Nicht mehr existierende Zertifizierungsstellen aus dem Active Directory entfernen

    ZertifizierungsstelleWenn man einen Server mit der instal­lierten Rolle der AD CS außer Betrieb nimmt, dann bleibt zum Schluss immer die Auf­gabe, die betref­fende Zertifi­zierungs­stelle aus dem Active Directory zu ent­fernen. Andern­falls stört sie etwa beim Aus­stellen neuer Zertifikate. Das Löschen erfolgt manuell in AD-Stand­orte und Dienste.

    Die ordnungs­gemäße Außer­betrieb­nahme einer Zertifi­zierungs­stelle erfolgt in mehreren Schritten, darunter dem Sperren aller Zertifikate, die von dieser CA ausgestellt wurden, dem Ablehnen wartender Anfragen, dem Löschen des Private Key und der Deinstallation der Rolle AD CS (siehe dazu Microsoft Docs).

    Es kann aber auch vorkommen, dass der betreffende Server aus dem Netz entfernt wurde, ohne dieses empfohlene Vorgehen einzuhalten, etwa nach einem Hardware-Defekt oder in Lab-Umgebungen.

    Unabhängig von der Art, wie eine CA ausgemustert wurde, bleiben davon zum Schluss die betreffenden Einträge im Active Directory zurück, so dass man dieses bereinigen sollte. Andernfalls funken nicht mehr verfügbare CAs beispiels­weise dazwischen, wenn man ein neues Zertifikat anfordert, weil im certmgr.msc per Voreinstellung alle aktiviert sind.

    Fehler beim Anfordern eines Zertifikats, weil eine nicht mehr vorhandene CA ausgewählt war.

    Eine Übersicht über alle registrierten Zertifizierungs­stellen erhält man durch den Aufruf der Dienst­programms certutil.exe.

    Registrierte Zertifizierungs­stellen mit certutil.exe anzeigen

    Alternativ kann man dafür einen recht langen PowerShell-Befehl absetzen:

    Get-ADObject -filter * `
    -SearchBase "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=de"

    Aus der Ausgabe dieser Befehle entnimmt man den Namen der CA, die man aus dem AD entfernen möchte.

    Anschließend startet man Active Directory Sites and Services und aktiviert dort unter View die Option Show Services Node.

    Services über das Menü Ansicht einblenden

    Anschließend navigiert man in der Baumstruktur zu Services => Public Key Services und öffnet erst den Container AIA.

    Ausgemusterte Zertifizierungsstellen aus dem Active Directory löschen

    Dort sollten sich die Einträge für alle zuvor mit certutil.exe angezeigten Zertifizierungs­stellen finden. Die nicht mehr benötigten löscht man hier und wiederholt den Vorgang für die Container CDP, Certification Authorities, Enrollment Services und KRA.

    Um sicherzugehen, dass man alle Einträge erwischt hat, setzt man folgenden Befehl ab:

    ldifde -r "cn=<Common-Name-der-CA" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=de" -f output.ldf

    Überreste von CAs im Active Directory mit ldifde.exe aufspüren

    War das Bereinigen erfolgreich, dann sollte output.ldf leer bleiben.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    1 Kommentar

    Karl Wester-Ebb... sagt:
    26. August 2021 - 9:04

    Danke für den Artikel Wolfgang.
    Noch einfacher geht es mit ADSIEdit, dort hat man sowohl die Ansicht als auch die Löschfunktion in einer GUI. Vielleicht magst du dir das ansehen und den Artikel ergänzen.