Comment désactiver une autorité de certification d’entreprise Windows et supprimer tous les objets associés

  • Article

Cet article pas à pas explique comment désactiver une autorité de certification d’entreprise Microsoft Windows et comment supprimer tous les objets associés du service d’annuaire Active Directory.

S’applique à : Windows Server
Numéro de la base de connaissances d’origine : 889250

Résumé

Lorsque vous désinstallez une autorité de certification, les certificats émis par l’autorité de certification sont généralement toujours en attente. Si les certificats en attente sont traités par les différents ordinateurs clients de l’infrastructure à clé publique, la validation échoue et ces certificats ne sont pas utilisés.

Cet article explique comment révoquer les certificats en attente et comment effectuer diverses autres tâches requises pour désinstaller correctement une autorité de certification. En outre, cet article décrit plusieurs utilitaires que vous pouvez utiliser pour vous aider à supprimer des objets d’autorité de certification de votre domaine.

Étape 1 : Révoquer tous les certificats actifs émis par l’autorité de certification d’entreprise

  1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Autorité de certification.
  2. Développez votre autorité de certification, puis sélectionnez le dossier Certificats émis.
  3. Dans le volet droit, sélectionnez l’un des certificats émis, puis appuyez sur Ctrl+A pour sélectionner tous les certificats émis.
  4. Cliquez avec le bouton droit sur les certificats sélectionnés, sélectionnez Toutes les tâches, puis sélectionnez Révoquer le certificat.
  5. Dans la boîte de dialogue Révocation de certificat , sélectionnez Arrêt de l’opération comme raison de la révocation, puis sélectionnez OK.

Étape 2 : Augmenter l’intervalle de publication de la liste de révocation de certificats

  1. Dans le composant logiciel enfichable MMC (Autorité de certification), cliquez avec le bouton droit sur le dossier Certificats révoqués , puis sélectionnez Propriétés.
  2. Dans la zone Intervalle de publication de liste de révocation de certificats, tapez une valeur de longueur adaptée, puis sélectionnez OK.

Remarque

La durée de vie de la liste de révocation de certificats (CRL) doit être plus longue que celle restante pour les certificats qui ont été révoqués.

Étape 3 : Publier une nouvelle liste de révocation de certificats

  1. Dans le composant logiciel enfichable MMC Autorité de certification, cliquez avec le bouton droit sur le dossier Certificats révoqués.
  2. Sélectionnez Toutes les tâches, puis Publier.
  3. Dans la boîte de dialogue Publier la liste de révocation de certificats, sélectionnez Nouvelle liste de révocation de certificats, puis sélectionnez OK.

Étape 4 : Refuser toute demande en attente

Par défaut, une autorité de certification d’entreprise ne stocke pas les demandes de certificat. Toutefois, un administrateur peut modifier ce comportement par défaut. Pour refuser les demandes de certificat en attente, procédez comme suit :

  1. Dans le composant logiciel enfichable MMC Autorité de certification, sélectionnez le dossier Demandes en attente.
  2. Dans le volet droit, sélectionnez l’une des demandes en attente, puis appuyez sur Ctrl+A pour sélectionner tous les certificats en attente.
  3. Cliquez avec le bouton droit sur les demandes sélectionnées, sélectionnez Toutes les tâches, puis refuser la demande.

Étape 5 : Désinstaller les services de certificats du serveur

  1. Pour arrêter les services de certificats, sélectionnez Démarrer, Exécuter, tapez cmd, puis sélectionnez OK.

  2. À l’invite de commandes, tapez certutil -shutdown, puis appuyez sur Entrée.

  3. À l’invite de commandes, tapez certutil -getreg CA\CSP\Provider, puis appuyez sur Entrée. Notez la valeur Provider dans la sortie. Par exemple :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:

  Provider REG_SZ = Microsoft Software Key Storage Provider
CertUtil: -getreg command completed successfully.

