Основная проблема, с которой я сталкиваюсь, заключается в том, что у меня> 100 000 бесполезных сертификатов компьютеров, загромождающих мой ЦС, и я хотел бы удалить их, не удаляя все сертификаты, не тратя время на запуск сервера и аннулируя некоторые из полезных сертификатов в там.
Это произошло в результате принятия пары значений по умолчанию с нашим корпоративным корневым центром сертификации (2008 R2) и использования GPO
автоматической регистрации клиентских компьютеров для сертификатов, чтобы разрешить 802.1x
аутентификацию в нашей корпоративной беспроводной сети.
Оказывается, что по умолчанию с Computer (Machine)
Certificate Template
радостью разрешат повторную регистрацию машин вместо того, чтобы указывать им использовать уже имеющийся сертификат. Это создает ряд проблем для парня (меня), который надеялся использовать Центр сертификации как журнал для каждой перезагрузки рабочей станции.
(Полоса прокрутки на боковой стороне лежит, если вы перетащите ее вниз, экран остановится и загрузит следующие несколько десятков сертификатов.)
Кто-нибудь знает, как УДАЛИТЬ 100 000 или около того действительных сертификатов, действующих по времени, из ЦС Windows Server 2008R2?
Когда я иду, чтобы удалить сертификат сейчас, сейчас, я получаю ошибку, что его нельзя удалить, потому что он все еще действителен. Итак, в идеале, какой-то способ временно обойти эту ошибку, поскольку Марк Хендерсон предоставил способ удаления сертификатов с помощью скрипта после устранения этого препятствия.
(Отзыв их не вариант, так как он просто перемещает их Revoked Certificates
, которые мы должны иметь возможность просматривать, и они также не могут быть удалены из отозванной «папки».)
Обновить:
Я попробовал сайт @MarkHenderson со ссылками , который является многообещающим и предлагает гораздо лучшую управляемость сертификатами, но все же не совсем там. Проблема в моем случае, кажется, заключается в том, что сертификаты все еще "действительны по времени" (еще не истек), поэтому ЦС не хочет, чтобы они были удалены из существования, и это также относится к отозванным сертификатам, поэтому отзыв их все, а затем их удаление тоже не сработает.
Я также нашел этот технический блог с моим Google-Fu , но, к сожалению, им, похоже, нужно было только удалить очень большое количество запросов на сертификаты, а не настоящие сертификаты.
Наконец, на данный момент, время для продвижения CA вперед, чтобы у сертификатов, от которых я хочу избавиться, истек срок действия, и, следовательно, их можно было удалить с помощью инструментов на сайте. Пометить ссылку не очень удачный вариант, так как истек срок действия ряда действующих сертификатов, которые мы используем. которые должны быть выданы вручную. Так что это лучший вариант, чем восстановление СА, но не лучший вариант.
Моя интуиция говорит, что протрите ее и начните все заново, и вы будете счастливы позже, но если вы уже изменили ее, чтобы сохранить сертификаты в AD (что идеально), и вы будете стереть и начать все сначала, у вас все еще будет тонна из поддельных сертификатов они будут просто в AD подключены ко всем учетным записям компьютеров, а не в вашем ЦС. Так что это беспорядок в любом случае на самом деле.
Жесткий призыв. Вы можете отозвать, как вы сказали, но я не верю, что вы можете полностью избавиться от них из CA mmc.
Если вы начинаете все сначала, следуйте инструкциям здесь, чтобы сделать это как можно более чисто
источник
Поскольку на следующий день я не хотел находить еще около 4000 выпущенных сертификатов, я остановил выдачу бессмысленных сертификатов, удалив «Компьютер» «Шаблон сертификата» по умолчанию и добавив его дубликат, для которого установлено значение
Publish certificate in Active Directory
иDo not automatically reenroll if a duplicate certificate exists in Active Directory
.Все еще оставляет меня с проблемой того, как избавиться от тех, кто уже там, но это только начало.
источник