如何从 Enterprise Windows 2000/2003 Windows手动删除证书颁发机构

本文由 Microsoft MVP Yuval Sinay编写。

适用于:  WindowsServer 2003
原始 KB 编号:   555151

症状

在一些组织中,有针对证书颁发Enterprise Windows定期备份过程。 如果软件/硬件 (出现服务器) 问题,您可能需要重新安装 Enterprise Windows证书颁发机构。 在可以重新安装 Enterprise Windows 证书颁发机构之前,可能需要手动删除属于原始证书颁发机构Enterprise Windows并驻留在 Windows Active Directory 中的对象和数据。

原因

Enterprise Windows证书颁发机构将配置设置和数据保存在 active Directory Windows中。

解决方案

答:备份:

建议在遵循此过程之前和之后备份包含 Active Directory 相关数据的所有节点,包括:

  • Windows域控制器
  • Exchange Servers
  • Active Directory 连接器
  • WindowsServer with Services for Unix
  • ISA Server Enterprise
  • Enterprise Windows证书颁发机构

使用下面的过程作为最后手段。 它可能会影响您的生产环境,并且可能需要重新启动某些节点/服务。

B. Active Directory Clean:

备注

使用具有权限的帐户登录到系统:

  1. 企业管理员
  2. 域管理员
  3. 证书颁发机构管理员
  4. 架构 (用作架构主机 FSMO 的服务器在运行过程中应) 。

若要从 Active Directory 中删除所有 Certification Services 对象::

  1. 启动 "Active Directory 站点和服务"。

  2. 选择"查看" 菜单选项,然后选择"显示服务"节点。

  3. 展开"服务",然后展开"公钥服务"。

  4. 选择 "AIA" 节点。

  5. 在右侧窗格中,找到证书颁发机构的 "certificateAuthority" 对象。 删除对象。

  6. 选择 "CDP" 节点。

  7. 在右侧窗格中,找到安装证书服务的服务器的 Container 对象。 删除容器及其包含的对象。

  8. 选择"证书颁发机构" 节点。

  9. 在右侧窗格中,找到证书颁发机构的 "certificateAuthority" 对象。 删除对象。

  10. 选择"注册服务" 节点。

  11. 在右侧窗格中,验证证书颁发机构的 "pKIEnrollmentService" 对象是否删除。

  12. 选择"证书模板" 节点。

  13. 在右侧窗格中,删除所有证书模板。

    备注

    只有在林中未安装任何其他证书Enterprise证书模板。 如果无意中删除了模板,请从备份中还原模板。

  14. 选择"公钥服务"节点并找到 "NTAuthCertificates" 对象。

  15. 如果林中未安装Enterprise或独立 AA,请删除该对象,否则请将其保留。

  16. 使用资源 工具包中的"Active Directory 站点 和服务"或 Repadmin ""Windows强制复制到域/林中的其他域控制器。

域控制器清理

关闭 CA 后,需要删除已颁发给所有域控制器的证书。 可通过使用资源工具包中的DSSTORE.EXE轻松完成:

您还可以使用命令删除旧的域控制器 certutil 证书:

  1. 在域控制器上的命令提示符下,键入 certutil -dcinfo deleteBad :。

  2. Certutil.exe 将尝试验证颁发给域控制器的所有 DC 证书。 将删除无法验证的证书。 此时,您可以重新安装证书服务。 安装完成后,新的根证书将发布到 Active Directory。 域时
    客户端刷新其安全策略,将自动将新的根证书下载到其受信任的根存储中。 o 强制应用安全策略。

  3. 在命令提示符下,键入 gpupdate /target: computer

    备注

    如果 Enterprise Windows 证书颁发机构发布了计算机/用户证书或其他类型的证书 (Web 服务器证书等) ,建议您在重新安装 Enterprise Windows 证书之前删除旧证书。

更多信息

Community解决方案内容免责声明

Microsoft 公司和/或各自的供应商不对此处包含的信息和相关图形的适用性、可靠性或准确性作任何陈述。 所有此类信息和相关图形均"如期"提供,不提供任何类型的担保。 Microsoft 和/或其各自的供应商不声明有关此信息和相关图形的所有保证和条件,包括所有默示的担保和可盈利性条件、特定用途的适用性、工作努力、职务和不侵权。 你明确同意 Microsoft 和/或其供应商在任何情况下应对任何直接行为负责, 间接、危害、附带、特殊、后果性损害或任何损害,包括但不限于因使用、数据或利润、因使用或无法使用此处包含的信息和相关图形而引发的或以任何方式引发的损害,无论是基于合同、侵权、处罚、严格责任还是其他方式,即使 Microsoft 或它的任一供应商已告知可能损害。