Центр сертификации Windows 2008 R2 и автоматическая регистрация: как избавиться от> 100 000 выданных сертификатов?
Основная проблема, с которой я сталкиваюсь, заключается в том, что у меня есть> 100000 бесполезных сертификатов машин, загромождающих мой ЦС, и я хотел бы удалить их, не удаляя все сертификаты или не перескакивая вперед сервер и не делая недействительными некоторые из полезных сертификатов на там.
Это произошло в результате принятия пары значений по умолчанию с нашим корпоративным корневым центром сертификации (2008 R2) и использования GPO для автоматической регистрации клиентских машин для сертификатов, чтобы разрешить 802.1x аутентификация в нашей корпоративной беспроводной сети.
Оказывается, по умолчанию Computer (Machine) Certificate Template с радостью позволят машинам повторно зарегистрироваться вместо того, чтобы указывать им использовать сертификат, который у них уже есть. Это создает ряд проблем для парня (меня), который надеялся использовать центр сертификации как нечто большее, чем журнал каждой перезагрузки рабочей станции.
(Полоса прокрутки сбоку лежит, если перетащить ее вниз, экран приостанавливается и загружает следующие несколько десятков сертификатов.)
Кто-нибудь знает, как УДАЛИТЬ Около 100 000 действующих сертификатов от центра сертификации Windows Server 2008R2?
Теперь, когда я иду удалить сертификат, я получаю сообщение об ошибке, что его нельзя удалить, потому что он еще действителен. Итак, в идеале, какой-то способ временно обойти эту ошибку, поскольку Марк Хендерсон предоставил способ удалить сертификаты с помощью сценария, как только это препятствие будет устранено.
(Отменить их нельзя, так как это просто перемещает их в Revoked Certificates, которые нам нужно иметь возможность просматривать, и их тоже нельзя удалить из отозванной "папки".)
Обновить:
Я пробовал сайт @MarkHenderson, связанный, что многообещающе и предлагает гораздо лучшую управляемость сертификатами, но все еще не совсем подходит. Проблема в моем случае заключается в том, что сертификаты все еще «действительны по времени» (еще не истекли), поэтому ЦС не хочет, чтобы они были удалены из существования, и это также относится к отозванным сертификатам, поэтому отмена их все, а затем удалить их тоже не сработает.
Я также нашел этот технический блог с моим Google-Fu, но, к сожалению, им нужно было удалить только очень большое количество запросов на сертификаты, а не сами сертификаты.
Наконец, на данный момент время перескакивает с CA, поэтому сертификаты, которые я хочу избавиться, истекают и, следовательно, могут быть удалены с помощью инструментов на сайте. Отметить привязку - не лучший вариант, поскольку истечет срок действия ряда действующих сертификатов, которые мы используем. которые должны быть выданы вручную. Так что это лучший вариант, чем восстановление ЦС, но не лучший.
Я не пробовал, но есть поставщик PKI PowerShell от https://pspki.codeplex.com/ у которого есть много интересных функций, таких как Revoke-Certificate с последующим Remove-Request:
Удаляет указанную строку запроса сертификата из базы данных центра сертификации (ЦС).
Эту команду можно использовать для уменьшения размера базы данных CA путем удаления ненужных запросов сертификатов. Например, удалите неудавшиеся запросы и неиспользованный сертификат с истекшим сроком действия.
Примечание: после удаления определенной строки вы не сможете получить какие-либо свойства и (при необходимости) отозвать соответствующий сертификат.
Поскольку на следующий день я не хотел находить еще ~ 4000 выданных сертификатов, я остановил бессмысленную выдачу сертификатов, удалив стандартный шаблон сертификата «Компьютер» и добавив его дубликат, для которого установлено значение Publish certificate in Active Directory и Do not automatically reenroll if a duplicate certificate exists in Active Directory.
Мне все еще остается проблема, как избавиться от уже имеющихся, но это только начало.
Моя интуиция говорит: протрите его и начните все сначала, и вы будете счастливы позже, но если вы уже изменили его, чтобы сохранить сертификаты в AD (что идеально), и вы протрите его и начнете заново, у вас все равно будет тонна поддельных сертификатов они просто будут в AD, прикрепленными ко всем учетным записям компьютеров, а не к вашему ЦС. Так что в любом случае это беспорядок.
Жесткий призыв. Вы можете отозвать, как вы сказали, но я не верю, что вы можете полностью избавиться от них из CA mmc.
Если вы все же начнете, следуйте инструкциям Вот сделать это как можно более чисто