14 votos

Windows 2008 R2 CA y auto-inscripción: cómo deshacerse de >100,000 certificados emitidos?

El principal problema que estoy teniendo es que tengo >100,000 máquina inútil certificados de estorbar encima de mi CA, y me gustaría eliminarlos, sin eliminar todos los certificados, o la hora de saltar el servidor por delante, e invalidar algunos de los útiles de certificados de allí.

Esto se produjo como resultado de la aceptación de un par de valores por defecto con nuestra entidad emisora Raíz de Empresa (2008 R2) y el uso de un GPO a auto-inscribirse equipos cliente para certificados para permitir 802.1x de autenticación a nuestra red inalámbrica corporativa.

Resulta que el defecto Computer (Machine) Certificate Template estará feliz de permitir a las máquinas volver a inscribirse en lugar de dirigirlos a utilizar el certificado que ya tienen. Esto está creando una serie de problemas para el hombre (me) que tenía la esperanza de utilizar el Certificado de la Autoridad como algo más que un registro de cada vez que una estación de trabajo se ha reiniciado.

My freaking eyes!

(La barra de desplazamiento en el lado es mentira, si lo arrastra a la parte inferior, la pantalla se pondrá en pausa y cargas de la siguiente docena de cert.)

¿Alguien sabe cómo ELIMINAR 100.000 o tiempo válido, certificados existentes desde un Windows Server 2008R2 CA?

Cuando voy a eliminar un certificado de ahora, ahora, me sale un error que no se puede eliminar porque es todavía válida. Así que, idealmente, de alguna manera omitir temporalmente ese error, como Mark Henderson, se proporciona un método para eliminar los certificados con una secuencia de comandos una vez que el obstáculo está desactivada.

(Revocación de ellos no es una opción, ya que sólo los mueve a Revoked Certificates, lo que tenemos que ser capaces de ver, y que no pueden ser eliminados de la revocación de la "carpeta").

Actualización:

He probado el sitio de @MarkHenderson vinculados, lo cual es prometedor, y ofrece mucho mejor certificado de capacidad de gestión, pero todavía no acaba de llegar. El problema en mi caso parece ser que los certificados están siendo "válido" (aún no vigente) por lo que el CA no quiero dejarlos ser borrado de la existencia, y esto se aplica a revocar certificados, así que la revocación de todos ellos y, a continuación, la eliminación de ellos no funciona bien.

También he encontrado este blog de technet con mi Google-Fu, pero, por desgracia, parecía que sólo tiene que eliminar un gran número de solicitudes de certificados, y no certificados.

Finalmente, por ahora, tiempo saltando la CA hacia adelante para que los certificados quiero librarme de expirar, y por lo tanto pueden ser eliminados con las herramientas en el sitio de la Marca vinculada, no es una gran opción, como sería la caducidad de un número de certificados que utilizamos que tiene que ser manualmente emitido. Así que es una opción mejor que la reconstrucción de la CA, pero no un gran uno.

8voto

Shlomi Fish Puntos 1951

No he probado esto, pero hay una PKI proveedor de PowerShell de https://pspki.codeplex.com/ que tiene un montón de interesante mirar funciones como Revoke-Certificate , seguido por Remove-Request:

Elimina especificado solicitud de certificado de fila de la Autoridad de Certificación (CA) de la Base de datos.

Este comando puede ser usado para reducir el tamaño de la base de datos de CA, mediante la eliminación de innecesarias las solicitudes de certificado. Por ejemplo, eliminar el error en las solicitudes y no utilizados certificado caducado.

Nota: después de eliminar fila en particular usted no puede recuperar cualquier propiedades y (si es necesario) revocar el certificado correspondiente.

2voto

Paul Ackerman Puntos 2468

Mi instinto dice wipe y empezar de nuevo sin la metedura de pata y que voy a ser feliz más tarde, pero si ya lo cambió para almacenar los certificados en el año (que es lo ideal) y de borrar y empezar de nuevo, usted todavía tiene un montón de falsos certificados que sólo va a ser en el año adjunta a todas las cuentas de equipo en lugar de en su CA. Así que es un lío, ya sea de la manera realmente.

Situación difícil. Usted puede revocar como usted ha dicho, pero no creo que usted puede deshacerse de ellos por completo de la CA mmc.

Si usted empezar de nuevo, siga los pasos aquí para hacerlo de la forma más limpia posible

2voto

HopelessN00b Puntos 38607

Porque no me quieren buscar otro ~4000 certificados emitidos al día siguiente, dejé el sin sentido emisión del certificado por la eliminación de la opción por defecto "Equipo" a "de la Plantilla de Certificado" y la adición de un duplicado de lo que se establece en Publish certificate in Active Directory y Do not automatically reenroll if a duplicate certificate exists in Active Directory.

  • What the defaults should be

Todavía me deja con el problema de cómo deshacerse de los que ya hay, pero es un comienzo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: