Tags: Active Directory, Zertifikate
Wenn man einen Server mit der installierten Rolle der AD CS außer Betrieb nimmt, dann bleibt zum Schluss immer die Aufgabe, die betreffende Zertifizierungsstelle aus dem Active Directory zu entfernen. Andernfalls stört sie etwa beim Ausstellen neuer Zertifikate. Das Löschen erfolgt manuell in AD-Standorte und Dienste.
Die ordnungsgemäße Außerbetriebnahme einer Zertifizierungsstelle erfolgt in mehreren Schritten, darunter dem Sperren aller Zertifikate, die von dieser CA ausgestellt wurden, dem Ablehnen wartender Anfragen, dem Löschen des Private Key und der Deinstallation der Rolle AD CS (siehe dazu Microsoft Docs).
Es kann aber auch vorkommen, dass der betreffende Server aus dem Netz entfernt wurde, ohne dieses empfohlene Vorgehen einzuhalten, etwa nach einem Hardware-Defekt oder in Lab-Umgebungen.
Unabhängig von der Art, wie eine CA ausgemustert wurde, bleiben davon zum Schluss die betreffenden Einträge im Active Directory zurück, so dass man dieses bereinigen sollte. Andernfalls funken nicht mehr verfügbare CAs beispielsweise dazwischen, wenn man ein neues Zertifikat anfordert, weil im certmgr.msc per Voreinstellung alle aktiviert sind.
Eine Übersicht über alle registrierten Zertifizierungsstellen erhält man durch den Aufruf der Dienstprogramms certutil.exe.
Alternativ kann man dafür einen recht langen PowerShell-Befehl absetzen:
Get-ADObject -filter * `
-SearchBase "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=de"
Aus der Ausgabe dieser Befehle entnimmt man den Namen der CA, die man aus dem AD entfernen möchte.
Anschließend startet man Active Directory Sites and Services und aktiviert dort unter View die Option Show Services Node.
Anschließend navigiert man in der Baumstruktur zu Services => Public Key Services und öffnet erst den Container AIA.
Dort sollten sich die Einträge für alle zuvor mit certutil.exe angezeigten Zertifizierungsstellen finden. Die nicht mehr benötigten löscht man hier und wiederholt den Vorgang für die Container CDP, Certification Authorities, Enrollment Services und KRA.
Um sicherzugehen, dass man alle Einträge erwischt hat, setzt man folgenden Befehl ab:
ldifde -r "cn=<Common-Name-der-CA" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=de" -f output.ldf
War das Bereinigen erfolgreich, dann sollte output.ldf leer bleiben.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Mit Zertifikaten an Azure Active Directory authentifizieren
- Authentifizierung ohne Passwörter mit Windows Hello for Business
- AD-Zertifikatsdienste (AD CS) von SHA-1 auf SHA-2 migrieren: Gründe und Hindernisse
- Active Directory-Zertifikatdienste auf einen neuen Server migrieren
- SSL-Zertifikate über AD-Zertifizierungsstelle und GPO automatisch ausstellen und erneuern
1 Kommentar
Danke für den Artikel Wolfgang.
Noch einfacher geht es mit ADSIEdit, dort hat man sowohl die Ansicht als auch die Löschfunktion in einer GUI. Vielleicht magst du dir das ansehen und den Artikel ergänzen.