Удаление центра сертификации windows

При удалении службы сертификации Active Directory Certificate Services необходимо выполнить ряд предварительных и пост шагов, необходимых для корректного удалений центра сертификации (Certification Authority или CA) из Active Directory. Необходимо отозвать все выданные сертификаты, удалить закрытые ключи, роль ADCS и вручную очистить AD обо всех упоминаниях удаляемого центра сертификации. При некорректном удалении центра сертификации из AD, приложения, зависящие от инфраструктуры открытого ключа, могут работать неправильно.

Содержание:

  • Отзыв выданных сертификатов
  • Удаление роли Active Directory Certificate Services
  • Удаление объектов CA из Active Directory
  • Удаляем сертификаты, опубликованные в контейнере NtAuthCertificates
  • Удаление базы центра сертификации
  • Удаление сертификатов с контроллеров домена

Отзыв выданных сертификатов

В первую очередь нужно отозвать все выданные сертификаты. Для этого откройте консоль Certification Authority, разверните узел сервера сертификации и в перейдите в раздел Issued Certificates. В правом окне выберите выданный сертификат и в контекстном меню выберите пункт All Tasks > Revoke Certificate.

Revoke Certificate - отзыв сертификатов

Картинка с сайта: winitpro.ru

Укажите причину отзыва сертификаты (Cease of Operation — Прекращение работы), время с которого он считается недействительным (текущее) и нажмите Yes.

Сертификат пропадет из списка. Аналогичным образом поступите со всеми выданными сертификатами.

Выданные сертификаты

Картинка с сайта: winitpro.ru

Затем откройте свойства ветки Revoke Certificates.

Свойства отозванных сертификатов

Картинка с сайта: winitpro.ru

Увеличьте значение поля CRL publication interval (интервал публикации списка отозванных сертификатов) – этот параметр определяет периодичность обновления списка отозванных сертификатов.

CRL publication interval (интервал публикации списка отозванных сертификатов)

Картинка с сайта: winitpro.ru

Нажмите ПКМ по узлу Revoked Certificates и выберите All Tasks > Publish.

Публикации списка отозванных сертификатов

Картинка с сайта: winitpro.ru

Выберите New CRL и нажмите OK.

New CRL

Картинка с сайта: winitpro.ru

Проверьте и, в случае необходимости, откажите в выдаче всем ожидающим запросам на выдачу сертификатов. Для этого в контейнере Pending Requests выделите запрос и в контекстном меню выберите All Tasks -> Deny Request.

Картинка с сайта: winitpro.ru

Удаление роли Active Directory Certificate Services

На сервере с ролью CA откройте командную строку и остановим работы служб сертификации командой:

certutil –shutdown

certutil –shutdown

Картинка с сайта: winitpro.ru

Чтобы вывести список локально хранящихся закрытых ключей выполним команду:

certutil –key

certutil –key

Картинка с сайта: winitpro.ru

В нашем примере с CA ассоциирован один закрытый ключ. Удалить его можно командой certutil -delkey CertificateAuthorityName. В качестве имени ключа используется значение, полученное на предыдущем шаге. Например,

certutil –delkey le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263

certutil –delkey

Картинка с сайта: winitpro.ru

Чтобы убедится, что закрытый ключ CA удален еще раз выполним команду:

certutil –key

certutil –key

Картинка с сайта: winitpro.ru

Затем откроем консоль Server Manager и удалим роль Active Directory Certificate Services.

Удаление роли Active Directory Certificate Services

Картинка с сайта: winitpro.ru

После удаления роли сервер нужно перезагрузить.

Удаление объектов CA из Active Directory

При установке центра сертификации в структуре Active Directory создается ряд служебных объектов CA, которые не удаляются при удалении роли ADCS. Удаляется только объект pKIEnrollmentService, благодаря чему клиенты не пытаются запрашивать новые сертификат у выведенного из эксплуатации CA.

Выведем список доступных центров сертификации (он пуст):

certutil

certutil -dump

Картинка с сайта: winitpro.ru

Откроем консоль Active Directory Site and Services и включим отображение сервисных веток, выбрав в верхнем меню пункт View ->Show Services Node.

Затем последовательно удалим следующие объекты AD:

  1. Центр сертификации в разделе Services -> Public Key Services -> AIA.

    Картинка с сайта: winitpro.ru

  • Контейнер с именем сервера CA в разделе Services -> Public Key Services -> CDP.

