web-dev-qa-db-ja.com

Windows 2008 R2 CAと自動登録:100,000を超える発行済み証明書を取り除く方法は?

私が抱えている基本的な問題は、100,000を超える無用のマシン証明書がCAに散らかっていて、すべての証明書を削除したり、サーバーを先にジャンプさせたりして、有効な証明書の一部を無効にせずに削除したいということです。そこ。

これは、エンタープライズルートCA(2008 R2)でいくつかのデフォルトを受け入れ、GPOを使用してクライアントマシンを証明書に自動登録し、企業のワイヤレスネットワークへの_802.1x_認証を許可した結果です。 。

デフォルトのComputer (Machine) _Certificate Template_を使用すると、既存の証明書を使用するようにマシンを指示する代わりに、マシンを再登録できるようになります。これは、ワークステーションがリブートされるたびのログ以上のものとして認証局を使用することを望んでいた男(私)に多くの問題を引き起こしています。

My freaking eyes!

(横のスクロールバーは横になっています。下にドラッグすると、画面が一時停止し、次の数ダースの証明書が読み込まれます。)

誰でも[〜#〜]削除[〜#〜]有効な100,000程度のWindowsサーバーからの既存の証明書を知っていますか2008R2 CA?

今すぐ証明書を削除しようとすると、まだ有効であるため削除できないというエラーが表示されます。そのため、理想的には、一時的にそのエラーを回避するいくつかの方法があります。マークヘンダーソンは、ハードルがクリアされたらスクリプトで証明書を削除する方法を提供したからです。

(それらを取り消すことはオプションではありません。それはそれらを_Revoked Certificates_に移動するだけであり、これを表示できるようにする必要があり、取り消された「フォルダー」からも削除することはできません。)

更新:

@ MarkHendersonのリンクされたサイトを試してみました 、これは有望であり、証明書の管理性がはるかに優れていますが、それでもまだうまくいきません。私の場合の問題は、証明書がまだ「有効期限が切れていない」(まだ期限が切れていない)ようです。そのため、CAは証明書の存在を削除したくありません。これは、取り消された証明書にも適用されるため、取り消しますそれらをすべて削除してから削除することもできません。

私は このGoogle-Fuを使用したこのtechnetブログ も見つけましたが、残念なことに、実際の証明書ではなく、非常に多数の証明書要求のみを削除する必要があるようです。

最後に、とりあえず、CAを先に進めて、私が削除したい証明書が期限切れになるので、サイトのツールで削除できるようにします。リンクのマークは、私たちが使用する多くの有効な証明書を期限切れにするので、あまり良い方法ではありません。手動で発行する必要があります。したがって、CAを再構築するよりも優れたオプションですが、優れたオプションではありません。

14
HopelessN00b

私はこれを試していませんが、 https://pspki.codeplex.com/ のPKI PowerShellプロバイダーがあり、これには Revoke-Certificate の後に Remove-Request

指定した証明書要求行を認証局(CA)データベースから削除します。

このコマンドを使用して、不要な証明書要求を削除することにより、CAデータベースのサイズを削減できます。たとえば、失敗したリクエストや未使用の期限切れの証明書を削除します。

注:特定の行を削除すると、プロパティを取得できなくなり、(必要に応じて)対応する証明書を取り消すことができます。

8
Mark Henderson

翌日、〜4000に発行された別の証明書を見つけたくなかったため、デフォルトの「コンピューター」「証明書テンプレート」を削除し、Publish certificate in Active Directoryに設定されている複製を追加することで、不必要な証明書の発行を停止しました。 Do not automatically reenroll if a duplicate certificate exists in Active Directory

  • What the defaults should be

まだそこにあるものを取り除く方法の問題を私に残していますが、それは始まりです。

2
HopelessN00b

私の腸はそれをふき取り、間抜けなしで最初からやり直すと言い、あなたは後で幸せになりますが、ADに証明書を保存するようにすでに変更している場合(これは理想的です)にふき取り、最初からやり直しても、まだトンがあります偽の証明書は、CAではなくすべてのコンピューターアカウントに関連付けられたADに含まれます。ですから、どちらにしても混乱です。

タフコール。あなたが言ったようにあなたは取り消すことができますが、CA mmcからそれらを完全に取り除くことができるとは思いません。

最初からやり直す場合は、次の手順に従ってください here できるだけきれいに実行してください

2
Paul Ackerman