ปัญหาพื้นฐานที่ฉันมีคือฉันมีใบรับรองเครื่องที่ไร้ประโยชน์มากกว่า 100,000 รายการทำให้ CA ของฉันยุ่งเหยิงและฉันต้องการลบโดยไม่ต้องลบ certs ทั้งหมดหรือกระโดดเซิร์ฟเวอร์ไปข้างหน้า ที่นั่น
สิ่งนี้เกิดขึ้นจากการยอมรับการเริ่มต้นสองสามครั้งกับ Enterprise Root CA (2008 R2) ของเราและการใช้GPO
เครื่องไคลเอนต์ลงทะเบียนอัตโนมัติเพื่อขอใบรับรองเพื่ออนุญาตการ802.1x
รับรองความถูกต้องกับเครือข่ายไร้สายขององค์กรของเรา
ปรากฎว่าค่าเริ่มต้นComputer (Machine)
Certificate Template
จะช่วยให้เครื่องลงทะเบียนได้อย่างมีความสุขแทนการสั่งให้ใช้ใบรับรองที่มีอยู่แล้ว นี่คือการสร้างปัญหาจำนวนหนึ่งสำหรับผู้ชาย (ฉัน) ที่หวังว่าจะใช้ Certificate Authority มากกว่าบันทึกของทุกครั้งที่มีการรีบูตเครื่อง
(แถบเลื่อนด้านข้างกำลังโกหกหากคุณลากไปด้านล่างหน้าจอจะหยุดชั่วคราวและโหลดสองสามโหลถัดไป)
ไม่มีใครรู้วิธีลบ 100,000 หรือใบรับรองที่ถูกต้องเวลาที่มีอยู่จาก Windows Server 2008R2 CA หรือไม่
เมื่อฉันไปลบใบรับรองตอนนี้ฉันได้รับข้อผิดพลาดว่าไม่สามารถลบได้เนื่องจากยังใช้งานได้ ดังนั้นวิธีที่ดีที่สุดที่จะหลีกเลี่ยงข้อผิดพลาดนั้นชั่วคราวเนื่องจาก Mark Henderson ได้จัดเตรียมวิธีการลบใบรับรองด้วยสคริปต์เมื่อมีการล้างสิ่งกีดขวาง
(การเพิกถอนนั้นไม่ใช่ตัวเลือกเนื่องจากเพิ่งย้ายไปRevoked Certificates
ที่ซึ่งเราต้องสามารถดูได้และไม่สามารถลบออกจาก "โฟลเดอร์" ที่ถูกเพิกถอนได้)
ปรับปรุง:
ฉันลองไซต์ @MarkHenderson ที่เชื่อมโยงซึ่งมีแนวโน้มและให้การจัดการใบรับรองที่ดีกว่ามาก แต่ก็ยังไม่ถึง การถูในกรณีของฉันดูเหมือนว่าใบรับรองยังคงเป็น "เวลาถูกต้อง" (ยังไม่หมดอายุ) ดังนั้น CA ไม่ต้องการให้พวกเขาถูกลบออกจากการมีอยู่และสิ่งนี้นำไปใช้กับ certs เพิกถอนเช่นกันดังนั้นเพิกถอน พวกเขาทั้งหมดแล้วลบพวกเขาจะไม่ทำงานอย่างใดอย่างหนึ่ง
ฉันพบบล็อกเทคโนนี้กับ Google-Fuด้วย แต่น่าเสียดายที่พวกเขาดูเหมือนจะต้องลบคำขอใบรับรองจำนวนมากเท่านั้นไม่ใช่ใบรับรองจริง
ในที่สุดตอนนี้เวลาข้าม CA ไปข้างหน้าดังนั้นใบรับรองที่ฉันต้องการกำจัดหมดอายุและดังนั้นสามารถลบได้ด้วยเครื่องมือที่ไซต์ที่เชื่อมโยงมาร์กลิงก์ไม่ใช่ตัวเลือกที่ดีเพราะจะหมดอายุใบรับรองที่ถูกต้องที่เราใช้ ที่จะต้องมีการออกด้วยตนเอง ดังนั้นจึงเป็นตัวเลือกที่ดีกว่าการสร้าง CA ใหม่ แต่ไม่ใช่ตัวเลือกที่ยอดเยี่ยม