Windows 2008 R2 CA และการลงทะเบียนอัตโนมัติ: วิธีกำจัดใบรับรองที่ออกให้ 100,000 ใบ?


14

ปัญหาพื้นฐานที่ฉันมีคือฉันมีใบรับรองเครื่องที่ไร้ประโยชน์มากกว่า 100,000 รายการทำให้ CA ของฉันยุ่งเหยิงและฉันต้องการลบโดยไม่ต้องลบ certs ทั้งหมดหรือกระโดดเซิร์ฟเวอร์ไปข้างหน้า ที่นั่น

สิ่งนี้เกิดขึ้นจากการยอมรับการเริ่มต้นสองสามครั้งกับ Enterprise Root CA (2008 R2) ของเราและการใช้GPOเครื่องไคลเอนต์ลงทะเบียนอัตโนมัติเพื่อขอใบรับรองเพื่ออนุญาตการ802.1xรับรองความถูกต้องกับเครือข่ายไร้สายขององค์กรของเรา

ปรากฎว่าค่าเริ่มต้นComputer (Machine) Certificate Templateจะช่วยให้เครื่องลงทะเบียนได้อย่างมีความสุขแทนการสั่งให้ใช้ใบรับรองที่มีอยู่แล้ว นี่คือการสร้างปัญหาจำนวนหนึ่งสำหรับผู้ชาย (ฉัน) ที่หวังว่าจะใช้ Certificate Authority มากกว่าบันทึกของทุกครั้งที่มีการรีบูตเครื่อง

ตาที่น่าสลดใจของฉัน!

(แถบเลื่อนด้านข้างกำลังโกหกหากคุณลากไปด้านล่างหน้าจอจะหยุดชั่วคราวและโหลดสองสามโหลถัดไป)

ไม่มีใครรู้วิธีลบ 100,000 หรือใบรับรองที่ถูกต้องเวลาที่มีอยู่จาก Windows Server 2008R2 CA หรือไม่

เมื่อฉันไปลบใบรับรองตอนนี้ฉันได้รับข้อผิดพลาดว่าไม่สามารถลบได้เนื่องจากยังใช้งานได้ ดังนั้นวิธีที่ดีที่สุดที่จะหลีกเลี่ยงข้อผิดพลาดนั้นชั่วคราวเนื่องจาก Mark Henderson ได้จัดเตรียมวิธีการลบใบรับรองด้วยสคริปต์เมื่อมีการล้างสิ่งกีดขวาง

(การเพิกถอนนั้นไม่ใช่ตัวเลือกเนื่องจากเพิ่งย้ายไปRevoked Certificatesที่ซึ่งเราต้องสามารถดูได้และไม่สามารถลบออกจาก "โฟลเดอร์" ที่ถูกเพิกถอนได้)

ปรับปรุง:

ฉันลองไซต์ @MarkHenderson ที่เชื่อมโยงซึ่งมีแนวโน้มและให้การจัดการใบรับรองที่ดีกว่ามาก แต่ก็ยังไม่ถึง การถูในกรณีของฉันดูเหมือนว่าใบรับรองยังคงเป็น "เวลาถูกต้อง" (ยังไม่หมดอายุ) ดังนั้น CA ไม่ต้องการให้พวกเขาถูกลบออกจากการมีอยู่และสิ่งนี้นำไปใช้กับ certs เพิกถอนเช่นกันดังนั้นเพิกถอน พวกเขาทั้งหมดแล้วลบพวกเขาจะไม่ทำงานอย่างใดอย่างหนึ่ง

ฉันพบบล็อกเทคโนนี้กับ Google-Fuด้วย แต่น่าเสียดายที่พวกเขาดูเหมือนจะต้องลบคำขอใบรับรองจำนวนมากเท่านั้นไม่ใช่ใบรับรองจริง

ในที่สุดตอนนี้เวลาข้าม CA ไปข้างหน้าดังนั้นใบรับรองที่ฉันต้องการกำจัดหมดอายุและดังนั้นสามารถลบได้ด้วยเครื่องมือที่ไซต์ที่เชื่อมโยงมาร์กลิงก์ไม่ใช่ตัวเลือกที่ดีเพราะจะหมดอายุใบรับรองที่ถูกต้องที่เราใช้ ที่จะต้องมีการออกด้วยตนเอง ดังนั้นจึงเป็นตัวเลือกที่ดีกว่าการสร้าง CA ใหม่ แต่ไม่ใช่ตัวเลือกที่ยอดเยี่ยม

