Nicht mehr existierende Zertifizierungsstellen aus dem Active Directory entfernen


    Tags: ,

    ZertifizierungsstelleWenn man einen Server mit der instal­lierten Rolle der AD CS außer Betrieb nimmt, dann bleibt zum Schluss immer die Auf­gabe, die betref­fende Zertifi­zierungs­stelle aus dem Active Directory zu ent­fernen. Andern­falls stört sie etwa beim Aus­stellen neuer Zertifikate. Das Löschen erfolgt manuell in AD-Stand­orte und Dienste.

    Die ordnungs­gemäße Außer­betrieb­nahme einer Zertifi­zierungs­stelle erfolgt in mehreren Schritten, darunter dem Sperren aller Zertifikate, die von dieser CA ausgestellt wurden, dem Ablehnen wartender Anfragen, dem Löschen des Private Key und der Deinstallation der Rolle AD CS (siehe dazu Microsoft Docs).

    Es kann aber auch vorkommen, dass der betreffende Server aus dem Netz entfernt wurde, ohne dieses empfohlene Vorgehen einzuhalten, etwa nach einem Hardware-Defekt oder in Lab-Umgebungen.

    Unabhängig von der Art, wie eine CA ausgemustert wurde, bleiben davon zum Schluss die betreffenden Einträge im Active Directory zurück, so dass man dieses bereinigen sollte. Andernfalls funken nicht mehr verfügbare CAs beispiels­weise dazwischen, wenn man ein neues Zertifikat anfordert, weil im certmgr.msc per Voreinstellung alle aktiviert sind.

    Fehler beim Anfordern eines Zertifikats, weil eine nicht mehr vorhandene CA ausgewählt war.

    Eine Übersicht über alle registrierten Zertifizierungs­stellen erhält man durch den Aufruf der Dienst­programms certutil.exe.

    Registrierte Zertifizierungs­stellen mit certutil.exe anzeigen

    Alternativ kann man dafür einen recht langen PowerShell-Befehl absetzen:

    Get-ADObject -filter * `
    -SearchBase "CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=de"

    Aus der Ausgabe dieser Befehle entnimmt man den Namen der CA, die man aus dem AD entfernen möchte.

    Anschließend startet man Active Directory Sites and Services und aktiviert dort unter View die Option Show Services Node.

    Services über das Menü Ansicht einblenden

    Anschließend navigiert man in der Baumstruktur zu Services => Public Key Services und öffnet erst den Container AIA.

    Ausgemusterte Zertifizierungsstellen aus dem Active Directory löschen

    Dort sollten sich die Einträge für alle zuvor mit certutil.exe angezeigten Zertifizierungs­stellen finden. Die nicht mehr benötigten löscht man hier und wiederholt den Vorgang für die Container CDP, Certification Authorities, Enrollment Services und KRA.

    Um sicherzugehen, dass man alle Einträge erwischt hat, setzt man folgenden Befehl ab:

    ldifde -r "cn=<Common-Name-der-CA" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=de" -f output.ldf

    Überreste von CAs im Active Directory mit ldifde.exe aufspüren

    War das Bereinigen erfolgreich, dann sollte output.ldf leer bleiben.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links