    Si la valeur est Microsoft Strong Cryptographic Provider ou Microsoft Enhanced Cryptographic Provider v1.0, tapez CertUtil -Key et appuyez sur Entrée.
    Si la valeur est Microsoft Software Key Storage Provider, tapez CertUtil -CSP KSP -Key et appuyez sur Entrée.
    Si la valeur est autre, tapez CertUtil -CSP <PROVIDER NAME> -Key et appuyez sur Entrée.

    Cette commande affiche les noms de tous les fournisseurs de services de chiffrement (CSP) installés et les magasins de clés associés à chaque fournisseur. Le nom de votre autorité de certification figure parmi les magasins de clés répertoriés. Le nom sera répertorié plusieurs fois, comme illustré dans l’exemple suivant :

    (1) Fournisseur de chiffrement de base Microsoft v1.0 :
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    Serveur DCOM MS IIS
    Autorité de certification racine Windows2000 Entreprise
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

    (5) Microsoft Enhanced Cryptographic Provider v1.0 :
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    Serveur DCOM MS IIS
    Autorité de certification racine Windows2000 Entreprise
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

  4. Supprimez la clé privée associée à l’autorité de certification. Pour ce faire, à l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

    certutil -delkey CertificateAuthorityName

    Remarque

    Si le nom de votre autorité de certification contient des espaces, placez le nom entre guillemets.

    Dans cet exemple, le nom de l’autorité de certification est l’autorité de certification racine Windows2000 Entreprise. Par conséquent, la ligne de commande dans cet exemple est la suivante :

    certutil -delkey "Windows2000 Enterprise Root CA"

  5. Répertoriez à nouveau les magasins de clés pour vérifier que la clé privée de votre autorité de certification a été supprimée.

  6. Après avoir supprimé la clé privée de votre autorité de certification, désinstallez Les services de certificats. Pour ce faire, procédez comme suit, en fonction de la version de Windows Server que vous exécutez.

    Si vous désinstallez une autorité de certification d’entreprise, l’appartenance à Administrateurs d’entreprise ou l’équivalent est le minimum requis pour effectuer cette procédure. Pour plus d'informations, voir Implémenter l'administration basée sur les rôles.

    Pour désinstaller une autorité de certification, procédez comme suit :

    1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Gestionnaire de serveur.
    2. Sous Résumé des rôles, sélectionnez Supprimer les rôles pour démarrer l’Assistant Suppression de rôles, puis sélectionnez Suivant.
    3. Activez cette option pour effacer la zone case activée Services de certificats Active Directory, puis sélectionnez Suivant.
    4. Dans la page Confirmer les options de suppression , passez en revue les informations, puis sélectionnez Supprimer.
    5. Si Internet Information Services (IIS) est en cours d’exécution et que vous êtes invité à arrêter le service avant de poursuivre le processus de désinstallation, sélectionnez OK.
    6. Une fois l’Assistant Suppression de rôles terminé, redémarrez le serveur. Cette opération termine le processus de désinstallation.

    La procédure est légèrement différente si plusieurs services de rôle Active Directory Certificate Services (AD CS) sont installés sur un seul serveur. Pour désinstaller une autorité de certification tout en conservant d’autres services de rôle AD CS, procédez comme suit.

    Remarque

    Vous devez vous connecter avec les mêmes autorisations que l’utilisateur qui a installé l’autorité de certification pour effectuer cette procédure. Si vous désinstallez une autorité de certification d’entreprise, l’appartenance à Administrateurs d’entreprise ou l’équivalent est le minimum requis pour effectuer cette procédure. Pour plus d'informations, voir Implémenter l'administration basée sur les rôles.

    1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Gestionnaire de serveur.
    2. Sous Résumé des rôles, sélectionnez Services de certificats Active Directory.
    3. Sous Services de rôles, sélectionnez Supprimer les services de rôle.
    4. Activez cette option pour décochez la case case activée Autorité de certification, puis sélectionnez Suivant.
    5. Dans la page Confirmer les options de suppression , passez en revue les informations, puis sélectionnez Supprimer.
    6. Si IIS est en cours d’exécution et que vous êtes invité à arrêter le service avant de poursuivre le processus de désinstallation, sélectionnez OK.
    7. Une fois l’Assistant Suppression de rôles terminé, vous devez redémarrer le serveur. Cette opération termine le processus de désinstallation.