    Картинка с сайта: winitpro.ru

  • CA в разделе Services > Public Key Services > Certification Authorities.

    Картинка с сайта: winitpro.ru

  • Проверьте, что в разделе Services -> Public Key Services -> Enrollment Services отсутствует объект pKIEnrollmentService (он должен удалиться во время процесса деинсталляции CA). Если он присутствует, удалите его вручную.
    Картинка с сайта: winitpro.ru

  • Удалите шаблоны сертификатов, расположенные в разделе Services -> Public Key Services > Certificate Templates (выбелить все шаблоны CTRL+A).
    Картинка с сайта: winitpro.ru

    • Удаляем сертификаты, опубликованные в контейнере NtAuthCertificates

    При установке нового центра сертификации его сертификаты добавляются и хранятся в контейнере NTAuthCertificates. Их также придется удалить вручную. Для этого с правами администратора предприятия выясним полный LDAP путь к объекту NtAuthCertificates в Active Directory.

    certutil -store -? | findstr "CN=NTAuth"

    certutil -store -? | findstr "CN=NTAuth"

    Картинка с сайта: winitpro.ru

    Осталось удалить сертификаты с помощью утилиты certutil , указав полный LDAP путь, полученный на предыдущем шаге.

    certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=no1abnopary,DC=local?cACertificate?base?objectclass=certificationAuthority”

    certutil –viewdelstore

    Картинка с сайта: winitpro.ru

    Подтверждаем удаление сертификата.

    Далее выполним команду:

    certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=no1abnopary,DC=local?cACertificate?base?objectclass=pKIEnrollmentService”

    certutil –viewdelstore

    Картинка с сайта: winitpro.ru

    Подтвердите удаление сертификата.

    Удаление базы центра сертификации

    База CA автоматически не удаляется при удалении службы ADCS, поэтому эту операцию нужно выполнить вручную, удалив каталог %systemroot%\System32\Certlog.

    %systemroot%\System32\Certlog

    Картинка с сайта: winitpro.ru

    Удаление сертификатов с контроллеров домена

    Необходимо удалить сертификаты, выданные контроллерам домена. Для этого на контроллере домена нужно выполнить команду:

    certutil -dcinfo deleteBad

    Картинка с сайта: winitpro.ru

    Certutil попытается проверить все сертификаты, выданные DC. Сертификаты, которые не удастся проверить, будут удалены.

    На этом полное удаление службы Active Directory Certificate Services из структуры Active Directory завершено.

    Источник

    Перейти к содержимому

    Заметки практикующего сисадмина

    Дядя Саша Кузьмич пишет о работе

    Добавить комментарий

    Хорошая статья, детально описывающая процесс списания (удаления) центра (служб) сертификации Windows: KB889250 How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows 2000 Server.

    Добавить комментарий

    Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

    Источник

    Как вы уже должны знать, поддержка Windows Server 2003 и Windows Server 2003 R2 заканчивается 14 июля 2015 года. Зная это, ИТ профессионалы либо уже провели миграцию, либо этот процесс должен находиться в самом разгаре. В этой статье будут описаны шаги, необходимые для миграции Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2.

    Для демонстрации будут использованы следующие установки:

    Имя сервера Операционная система Роли сервера
    canitpro-casrv.canitpro.local Windows Server 2003 R2
    Enterprise x86    		 AD CS (Enterprise
    Certificate Authority )
    CANITPRO-DC2K12.canitpro.local Windows Server 2012 R2 x64

    Шаг 1. Резервная копия конфигурации и базы данных центра сертификации Windows Server 2003

    Заходим в Windows Server 2003 под учетной записью из группы локальных администраторов.
    Выбираем Start – Administrative Tools – Certificate Authority

    Щелкаем правой кнопкой мыши по узлу сервера. Выбираем All Tasks, затем Back up CA

    Откроется “Certification Authority Backup Wizard” и нажимаем “Next” для продолжения.

    Картинка с сайта: habr.com

    В следующем окне выбираете те пункты, которые подсвечены, чтобы указать нужные настройки и нажмите Browse для того, чтобы указать место сохранения резервной копии. Нажмите “Next” для продолжения.

    Картинка с сайта: habr.com

    Далее вам будет предложено ввести пароль для того, чтобы защитить закрытый ключ и файл сертификата центра сертификации. После того, как введете пароль, нажмите “Next”.

