Tags: Active Directory, Zertifikate
Wenn man einen Server mit der installierten Rolle der AD CS außer Betrieb nimmt, dann bleibt zum Schluss immer die Aufgabe, die betreffende Zertifizierungsstelle aus dem Active Directory zu entfernen. Andernfalls stört sie etwa beim Ausstellen neuer Zertifikate. Das Löschen erfolgt manuell in AD-Standorte und Dienste.
Die ordnungsgemäße Außerbetriebnahme einer Zertifizierungsstelle erfolgt in mehreren Schritten, darunter dem Sperren aller Zertifikate, die von dieser CA ausgestellt wurden, dem Ablehnen wartender Anfragen, dem Löschen des Private Key und der Deinstallation der Rolle AD CS (siehe dazu Microsoft Docs).
Es kann aber auch vorkommen, dass der betreffende Server aus dem Netz entfernt wurde, ohne dieses empfohlene Vorgehen einzuhalten, etwa nach einem Hardware-Defekt oder in Lab-Umgebungen.
Unabhängig von der Art, wie eine CA ausgemustert wurde, bleiben davon zum Schluss die betreffenden Einträge im Active Directory zurück, so dass man dieses bereinigen sollte. Andernfalls funken nicht mehr verfügbare CAs beispielsweise dazwischen, wenn man ein neues Zertifikat anfordert, weil im certmgr.msc per Voreinstellung alle aktiviert sind.
Eine Übersicht über alle registrierten Zertifizierungsstellen erhält man durch den Aufruf der Dienstprogramms certutil.exe.
Alternativ kann man dafür einen recht langen PowerShell-Befehl absetzen:
Get-ADObject -filter * `
-SearchBase "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=de"
Aus der Ausgabe dieser Befehle entnimmt man den Namen der CA, die man aus dem AD entfernen möchte.
Anschließend startet man Active Directory Sites and Services und aktiviert dort unter View die Option Show Services Node.
Anschließend navigiert man in der Baumstruktur zu Services => Public Key Services und öffnet erst den Container AIA.
Dort sollten sich die Einträge für alle zuvor mit certutil.exe angezeigten Zertifizierungsstellen finden. Die nicht mehr benötigten löscht man hier und wiederholt den Vorgang für die Container CDP, Certification Authorities, Enrollment Services und KRA.
Um sicherzugehen, dass man alle Einträge erwischt hat, setzt man folgenden Befehl ab:
ldifde -r "cn=<Common-Name-der-CA" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=de" -f output.ldf
War das Bereinigen erfolgreich, dann sollte output.ldf leer bleiben.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Windows-Zertifizierungsstelle außer Betrieb nehmen
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- Mit Zertifikaten an Azure Active Directory authentifizieren
- Authentifizierung ohne Passwörter mit Windows Hello for Business
- AD-Zertifikatsdienste (AD CS) von SHA-1 auf SHA-2 migrieren: Gründe und Hindernisse
Weitere Links