    Si les autres services de rôle, tels que le service Répondeur en ligne, ont été configurés pour utiliser les données de l’autorité de certification désinstallée, vous devez reconfigurer ces services pour prendre en charge une autre autorité de certification. Une fois qu’une autorité de certification est désinstallée, les informations suivantes sont conservées sur le serveur :

    • Base de données d’autorité de certification.
    • Clés publiques et privées de l’autorité de certification.
    • Certificats de l’autorité de certification dans le magasin Personnel.
    • Certificats de l’autorité de certification dans le dossier partagé, si un dossier partagé a été spécifié pendant l’installation d’AD CS.
    • Certificat racine de la chaîne d’autorité de certification dans le magasin Autorités de certification racines de confiance.
    • Certificats intermédiaires de la chaîne d’autorité de certification dans le magasin d’autorités de certification intermédiaires.
    • Liste de révocation de certificats de l’autorité de certification.

    Par défaut, ces informations sont conservées sur le serveur au cas où vous désinstallez, puis réinstallez l’autorité de certification. Par exemple, vous pouvez désinstaller et réinstaller l’autorité de certification si vous souhaitez remplacer une autorité de certification autonome par une autorité de certification d’entreprise.

Étape 6 : Supprimer des objets d’autorité de certification d’Active Directory

Lorsque Microsoft Certificate Services est installé sur un serveur membre d’un domaine, plusieurs objets sont créés dans le conteneur de configuration dans Active Directory.

Ces objets sont les suivants :

  • objet certificateAuthority

    • Situé dans CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
    • Contient le certificat d’autorité de certification pour l’autorité de certification.
    • Emplacement de l’accès aux informations de l’autorité publiée (AIA).

  • objet crlDistributionPoint

    • Situé dans CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contient la liste de révocation de certificats publiée régulièrement par l’autorité de certification.
    • Emplacement du point de distribution CDP (CRL) publié.

  • objet certificationAuthority

    • Situé dans CN=Autorités de certification,CN=Services à clé publique,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Contient le certificat d’autorité de certification pour l’autorité de certification.

  • Objet pKIEnrollmentService

    • Situé dans CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Créé par l’autorité de certification d’entreprise.
    • Contient des informations sur les types de certificats que l’autorité de certification a été configurée pour émettre. Les autorisations sur cet objet peuvent contrôler les principaux de sécurité qui peuvent s’inscrire auprès de cette autorité de certification.

Lorsque l’autorité de certification est désinstallée, seul l’objet pKIEnrollmentService est supprimé. Cela empêche les clients de tenter de s’inscrire auprès de l’autorité de certification désaffectée. Les autres objets sont conservés, car les certificats émis par l’autorité de certification sont probablement toujours en attente. Ces certificats doivent être révoqués en suivant la procédure décrite dans la section Étape 1 - Révoquer tous les certificats actifs émis par l’autorité de certification d’entreprise .

Pour que les ordinateurs clients de l’infrastructure à clé publique (PKI) traitent correctement ces certificats en attente, les ordinateurs doivent localiser les chemins de point de distribution AIA (Authority Information Access) et CRL dans Active Directory. Il est judicieux de révoquer tous les certificats en attente, de prolonger la durée de vie de la liste de révocation de certificats et de publier la liste de révocation de certificats dans Active Directory. Si les certificats en attente sont traités par les différents clients PKI, la validation échoue et ces certificats ne sont pas utilisés.

S’il n’est pas prioritaire de conserver le point de distribution de liste de révocation de certificats et AIA dans Active Directory, vous pouvez supprimer ces objets. Ne supprimez pas ces objets si vous prévoyez de traiter un ou plusieurs des certificats numériques précédemment actifs.

