Основна проблема, яка у мене виникає, полягає в тому, що у мене> 100 000 марних машинних сертифікатів, захаращуючи мій СА, і я хотів би видалити їх, не видаляючи всі серти, або перескочивши час сервера вперед та вимкнувши деякі корисні серти на там.
Це сталося в результаті прийняття пари за замовчуванням з нашим Enterprise Root CA (2008 R2) та використання GPO
автоматичної реєстрації клієнтських машин для отримання сертифікатів, щоб дозволити 802.1x
аутентифікацію до нашої корпоративної бездротової мережі.
Виявляється, що за замовчуванням Computer (Machine)
Certificate Template
радісно дозволять машинам повторно записатись, а не направляти їх на використання сертифікату, який вони вже мають. Це створює ряд проблем для хлопця (мене), який сподівався використовувати Сертифікаційний орган як більше ніж журнал кожного разу, коли робоча станція перезавантажується.
(Смуга прокрутки збоку лежить, якщо перетягнути її донизу, екран призупиняється та завантажує наступні кілька десятків символів.)
Хто-небудь знає, як ВИДАЛИТИ 100 000 або близько того часу діючих сертифікатів з Windows Server 2008R2 CA?
Коли я зараз збираюся видалити сертифікат, я отримую помилку, що його неможливо видалити, оскільки він все ще дійсний. Отже, в ідеалі - якийсь спосіб тимчасово обійти цю помилку, оскільки Марк Хендерсон надав спосіб видалити сертифікати зі скриптом після того, як буде усунено перешкоду.
(Відкликання їх не є варіантом, оскільки це просто переміщує їх до того Revoked Certificates
, що нам потрібно мати змогу переглядати, і їх також не можна видалити з відкликаної "папки".)
Оновлення:
Я спробував веб-сайт @MarkHenderson , який є багатообіцяючим, і він пропонує набагато кращу керованість сертифікатами, але все ще не зовсім так. У моєму випадку, здається, що сертифікати все ще "дійсні" (ще не закінчився), тому КА не хоче видаляти їх із існування, і це стосується і відкликаних сертів, тому їх все, а потім їх видалення також не буде працювати.
Я також знайшов цей блог технологій у своєму Google-Fu , але, на жаль, вони, здається, повинні видалити дуже велику кількість запитів на сертифікати, а не фактичні сертифікати.
Нарешті, наразі час стрибки CA вперед, тому термін дії сертифікатів, які я хочу позбутися, може бути видалений, і тому їх можна видалити за допомогою інструментів на сайті. які повинні бути видані вручну. Тож це кращий варіант, ніж відбудова CA, але не чудовий.