내가 가지고있는 기본 문제는 CA를 혼란스럽게하는 쓸모없는 컴퓨터 인증서가 10 만 개 이상이며 모든 인증서를 삭제하거나 시간을 앞당기 고 서버를 뛰어 넘지 않고 유용한 인증서 중 일부를 무효화하지 않고 삭제하려는 것입니다. 그곳에.
이는 Enterprise Root CA (2008 R2)에서 몇 가지 기본값을 수락 하고 회사 무선 네트워크 GPO
에 인증 할 수 있도록 인증서를 위해 클라이언트 컴퓨터를 자동 등록 하는 데 사용 되었습니다 802.1x
.
기본적으로 Computer (Machine)
Certificate Template
컴퓨터가 이미 가지고있는 인증서를 사용하도록 지시하는 대신 컴퓨터가 재 등록 할 수있게됩니다. 이로 인해 워크 스테이션이 재부팅 될 때마다 인증 기관을 로그 이상으로 사용하고자하는 사람 (나)에게 많은 문제가 발생합니다.
(옆의 스크롤 막대가 누워 있습니다. 아래쪽으로 끌면 화면이 일시 중지되고 다음 수십 개의 인증서가로드됩니다.)
누구나 Windows Server 2008R2 CA에서 100,000 개 정도의 유효한 기존 인증서 를 삭제 하는 방법을 알고 있습니까?
지금 인증서를 삭제하려고하면 여전히 유효하므로 삭제할 수 없다는 오류가 발생합니다. 따라서 Mark Henderson이 장애물을 지우면 스크립트로 인증서를 삭제하는 방법을 제공했기 때문에 이상적으로는 오류를 일시적으로 무시할 수있는 방법이 있습니다.
(이를 취소하는 것은 옵션이 아닙니다. 단지로 이동하면 Revoked Certificates
볼 수 있어야하며 취소 된 “폴더”에서도 삭제할 수 없습니다.)
최신 정보:
@MarkHenderson linked 사이트를 사용해 보았습니다. 유망하고 인증서 관리 기능이 훨씬 뛰어나지 만 여전히 거기에 도달하지는 못합니다. 필자의 경우 문제는 인증서가 여전히 “시간 유효”(아직 만료되지 않은 것)이므로 CA는 인증서가 존재하지 않도록 삭제하지 않기를 원하며 이는 해지 된 인증서에도 적용되므로 해지됩니다. 그들 모두를 삭제 한 다음 삭제해도 작동하지 않습니다.
또한 내 Google-Fu 에서이 technet 블로그를 찾았 지만 불행히도 실제 인증서가 아닌 매우 많은 수의 인증서 요청 만 삭제 해야하는 것처럼 보였습니다.
마지막으로 지금은 CA를 앞으로 뛰어 넘어 시간을 없애고 싶은 인증서가 만료되기 때문에 사이트에서 도구를 사용하여 삭제할 수 있습니다. 링크 된 마크는 훌륭한 옵션이 아닙니다. 수동으로 발행해야합니다. 따라서 CA를 재 구축하는 것보다 더 나은 옵션이지만 좋은 것은 아닙니다.
답변
나는 이것을 시도하지 않았지만 https://pspki.codeplex.com/ 의 PKI PowerShell 공급자는 Revoke-Certificate
다음 과 같은 흥미로운 모양을 가지고 있습니다 Remove-Request
.
인증 기관 (CA) 데이터베이스에서 지정된 인증서 요청 행을 삭제합니다.
이 명령을 사용하면 불필요한 인증서 요청을 삭제하여 CA 데이터베이스 크기를 줄일 수 있습니다. 예를 들어, 실패한 요청 및 사용되지 않은 만료 된 인증서를 삭제하십시오.
참고 : 특정 행을 삭제 한 후에는 속성을 검색 할 수 없으며 필요한 경우 해당 인증서를 해지 할 수 없습니다.
답변
내 직감은 말끔하게 닦지 않고 다시 시작한다고 말하면 나중에 행복 할 것입니다.하지만 이미 인증서를 AD에 저장하기 위해 변경했다면 (이상적입니다) 닦고 다시 시작하면 여전히 톤이 있습니다. 가짜 인증서 중 하나는 CA가 아닌 모든 컴퓨터 계정에 AD로 연결됩니다. 따라서 어느 쪽이든 정말 엉망입니다.
힘든 전화. 당신이 말한대로 취소 할 수는 있지만 CA mmc에서 완전히 제거 할 수는 없다고 생각합니다.
다시 시작하면 가능한 한 깨끗하게 하려면 여기 의 단계를 따르십시오
답변
나는 다음 날 또 다른 ~ 4000 발급 된 인증서를 찾으려하지 않았기 때문에, 나는 기본 “컴퓨터”, “인증서 템플릿 제거”로 설정되고 그것의 중복 추가하여 무자 비한 인증서 발급을 중지 Publish certificate in Active Directory
와 Do not automatically reenroll if a duplicate certificate exists in Active Directory
.
아직도 거기에있는 것을 제거하는 방법에 대한 문제가 남아 있습니다.하지만 시작입니다.