    В следующем окне будет запрошено подтверждение. Если все в порядке – нажмите Finish для завершения процесса.

    Шаг 2. Резервирование параметров реестра центра сертификации

    Нажмите Start, затем Run. Напечатайте regedit и нажмите ОК.

    Картинка с сайта: habr.com

    Затем откройте HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
    Щелкните правой кнопкой мыши по ключу Configuration и выберите Export

    Картинка с сайта: habr.com

    В следующем окне укажите путь, по которому вы хотите сохранить резервный файл и укажите его имя. Затем нажмите “Save”, чтобы закончить резервирование.

    Картинка с сайта: habr.com

    Теперь у нас есть резервные файлы центра сертификации и мы можем переместить эти файлы на новый сервер Windows Server 2012 R2.

    Картинка с сайта: habr.com

    Шаг 3. Удаление службы центра сертификации с Windows Server 2003

    Теперь, когда готовы резервные файлы и прежде, чем настроить службы сертификации на новом Windows Server 2012 R2, мы можем удалить службы центра сертификации с Windows Server 2003. Для этого нужно проделать следующие шаги.
    Щёлкаем Start > Control Panel > Add or Remove Programs

    Картинка с сайта: habr.com

    Затем выбираем “Add/Remove Windows Components”

    Картинка с сайта: habr.com

    В следующем окне уберите галочку с пункта Certificate Services и нажмите Next для продолжения

    Картинка с сайта: habr.com

    После завершения процесса, вы увидите подтверждение и можете нажать Finish

    Картинка с сайта: habr.com

    На этом этапе мы закончили работу со службами центра сертификации на Windows Server 2003 и следующим шагом будем настраивать и конфигурировать центра сертификации на Windows Server 2012 R2.

    Шаг 4. Установка служб сертификации на Windows Server 2012 R2

    Зайдите на Windows Server 2012 R2 под учетной записью или администратора домена, или локального администратора.
    Перейдите в Server Manager > Add roles and features.

    Картинка с сайта: habr.com

    Запустится “Add roles and features”, нажмите “Next” для продолжения.
    В следующем окне выберите “Role-based or Feature-based installation”, нажмите “Next” для продолжения.
    Из списка доступных серверов выберите ваш, и нажмите Next для продолжения.
    В следующем окне выберите роль “Active Directory Certificate Services”, установите все сопутсвующие компоненты и нажмите Next.

    Картинка с сайта: habr.com

    В следующих двух окнах нажимайте Next. После этого вы увидите варианты выбора служб для установки. Мы выбираем Certificate Authority и Certification Authority Web Enrollment и нажимаем “Next” для продолжения.

    Картинка с сайта: habr.com

    Для установки Certification Authority Web Enrollment необходимо установить IIS. Поэтому в следующих двух окнах посмотрите краткое описание роли, выберите нужные компоненты и нажмите Next.
    Далее вы увидите окно подтверждения. Если все в порядке, нажмите Install для того, чтобы начать процесс установки.

    Картинка с сайта: habr.com

    После того, как установка завершена, вы можете закрывать мастер установки и переходить к следующему шагу.

    Шаг 5. Настройка AD CS

    В этом шаге мы рассмотрим как настроить и восстановить те файлы резервирования, которые мы создали.
    Зайдите на сервере с правами Enterprise Administrator
    Перейдите в Server Manager > AD CS

    Картинка с сайта: habr.com

    C правой стороны на панели вы увидите всплывающее окно, как на скриншоте и нажмите More

    Картинка с сайта: habr.com

    Откроется окно, в котором вам нужно нажать “Configure Active Directory Certification Service…”

    Картинка с сайта: habr.com

    Откроется окно мастера настройки роли, в котором появится возможность изменить учетную запись. Т.к. мы уже вошли в систему с учетной записью Enterprise Administrator, то мы оставим то, что указано по умолчанию и нажмем Next

    Картинка с сайта: habr.com

    В следующем окне спросят, каким службы мы хотим настроить. Выберите Certificate Authority и Certification Authority Web Enrollment и нажимаем “Next” для продолжения.

    Картинка с сайта: habr.com

    Это будет Enterprise CA, поэтому в следующем окне выберите в качестве типа установки Enterprise CA и нажмите Next для продолжения.

    Картинка с сайта: habr.com

    В следующем окне выберите “Root CA” в качестве типа CA и нажмите Next для продолжения.

