Windows 2008 R2 CA ve otomatik kayıt: 100.000'den fazla verilen sertifikadan nasıl kurtulur?

Sahip olduğum temel sorun, CA'mı tıkayan 100.000'den fazla işe yaramaz makine sertifikamın olması ve tüm sertifikaları silmeden veya sunucuyu öne atmadan ve bazı yararlı sertifikaları geçersiz kılmadan silmek istiyorum. Orada.

Bu, Kurumsal Kök CA (2008 R2) ile birkaç varsayılan kabul etmenin ve kurumsal kablosuz ağımızda kimlik doğrulamasına GPOizin vermek için sertifikalar için istemci makinelerini otomatik olarak kaydetmek üzere bir varsayılanı kullanmanın bir sonucu olarak ortaya çıktı 802.1x.

Varsayılanın Computer (Machine) Certificate Template, makinelerin zaten sahip oldukları sertifikayı kullanmaya yönlendirmek yerine yeniden kaydolmasına izin vereceği ortaya çıkıyor. Bu, Sertifika Yetkilisi'ni bir iş istasyonunun her yeniden başlatılmasının günlüğü olmaktan daha fazlasını kullanmayı ummakta olan adam (ben) için bir takım problemler yaratıyor.

(Yan taraftaki kaydırma çubuğu uzanıyor, alta sürüklerseniz, ekran duraklatılır ve sonraki birkaç düzine certs yüklenir.)

Herkes biliyor mu SİL Windows Server 2008R2 CA 100,000 kadar zaman geçerli, varolan sertifikalarını?

Şimdi bir sertifikayı sildiğimde, hala geçerli olduğu için silinemediğine dair bir hata alıyorum. İdeal olarak, Mark Henderson'ın bu sorun giderildikten sonra sertifikaları bir komut dosyasıyla silmenin bir yolunu sağladığı için, bu hatayı geçici olarak atlamanın bir yolu.

(Onları iptal etmek bir seçenek değildir, çünkü onları Revoked Certificatesgörüntüleyebilmemiz gereken ve onları iptal edilen "klasörden" silemezsiniz.)

Güncelleme:

@MarkHenderson bağlantılı siteyi denedim , bu umut verici ve çok daha iyi sertifika yönetilebilirliği sunuyor, ancak yine de tam olarak oraya ulaşamıyor . Benim durumumdaki ovma, sertifikaların hala "zaman geçerli" (henüz süresi dolmamış) gibi görünüyor, bu yüzden CA bunların varlığından silinmesine izin vermek istemiyor ve bu iptal edilen certs için de geçerli, bu yüzden iptal hepsini ve sonra silmek de işe yaramaz.

Bu technet blogunu Google-Fu'mla da buldum , ancak ne yazık ki, gerçek sertifikaları değil, yalnızca çok sayıda sertifika isteğini silmek zorunda görünüyorlardı.

Son olarak, şimdilik CA'yı atlamak için zaman atlıyoruz, böylece sertifikaların süresinin dolmasını istiyorum ve bu nedenle sitedeki araçlarla silinebilir Mark bağlantılı, kullandığımız bazı geçerli sertifikaların süresinin dolması gibi mükemmel bir seçenek değil manuel olarak yayınlanması gerekir. Bu yüzden CA'yı yeniden oluşturmaktan daha iyi bir seçenek, ancak harika bir seçenek değil.

Bunu denemedim ama bir PKI PowerShell sağlayıcısı vardır https://pspki.codeplex.com/ sever seyir işlevleri ilginç bir yeri vardır Revoke-Certificateizledi Remove-Request:

Sertifika Yetkilisi (CA) Veritabanından belirtilen sertifika isteği satırını siler.

Bu komut, gereksiz sertifika isteklerini silerek CA veritabanı boyutunu azaltmak için kullanılabilir. Örneğin, başarısız istekleri ve kullanılmayan süresi dolmuş sertifikayı silin.

Not: Belirli bir satırı sildikten sonra hiçbir özelliği alamazsınız ve (gerekirse) ilgili sertifikayı iptal edersiniz.

Bağırsaklarım silin ve goof olmadan başlasın ve daha sonra mutlu olacaksınız, ancak daha önce AD'de (ideal olan) certs'i saklamak için değiştirdiyseniz ve siler ve baştan başlarsınız, hala bir tonunuz olacak sahte certs onlar sadece CA yerine tüm bilgisayar hesaplarına bağlı AD olacak. Yani gerçekten her iki durumda da bir karmaşa.

Zor çağrı. Söylediğin gibi iptal edebilirsin ama onlardan tamamen CA mmc'den kurtulabileceğine inanmıyorum.

Baştan başlamak yoksa, aşağıdaki adımları izleyin burada mümkün olduğunca temiz bir şekilde bunu yapmak için

Ertesi gün başka bir ~ 4000 verilen sertifikaları bulmak istemedim Çünkü, varsayılan "Bilgisayar" "Sertifika Şablonu" kaldırılması ve ayarlandığında bunun bir kopyasını ekleyerek ahlaksız sertifika verme durdu Publish certificate in Active Directory ve Do not automatically reenroll if a duplicate certificate exists in Active Directory.

Hala beni zaten orada olanlardan nasıl kurtulacağım sorunuyla ilgili, ama bu bir başlangıç.