Supprimer tous les objets Certification Services d’Active Directory

Remarque

Vous ne devez pas supprimer les modèles de certificat d’Active Directory tant que vous n’avez pas supprimé tous les objets d’autorité de certification dans la forêt Active Directory.

Pour supprimer tous les objets Certification Services d’Active Directory, procédez comme suit :

  1. Déterminez le CACommonName de l’autorité de certification. Pour cela, procédez comme suit :

    1. Sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
    2. Tapez certutil, puis appuyez sur Entrée.
    3. Notez la valeur Name qui appartient à votre autorité de certification. Vous aurez besoin du CACommonName pour les étapes ultérieures de cette procédure.

  2. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Sites et services Active Directory.

  3. Dans le menu Affichage , sélectionnez Afficher le nœud services.

  4. Développez Services, Services à clé publique, puis sélectionnez le dossier AIA.

  5. Dans le volet droit, cliquez avec le bouton droit sur l’objet CertificationAuthority de votre autorité de certification, sélectionnez Supprimer, puis Oui.

  6. Dans le volet gauche du composant logiciel enfichable MMC Sites et services Active Directory, sélectionnez le dossier CDP.

  7. Dans le volet droit, recherchez l’objet conteneur pour le serveur sur lequel les services de certificats sont installés. Cliquez avec le bouton droit sur le conteneur, sélectionnez Supprimer, puis Oui deux fois.

  8. Dans le volet gauche du composant logiciel enfichable MMC Sites et services Active Directory, sélectionnez le nœud Autorités de certification .

  9. Dans le volet droit, cliquez avec le bouton droit sur l’objet CertificationAuthority de votre autorité de certification, sélectionnez Supprimer, puis Oui.

  10. Dans le volet gauche du composant logiciel enfichable MMC Sites et services Active Directory, sélectionnez le nœud Services d’inscription .

  11. Dans le volet droit, vérifiez que l’objet pKIEnrollmentService de votre autorité de certification a été supprimé lors de la désinstallation des services de certificats. Si l’objet n’est pas supprimé, cliquez avec le bouton droit sur l’objet, sélectionnez Supprimer, puis Sélectionnez Oui.

  12. Si vous n’avez pas localisé tous les objets, certains objets peuvent être laissés dans Active Directory après avoir effectué ces étapes. Pour propre après une autorité de certification qui peut avoir des objets restants dans Active Directory, procédez comme suit pour déterminer s’il reste des objets AD :

    1. Tapez la commande suivante sur une ligne de commande, puis appuyez sur Entrée :

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf

      Dans cette commande, CACommonName représente la valeur Name que vous avez déterminée à l’étape 1. Par exemple, si la valeur Name est CA1 Contoso, tapez ce qui suit :

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf

    2. Ouvrez le fichier CAobjects.ldf restant dans le Bloc-notes. Remplacez le terme changetype : add par changetype : delete. Ensuite, vérifiez si les objets Active Directory que vous allez supprimer sont légitimes.

    3. À l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée pour supprimer les objets d’autorité de certification restants d’Active Directory :

      ldifde -i -f remainingCAobjects.ldf

  13. Supprimez les modèles de certificat si vous êtes sûr que toutes les autorités de certification ont été supprimées. Répétez l’étape 12 pour déterminer s’il reste des objets AD.

    Importante

    Vous ne devez pas supprimer les modèles de certificat, sauf si toutes les autorités de certification ont été supprimées. Si les modèles sont supprimés accidentellement, procédez comme suit :

    1. Vérifiez que vous êtes connecté à un serveur qui exécute les services de certificats en tant qu’administrateur d’entreprise.

    2. À l’invite de commandes, tapez la commande suivante et appuyez sur Entrée :

      cd %windir%\system32

    3. Tapez la commande suivante, puis appuyez sur Entrée :

      regsvr32 /i:i /n /s certcli.dll

      Cette action recrée les modèles de certificat dans Active Directory.

    Pour supprimer les modèles de certificat, procédez comme suit.

