thú vị như Revoke-Certificatesau Remove-Request:

Xóa hàng yêu cầu chứng chỉ được chỉ định khỏi Cơ sở dữ liệu Chứng nhận (CA).

Lệnh này có thể được sử dụng để giảm kích thước cơ sở dữ liệu CA, bằng cách xóa các yêu cầu chứng chỉ không cần thiết. Ví dụ: xóa các yêu cầu không thành công và chứng chỉ hết hạn không sử dụng.

Lưu ý: sau khi bạn xóa hàng cụ thể, bạn sẽ không thể truy xuất bất kỳ thuộc tính nào và (nếu cần) thu hồi chứng chỉ tương ứng.

Đánh dấu Henderson
nguồn
Xuất sắc! Tôi xin chào Google-Fu cấp trên của bạn và sẽ thử vào ngày mai.
HoplessN00b
1
Gần như rực rỡ, chết tiệt. Không thể thu hồi chứng chỉ "thời gian hợp lệ" được cấp hoặc thu hồi vì certserv sẽ không cho phép bạn. Vì vậy, tôi đoán rằng tôi đang sử dụng máy chủ ngoại tuyến-ish, nhảy đồng hồ trước một vài năm và sau đó thử điều này. thở dài Một ngày cuối tuần với công việc. blog.technet.com/b/askds/archive/2010/08/31/ từ
2

Ruột của tôi nói hãy lau sạch nó và bắt đầu lại mà không gặp rắc rối và bạn sẽ hạnh phúc sau đó nhưng nếu bạn đã thay đổi nó để lưu trữ certs trong AD (lý tưởng) và bạn lau và bắt đầu lại, bạn vẫn sẽ có một tấn trong số các certs không có thật họ sẽ ở trong AD được đính kèm với tất cả các tài khoản máy tính thay vì trên CA. Vì vậy, đó là một mớ hỗn độn thực sự.

Cuộc gọi khó khăn. Bạn có thể thu hồi như bạn đã nói nhưng tôi không tin rằng bạn có thể loại bỏ chúng hoàn toàn khỏi CA mmc.

Nếu bạn bắt đầu lại, hãy làm theo các bước ở đây để làm điều đó càng sạch càng tốt

Paul Ackerman
nguồn
Đã có một mớ hỗn độn trong AD, nhờ vào ... 4 (?) CA cuối cùng mà cái này thay thế không được ngừng hoạt động đúng cách / cả. (Không đề cập đến tất cả các "nội dung khác" sai trong miền của chúng tôi.) Dù sao chúng tôi cũng sẽ sớm đến một tên miền mới, vì vậy tôi không chắc liệu khoản thanh toán đó có xứng đáng với thời gian tôi phải bỏ ra để nhận được không Điều này được thực hiện sạch sẽ.
HoplessN00b
2

Vì tôi không muốn tìm thêm ~ 4000 chứng chỉ được cấp vào ngày hôm sau, tôi đã dừng việc cấp chứng chỉ bừa bãi bằng cách xóa "Mẫu chứng chỉ" "Máy tính" mặc định và thêm một bản sao của chứng chỉ được đặt thành Publish certificate in Active DirectoryDo not automatically reenroll if a duplicate certificate exists in Active Directory.

  • Mặc định là gì

Vẫn còn cho tôi vấn đề làm thế nào để loại bỏ những cái đã có trong đó, nhưng đó là một sự khởi đầu.

Vô vọngN00b
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.