Windows 2008 R2 CA та автоматична реєстрація: як позбутися> 100 000 виданих сертифікатів?


14

Основна проблема, яка у мене виникає, полягає в тому, що у мене> 100 000 марних машинних сертифікатів, захаращуючи мій СА, і я хотів би видалити їх, не видаляючи всі серти, або перескочивши час сервера вперед та вимкнувши деякі корисні серти на там.

Це сталося в результаті прийняття пари за замовчуванням з нашим Enterprise Root CA (2008 R2) та використання GPOавтоматичної реєстрації клієнтських машин для отримання сертифікатів, щоб дозволити 802.1xаутентифікацію до нашої корпоративної бездротової мережі.

Виявляється, що за замовчуванням Computer (Machine) Certificate Templateрадісно дозволять машинам повторно записатись, а не направляти їх на використання сертифікату, який вони вже мають. Це створює ряд проблем для хлопця (мене), який сподівався використовувати Сертифікаційний орган як більше ніж журнал кожного разу, коли робоча станція перезавантажується.

Мої вигадливі очі!

(Смуга прокрутки збоку лежить, якщо перетягнути її донизу, екран призупиняється та завантажує наступні кілька десятків символів.)

Хто-небудь знає, як ВИДАЛИТИ 100 000 або близько того часу діючих сертифікатів з Windows Server 2008R2 CA?

Коли я зараз збираюся видалити сертифікат, я отримую помилку, що його неможливо видалити, оскільки він все ще дійсний. Отже, в ідеалі - якийсь спосіб тимчасово обійти цю помилку, оскільки Марк Хендерсон надав спосіб видалити сертифікати зі скриптом після того, як буде усунено перешкоду.

(Відкликання їх не є варіантом, оскільки це просто переміщує їх до того Revoked Certificates, що нам потрібно мати змогу переглядати, і їх також не можна видалити з відкликаної "папки".)

Оновлення:

Я спробував веб-сайт @MarkHenderson , який є багатообіцяючим, і він пропонує набагато кращу керованість сертифікатами, але все ще не зовсім так. У моєму випадку, здається, що сертифікати все ще "дійсні" (ще не закінчився), тому КА не хоче видаляти їх із існування, і це стосується і відкликаних сертів, тому їх все, а потім їх видалення також не буде працювати.

Я також знайшов цей блог технологій у своєму Google-Fu , але, на жаль, вони, здається, повинні видалити дуже велику кількість запитів на сертифікати, а не фактичні сертифікати.

Нарешті, наразі час стрибки CA вперед, тому термін дії сертифікатів, які я хочу позбутися, може бути видалений, і тому їх можна видалити за допомогою інструментів на сайті. які повинні бути видані вручну. Тож це кращий варіант, ніж відбудова CA, але не чудовий.

Відповіді:


8

Я не пробував це, але є постачальник PKI PowerShell з https://pspki.codeplex.com/ , який має багато цікавих перспективні функції , як Revoke-Certificateслід Remove-Request:

Видаляє вказаний рядок запиту на сертифікат із бази даних Центру сертифікації (CA).

Ця команда може бути використана для зменшення розміру бази даних CA шляхом видалення зайвих запитів на сертифікати. Наприклад, видаліть невдалі запити та невикористаний сертифікат простроченого терміну.

Примітка: після видалення конкретного рядка ви не зможете отримати жодних властивостей і (при необхідності) відкликати відповідний сертифікат.


Блискуче! Я кланяюсь вашому вищому Google-Фу і спробую це завтра.
HopelessN00b

1
Майже блискуче, чорт. Неможливо відкликати виданий або відкликаний сертифікат, "термін дії", оскільки certserv не дозволить вам. Тому я думаю, що я беру сервер в автономному режимі, стрибаю годинник на пару років, а потім намагаюся це зробити. зітхнути Ще вихідні з робочими матеріалами. blogs.technet.com/b/askds/archive/2010/08/31/…
HopelessN00b

2

Моя кишка каже, що витріть її та починайте знов, а не згортайте, і ви будете щасливі пізніше, але якщо ви вже змінили її, щоб зберігати серти в AD (що ідеально), і ви стираєте та починаєте спочатку, ви все одно будете мати тонну неправдивих сертифікатів, вони просто будуть в AD приєднані до всіх облікових записів комп'ютерів, а не до вашого CA. Так що це безлад ні в будь-якому випадку.

Жорсткий дзвінок. Ви можете відкликати, як ви сказали, але я не вірю, що ви можете повністю позбутися їх від CA mmc.

Якщо ви все-таки починаєте спочатку, виконайте тут кроки, щоб зробити це максимально чисто


Вже заплутався в AD, завдяки останнім ... 4 (?) КА цей замінили не розпастися належним чином / зовсім. (Не кажучи вже про всі "інші речі", що в нашому домені неправильно.) Ми все одно скоро переходимо до нового домену, тому я не впевнений, чи варто виграш витратити час, який мені доведеться вкласти, щоб отримати це зроблено чисто.
HopelessN00b

2

Оскільки я не хотів знайти наступних ~ 4000 виданих сертифікатів на наступний день, я припинив видачу сертифікатів безвідмовної, видаливши за замовчуванням "Комп'ютер" "Шаблон сертифікатів" і додавши дублікат його, на який встановлено Publish certificate in Active Directory і Do not automatically reenroll if a duplicate certificate exists in Active Directory.

  • Якими повинні бути дефолти

Все ще залишає мене проблема, як позбутися тих, хто вже є, але це початок.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.