    Картинка с сайта: habr.com

    Следующая настройка очень важна. Если бы это была новая установка, то мы могли бы просто создать новый закрытый ключ. Но так как это процесс миграции, у нас уже есть зарезервированный закрытый ключ. Поэтому здесь выберите вариант, который отмечен на скриншоте и нажмите Next для продолжения.

    Картинка с сайта: habr.com

    В следующем окне нажмите кнопку Import.

    Картинка с сайта: habr.com

    Здесь у нас появляется возможность выбрать тот ключ, который мы зарезервировали с Windows Server 2003. Указываем путь к этому ключу и вводим пароль, который мы использовали. Затем нажимаем OK.

    Картинка с сайта: habr.com

    Далее, если импорт прошел успешно, то мы увидим наш сертификат. Выбираем его и нажимаем Next для продолжения.

    Картинка с сайта: habr.com

    В следующем окне мы можем определить путь к базе данных сертификата. Я оставил то, что указано по умолчанию и нажимаю “Next” для продолжения.

    Картинка с сайта: habr.com

    В следующем окне будет предоставлена вся информация для настройки. Если все нормально, то нажимаем “Configuration” для запуска процесса.

    Картинка с сайта: habr.com

    После того, как процесс завершен, закрываем мастера конфигурации.

    Шаг 6. Восстановление зарезервированного CA

    Теперь мы переходим к наиболее важной части всего процесса миграции, в которой мы восстановим зарезервированный в Windows Server 2003 CA.
    Открываем Server Manager > Tools > Certification Authority

    Картинка с сайта: habr.com

    Щелкаете правой кнопкой мыши по имени сервера и выбираете All Tasks > Restore CA

    Картинка с сайта: habr.com

    Далее появится предупреждение о том, что служба сертификатов должна быть установлена для продолжения. Нажмите ОК.

    Картинка с сайта: habr.com

    Запустится Certification Authority Restore Wizard, нажмите “Next” для продолжения.
    В следующем окне укажите путь к папке, в которой находится резервная копия. Затем выберите теже настройки, что и я на скриншоте. Нажмите Next для продолжения.

    Картинка с сайта: habr.com

    В следующем окне вы можете ввести пароль, который мы использовали для того, чтобы защитить закрытый ключ в процессе резервирования. После ввода, нажмите “Next” для продолжения.

    Картинка с сайта: habr.com

    В следующем окне нажмите Finish для завершения процесса импорта.
    После успешного завершения процесса, система спросит, можно ли запустить центр сертификации. Запустите службу.

    Шаг 7. Восстановление информации в реестре

    Во время создания резервной копии CA мы также создали резервную копию ключа реестра. Теперь нужно ее восстановить. Для этого откройте папку, которая содержит зарезервированный ключ реестра. Щелкните по нему дважды левой кнопкой мыши.
    Появится предупреждающее окно. Нажмите Yes для восстановления ключа реестра.

    Картинка с сайта: habr.com

    По окончании вы получите подтверждение об успешном восстановлении.

    Картинка с сайта: habr.com

    Шаг 8. Перевыпуск шаблона сертификата

    Мы завершили процесс миграции, и сейчас нужно перевыпустить сертификаты. У меня были настройки шаблона в окружении Windows Server 2003, который назывался PC Certificate, с помощью которого выпускались сертификаты для компьютеров, включенных в домен. Теперь посмотрим, как я перевыпущу шаблон.
    Открывает консоль Certification Authority
    Щелкаем правой кнопкой мышки по Certificate Templates Folder > New > Certificate Template to Reissue.

    Картинка с сайта: habr.com

    Из списка шаблонов сертификатов выберите подходящий шаблон сертификата и нажмите ОК.

    Картинка с сайта: habr.com

    Шаг 9. Тестируем CA

    Теперь, когда шаблон сертификата установлен на компьютер, его нужно установить на автоматический режим. Для проверки я установил компьютер с операционной системой Windows 8.1, назвал его demo1 и добавил в домен canitpro.local. После его первой загрузки, на сервере я открываю консоль центра сертификации и разворачиваю раздел “Issued Certificate”. Там я могу увидеть новый сертификат, который выпущен для компьютера.

    Картинка с сайта: habr.com

    На этом процесс миграции успешно завершен.