คำตอบ:


8

ฉันยังไม่ได้ลอง แต่มีผู้ให้บริการ PKI PowerShell จากhttps://pspki.codeplex.com/ที่มีฟังก์ชั่นการค้นหาที่น่าสนใจมากมายเช่นRevoke-Certificateตามด้วยRemove-Request:

ลบแถวคำขอใบรับรองที่ระบุออกจากฐานข้อมูลผู้ออกใบรับรอง (CA)

คำสั่งนี้สามารถใช้เพื่อลดขนาดฐานข้อมูล CA โดยการลบการร้องขอใบรับรองที่ไม่จำเป็น ตัวอย่างเช่นลบคำขอที่ล้มเหลวและใบรับรองหมดอายุที่ไม่ได้ใช้

หมายเหตุ:หลังจากคุณลบแถวใดแถวหนึ่งคุณจะไม่สามารถเรียกคืนคุณสมบัติใด ๆ และ (ถ้าจำเป็น) เพิกถอนใบรับรองที่เกี่ยวข้อง


ยอดเยี่ยม! ฉันคำนับให้ Google-Fu ที่เหนือกว่าของคุณและจะลองในวันพรุ่งนี้
HopelessN00b

1
เกือบจะเจิดจรัส ไม่สามารถเพิกถอน "เวลาที่ถูกต้อง" ที่ออกหรือเพิกถอนใบรับรองเนื่องจาก certserv จะไม่ยอมให้คุณ ดังนั้นฉันเดาว่าฉันกำลังใช้เซิร์ฟเวอร์ออฟไลน์ - ish กระโดดนาฬิกาไปข้างหน้าสองสามปีแล้วลองสิ่งนี้ ถอนหายใจ อีกสุดสัปดาห์กับสิ่งของทำงาน blogs.technet.com/b/askds/archive/2010/08/31/…
HopelessN00b

2

ไส้ของฉันบอกว่าเช็ดมันและเริ่มต้นใหม่โดยไม่ต้องทำอะไรเลยและคุณจะมีความสุขในภายหลัง แต่ถ้าคุณเปลี่ยนมันเพื่อเก็บ certs ใน AD (ซึ่งเหมาะมาก) และคุณเช็ดและเริ่มต้นใหม่คุณยังคงมีตัน ของปลอมปลอมพวกเขาจะอยู่ในโฆษณาที่แนบกับบัญชีคอมพิวเตอร์ทั้งหมดแทนใน CA ของคุณ ดังนั้นมันจึงเป็นระเบียบไม่ทางใดก็ทางหนึ่งจริงๆ

โทรยาก คุณสามารถเพิกถอนได้ตามที่คุณพูด แต่ฉันไม่เชื่อว่าคุณสามารถกำจัดพวกเขาทั้งหมดออกจาก CA mmc

หากคุณเริ่มต้นใหม่ให้ทำตามขั้นตอนที่นี่เพื่อทำอย่างสะอาดที่สุด


มีระเบียบในโฆษณาอยู่แล้วขอบคุณล่าสุด ... 4 (?) CA อันนี้แทนที่ไม่ได้ถูก decommed อย่างถูกต้อง / เลย (ไม่ต้องพูดถึง "สิ่งอื่น ๆ " ทั้งหมดที่ผิดในโดเมนของเรา) เรากำลังจะไปที่โดเมนใหม่ในไม่ช้าดังนั้นฉันไม่แน่ใจว่าการจ่ายเงินจะคุ้มค่ากับเวลาที่ฉันต้องใส่เข้าไปหรือไม่ เสร็จเรียบร้อย
HopelessN00b

2

เพราะผมไม่ได้ต้องการที่จะหาอีก ~ 4000 ใบรับรองที่ออกในวันรุ่งขึ้นฉันหยุดการออกใบรับรองกามโดยการลบเริ่มต้น "คอมพิวเตอร์" "แม่แบบใบรับรอง" และการเพิ่มที่ซ้ำกันของมันซึ่งเป็นที่ตั้งและPublish certificate in Active Directory Do not automatically reenroll if a duplicate certificate exists in Active Directory

  • ค่าเริ่มต้นคืออะไร

ยังทำให้ฉันมีปัญหาเกี่ยวกับวิธีการกำจัดสิ่งที่มีอยู่แล้ว แต่มันเป็นการเริ่มต้น

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.