Windows 2008 R2 CA и автоматическая регистрация: как избавиться от> 100 000 выданных сертификатов?

14

Основная проблема, с которой я сталкиваюсь, заключается в том, что у меня> 100 000 бесполезных сертификатов компьютеров, загромождающих мой ЦС, и я хотел бы удалить их, не удаляя все сертификаты, не тратя время на запуск сервера и аннулируя некоторые из полезных сертификатов в там.

Это произошло в результате принятия пары значений по умолчанию с нашим корпоративным корневым центром сертификации (2008 R2) и использования GPOавтоматической регистрации клиентских компьютеров для сертификатов, чтобы разрешить 802.1xаутентификацию в нашей корпоративной беспроводной сети.

Оказывается, что по умолчанию с Computer (Machine) Certificate Templateрадостью разрешат повторную регистрацию машин вместо того, чтобы указывать им использовать уже имеющийся сертификат. Это создает ряд проблем для парня (меня), который надеялся использовать Центр сертификации как журнал для каждой перезагрузки рабочей станции.

Мои офигенные глаза!

(Полоса прокрутки на боковой стороне лежит, если вы перетащите ее вниз, экран остановится и загрузит следующие несколько десятков сертификатов.)

Кто-нибудь знает, как УДАЛИТЬ 100 000 или около того действительных сертификатов, действующих по времени, из ЦС Windows Server 2008R2?

Когда я иду, чтобы удалить сертификат сейчас, сейчас, я получаю ошибку, что его нельзя удалить, потому что он все еще действителен. Итак, в идеале, какой-то способ временно обойти эту ошибку, поскольку Марк Хендерсон предоставил способ удаления сертификатов с помощью скрипта после устранения этого препятствия.

(Отзыв их не вариант, так как он просто перемещает их Revoked Certificates, которые мы должны иметь возможность просматривать, и они также не могут быть удалены из отозванной «папки».)

Обновить:

Я попробовал сайт @MarkHenderson со ссылками , который является многообещающим и предлагает гораздо лучшую управляемость сертификатами, но все же не совсем там. Проблема в моем случае, кажется, заключается в том, что сертификаты все еще "действительны по времени" (еще не истек), поэтому ЦС не хочет, чтобы они были удалены из существования, и это также относится к отозванным сертификатам, поэтому отзыв их все, а затем их удаление тоже не сработает.

Я также нашел этот технический блог с моим Google-Fu , но, к сожалению, им, похоже, нужно было только удалить очень большое количество запросов на сертификаты, а не настоящие сертификаты.

Наконец, на данный момент, время для продвижения CA вперед, чтобы у сертификатов, от которых я хочу избавиться, истек срок действия, и, следовательно, их можно было удалить с помощью инструментов на сайте. Пометить ссылку не очень удачный вариант, так как истек срок действия ряда действующих сертификатов, которые мы используем. которые должны быть выданы вручную. Так что это лучший вариант, чем восстановление СА, но не лучший вариант.

windows  active-directory  windows-server-2008-r2  group-policy  certificate-authority 
HopelessN00b
источник

Ответы:

8

Я не пробовал это, но есть поставщик PKI PowerShell из https://pspki.codeplex.com/ , который имеет много интересных перспективные функции , как Revoke-Certificateследует Remove-Request:

Удаляет указанную строку запроса сертификата из базы данных центра сертификации (ЦС).

Эта команда может быть использована для уменьшения размера базы данных CA путем удаления ненужных запросов на сертификат. Например, удалить неудавшиеся запросы и неиспользованный просроченный сертификат.

Примечание: после удаления определенной строки вы не сможете получить какие-либо свойства и (при необходимости) отозвать соответствующий сертификат.

Марк Хендерсон
источник
Brilliant! Я кланяюсь вашему превосходному Google-Fu и попробую это завтра.
HopelessN00b
1
Почти блестящий, черт возьми. Невозможно отозвать выданный или отозванный сертификат с указанием срока действия, поскольку certserv не разрешит вам. Так что я предполагаю, что я отключаю сервер, перекидываю часы на пару лет и затем пробую это. Вздох Еще выходные с работой. blogs.technet.com/b/askds/archive/2010/08/31/…
HopelessN00b
2

Моя интуиция говорит, что протрите ее и начните все заново, и вы будете счастливы позже, но если вы уже изменили ее, чтобы сохранить сертификаты в AD (что идеально), и вы будете стереть и начать все сначала, у вас все еще будет тонна из поддельных сертификатов они будут просто в AD подключены ко всем учетным записям компьютеров, а не в вашем ЦС. Так что это беспорядок в любом случае на самом деле.

Жесткий призыв. Вы можете отозвать, как вы сказали, но я не верю, что вы можете полностью избавиться от них из CA mmc.

Если вы начинаете все сначала, следуйте инструкциям здесь, чтобы сделать это как можно более чисто

Пол Акерман
источник
В AD уже возникла путаница, благодаря последним ... 4 (?) CA, которые заменили, не разложили должным образом / вовсе. (Не говоря уже обо всех «других вещах», которые неправильны в нашем домене.) В любом случае, мы в скором времени собираемся перейти на новый домен, поэтому я не уверен, стоит ли выплата того времени, которое я должен был бы потратить, чтобы получить это сделано чисто.
HopelessN00b
2

Поскольку на следующий день я не хотел находить еще около 4000 выпущенных сертификатов, я остановил выдачу бессмысленных сертификатов, удалив «Компьютер» «Шаблон сертификата» по умолчанию и добавив его дубликат, для которого установлено значение Publish certificate in Active Directory и Do not automatically reenroll if a duplicate certificate exists in Active Directory.

  • Какими должны быть значения по умолчанию

Все еще оставляет меня с проблемой того, как избавиться от тех, кто уже там, но это только начало.

HopelessN00b
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.