    Источник

    by

    You have likely found this article because you are attempting to remove an old CA from a domain in Active Directory. If you’re an Active Directory domain administrator you may have discovered old domains showing up as available CAs on your domain. You may also be attempting to decommission an old CA server. This article will focus on the former, but if your use case is more in line with the latter it will cover useful information for you as well. For more information on Microsoft CAs, go here.

    Step 1: Revoke all issued certificates

    Step 2: Uninstall AD Certificate Services from the CA server

    Step 3: Remove CA objects from Active Directory

    This is the step we will focus on for the purposes of this article. The use case here is an Active Directory domain administrator that has inherited a domain with an old CA that was never cleaned up properly. It has no active certificates issued, the old CA server has been decommissioned, but there is still metadata lying around on the domain for the old CA.

    To show the CAs still discoverable on your domain, run the following command from the Windows command prompt:

    certutil

    It will display the list of CAs known to the domain. Assuming the server itself is already decommissioned, you will need to authenticate to a domain controller and clean it up from there.

    On the domain controller, open the “Active Directory Site and Services” windows and select View -> Show Services Node.

    Navigate to the Services -> Public Key Services folder and for each sub folder, remove the corresponding entry for the CA you are cleaning up. You should expect to see records under each of the following sub folders. Note that you should delete the records for the CA under each of the folders and not the folder itself.

    • AIA
    • CDP
    • Certificate Templates (you may not need to clean anything up under this one)
    • Certification Authorites
    • Enrollment Services
    • KRA
    • OID

    Conclusion – Remove CA from domain

    These were the minimum steps required to remove an old CA from your Active Directory domain. Let us know in the comments if you have any questions.

    Reader Interactions

    Источник

    decommissionca01

    Картинка с сайта: nolabnoparty.com

    To remove Certification Authority from Active Directory you must follow the correct steps in order to delete the CA objects and services no longer needed.

    The procedure helps to properly decommission the CA and clean the Active Directory environment from the objects left during the uninstall process of the AD Certificate Services.

    Revoke all issued certificates

    Open the Certification Authority, expand the configured CA and navigate to Issued Certificates. In the right pane right click the issued certificates and select All Tasks > Revoke Certificate option.

    decommissionca02

    Картинка с сайта: nolabnoparty.com

    Specify a reason in the Reason code field then click Yes.

    The certificate is removed from the list.

    decommissionca04

    Картинка с сайта: nolabnoparty.com

    Right click the Revoke Certificates item and select Properties.

    decommissionca05

    Картинка с сайта: nolabnoparty.com

    Increase the CRL publication interval by typing a suitably long value then click OK.

    decommissionca06

    Картинка с сайта: nolabnoparty.com

    Now right click Revoked Certificates item and select All Tasks > Publish.

    decommissionca07

    Картинка с сайта: nolabnoparty.com

    Select New CRL option and click OK.

    decommissionca08

    Картинка с сайта: nolabnoparty.com

    In the Pending Requests folder deny any pending certificate requests right clicking the pending request then selecting All Tasks > Deny Request.

    decommissionca09

    Картинка с сайта: nolabnoparty.com

    Uninstall AD Certificate Services

    From the server, open the Command Prompt and type the command:

    C:\>certutil -shutdown

    decommissionca10

    Картинка с сайта: nolabnoparty.com

    To list all key stores for the local computer, type in the Command Prompt:

    C:\>certutil -key

    decommissionca11

    Картинка с сайта: nolabnoparty.com

    Delete the private key associated with the CA using the command:

    certutil -delkey CertificateAuthorityName

    C:\>certutil –delkey le-DomainController-b48c7ee1-d400-4b69-af19-6810bf38d263

    decommissionca12

    Картинка с сайта: nolabnoparty.com

    List the key stores once again to check if the CA private key has been removed.

    C:\>certutil -key

    decommissionca13

    Картинка с сайта: nolabnoparty.com

    Open the Server Manager, select Roles item and click Remove Roles in the right pane.

    decommissionca14

    Картинка с сайта: nolabnoparty.com

    The Remove Roles Wizard opens. Click Next to continue.

    decommissionca15

    Картинка с сайта: nolabnoparty.com

    Uncheck Active Directory Certificate Services then click Next.

    decommissionca16

    Картинка с сайта: nolabnoparty.com

    Click Remove to proceed.

    decommissionca17

    Картинка с сайта: nolabnoparty.com

    The selected role is being removed.

    decommissionca18

    Картинка с сайта: nolabnoparty.com

    Click Close to exit the wizard.

    decommissionca19

    Картинка с сайта: nolabnoparty.com

    Click Yes to restart the server.