    1. Dans le volet gauche du composant logiciel enfichable MMC Sites et services Active Directory , sélectionnez le dossier Modèles de certificats.
    2. Dans le volet droit, sélectionnez un modèle de certificat, puis appuyez sur Ctrl+A pour sélectionner tous les modèles. Cliquez avec le bouton droit sur les modèles sélectionnés, sélectionnez Supprimer, puis Oui.

Étape 7 : Supprimer les certificats publiés sur l’objet NtAuthCertificates

Après avoir supprimé les objets d’autorité de certification, vous devez supprimer les certificats d’autorité de certification publiés sur l’objet NtAuthCertificates . Utilisez l’une des commandes suivantes pour supprimer des certificats dans le NTAuthCertificates magasin :

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Remarque

Vous devez disposer des autorisations d’administrateur d’entreprise pour effectuer cette tâche.

L’action -viewdelstore appelle l’interface utilisateur de sélection de certificat sur l’ensemble de certificats dans l’attribut spécifié. Vous pouvez afficher les détails du certificat. Vous pouvez annuler la boîte de dialogue de sélection pour n’apporter aucune modification. Si vous sélectionnez un certificat, ce certificat est supprimé lorsque l’interface utilisateur se ferme et que la commande est entièrement exécutée.

Utilisez la commande suivante pour afficher le chemin d’accès LDAP complet à l’objet NtAuthCertificates dans votre annuaire Active Directory :

certutil -viewdelstore -? | findstr "CN=NTAuth"

Étape 8 : Supprimer la base de données de l’autorité de certification

Lorsque les services de certification sont désinstallés, la base de données de l’autorité de certification reste intacte afin que l’autorité de certification puisse être recréée sur un autre serveur.

Pour supprimer la base de données d’autorité de certification, supprimez le dossier %systemroot%\System32\Certlog .

Étape 9 : Nettoyer les contrôleurs de domaine

Une fois l’autorité de certification désinstallée, les certificats émis aux contrôleurs de domaine doivent être supprimés.

Pour supprimer les certificats émis pour les contrôleurs de domaine Windows Server 2000, utilisez l’utilitaire Dsstore.exe du Kit de ressources Microsoft Windows 2000.

Pour supprimer les certificats qui ont été émis pour les contrôleurs de domaine Windows Server 2000, procédez comme suit :

  1. Sélectionnez Démarrer, Exécuter, tapez cmd, puis appuyez sur Entrée.

  2. Sur un contrôleur de domaine, tapez dsstore -dcmon à l’invite de commandes, puis appuyez sur Entrée.

  3. Tapez 3, puis appuyez sur Entrée. Cette action supprime tous les certificats sur tous les contrôleurs de domaine.

    Remarque

    L’utilitaire Dsstore.exe tente de valider les certificats de contrôleur de domaine qui sont émis pour chaque contrôleur de domaine. Les certificats qui ne valident pas sont supprimés de leur contrôleur de domaine respectif.

Pour supprimer les certificats émis aux contrôleurs de domaine Windows Server 2003, procédez comme suit.

Importante

N’utilisez pas cette procédure si vous utilisez des certificats basés sur des modèles de contrôleur de domaine version 1.

  1. Sélectionnez Démarrer, Exécuter, tapez cmd, puis appuyez sur Entrée.

  2. À l’invite de commandes sur un contrôleur de domaine, tapez certutil -dcinfo deleteBad.

    Certutil.exe tente de valider tous les certificats DC émis aux contrôleurs de domaine. Les certificats qui ne valident pas sont supprimés.

Pour forcer l’application de la stratégie de sécurité, procédez comme suit :

  1. Sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis appuyez sur Entrée.
  2. À l’invite de commandes, tapez la commande appropriée pour la version correspondante du système d’exploitation, puis appuyez sur Entrée :

    • Pour Windows Server 2000 :

      secedit /refreshpolicy machine_policy /enforce

    • Pour Windows Server 2003 :

      gpupdate /force