    After rebooting the server, the procedure is complete.

    decommissionca21

    Картинка с сайта: nolabnoparty.com

    Remove CA objects from Active Directory

    When the CA is installed, several objects are created in the Active Directory but not removed during the uninstalling process. Only pKIEnrollmentService object is removed to prevent clients from trying enroll against the decommissioned CA.

    Open the Command Prompt and type the command certutil.

    C:\>certutil

    decommissionca22

    Картинка с сайта: nolabnoparty.com

    Open the Active Directory Site and Services and select View >Show Services Node.

    decommissionca23

    Картинка с сайта: nolabnoparty.com

    Navigate to Services > Public Key Services > AIA. Right click the CA object and select Delete.

    decommissionca24

    Картинка с сайта: nolabnoparty.com

    Click Yes to confirm deletion.

    decommissionca25

    Картинка с сайта: nolabnoparty.com

    Now navigate to Services > Public Key Services > CDP. Right click the container object where Certificate Services is installed and select Delete.

    decommissionca26

    Картинка с сайта: nolabnoparty.com

    Click Yes to confirm deletion.

    Click Yes to confirm.

    Navigate to Services > Public Key Services > Certification Authorities. Right click the CA object and select Delete.

    decommissionca29

    Картинка с сайта: nolabnoparty.com

    Click Yes to confirm deletion.

    decommissionca30

    Картинка с сайта: nolabnoparty.com

    Navigate to Services > Public Key Services > Enrollment Services. In the right pane verify that the pKIEnrollmentService object has been removed during the CA uninstall process. If the object is not deleted, right click the object, select Delete and click Yes to confirm.

    decommissionca31

    Картинка с сайта: nolabnoparty.com

    Navigate to Services > Public Key Services > Certificate Templates. In the right pane select a certificate and press CTRL+A to select all templates. Right click and select Delete.

    decommissionca32

    Картинка с сайта: nolabnoparty.com

    Click Yes to confirm deletion.

    Delete certificates published to the NtAuthCertificates object

    When CA objects are deleted, also the CA certificates published to the NtAuthCertificates object have to be deleted.

    With Enterprise Administrator permissions, check the full LDAP path to the NtAuthCertificates object in Active Directory with the following command:

    C:\>certutil -store -? | findstr "CN=NTAuth"

    decommissionca34

    Картинка с сайта: nolabnoparty.com

    To delete certificates from within the NTAuthCertificates store, run the command:

    C:\>certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=nolabnoparty,DC=local?cACertificate?base?objectclass=certificationAuthority”

    decommissionca36

    Картинка с сайта: nolabnoparty.com

    Click OK to delete the certificate.

    decommissionca37

    Картинка с сайта: nolabnoparty.com

    Now run the following command:

    C:\>certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=nolabnoparty,DC=local?cACertificate?base?objectclass=pKIEnrollmentService”

    decommissionca38

    Картинка с сайта: nolabnoparty.com

    Click OK to delete the certificate.

    decommissionca39

    Картинка с сайта: nolabnoparty.com

    Delete the CA database

    Since the database is not removed during the Certification Services uninstall process, to remove the database delete the %systemroot%\System32\Certlog folder.

    decommissionca40

    Картинка с сайта: nolabnoparty.com

    Remove certificates from DCs

    Also the certificates that were issued to Domain Controllers must be removed.

    On a Domain Controller, open the Command Prompt and type the command:

    C:\>certutil -dcinfo deleteBad

    decommissionca41

    Картинка с сайта: nolabnoparty.com

    Certutil tries to validate all the DC certificates that are issued to the domain controllers. Certificates that do not validate are removed. The Active Directory Certificate Services has been removed from the Active Directory successfully.

    firma

    Картинка с сайта: nolabnoparty.com

    Источник

    Понравилась статья? Поделить с друзьями:
    0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии
  • Настройка microsoft edge в windows 10
  • Скачайте с сайта нуц рк ncalayer для windows запустите файл ncalayerinstall exe
  • Как удалить обновления в windows 10 до перезагрузки
  • Vps на windows с почасовой оплатой
  • Как настроить вход по отпечатку пальца windows 11