[server] Windows 2008 R2 CA 및 자동 등록 :> 100,000 개 이상의 발급 된 인증서를 제거하는 방법은 무엇입니까?

Server / 글쓴이

내가 가지고있는 기본 문제는 CA를 혼란스럽게하는 쓸모없는 컴퓨터 인증서가 10 만 개 이상이며 모든 인증서를 삭제하거나 시간을 앞당기 고 서버를 뛰어 넘지 않고 유용한 인증서 중 일부를 무효화하지 않고 삭제하려는 것입니다. 그곳에.

이는 Enterprise Root CA (2008 R2)에서 몇 가지 기본값을 수락 하고 회사 무선 네트워크 GPO에 인증 할 수 있도록 인증서를 위해 클라이언트 컴퓨터를 자동 등록 하는 데 사용 되었습니다 802.1x.

기본적으로 Computer (Machine) Certificate Template컴퓨터가 이미 가지고있는 인증서를 사용하도록 지시하는 대신 컴퓨터가 재 등록 할 수있게됩니다. 이로 인해 워크 스테이션이 재부팅 될 때마다 인증 기관을 로그 이상으로 사용하고자하는 사람 (나)에게 많은 문제가 발생합니다.

내 깜짝 놀라는 눈!

(옆의 스크롤 막대가 누워 있습니다. 아래쪽으로 끌면 화면이 일시 중지되고 다음 수십 개의 인증서가로드됩니다.)

누구나 Windows Server 2008R2 CA에서 100,000 개 정도의 유효한 기존 인증서 를 삭제 하는 방법을 알고 있습니까?

지금 인증서를 삭제하려고하면 여전히 유효하므로 삭제할 수 없다는 오류가 발생합니다. 따라서 Mark Henderson이 장애물을 지우면 스크립트로 인증서를 삭제하는 방법을 제공했기 때문에 이상적으로는 오류를 일시적으로 무시할 수있는 방법이 있습니다.

(이를 취소하는 것은 옵션이 아닙니다. 단지로 이동하면 Revoked Certificates볼 수 있어야하며 취소 된 “폴더”에서도 삭제할 수 없습니다.)

최신 정보:

@MarkHenderson linked 사이트를 사용해 보았습니다. 유망하고 인증서 관리 기능이 훨씬 뛰어나지 만 여전히 거기에 도달하지는 못합니다. 필자의 경우 문제는 인증서가 여전히 “시간 유효”(아직 만료되지 않은 것)이므로 CA는 인증서가 존재하지 않도록 삭제하지 않기를 원하며 이는 해지 된 인증서에도 적용되므로 해지됩니다. 그들 모두를 삭제 한 다음 삭제해도 작동하지 않습니다.

또한 내 Google-Fu 에서이 technet 블로그를 찾았 지만 불행히도 실제 인증서가 아닌 매우 많은 수의 인증서 요청 만 삭제 해야하는 것처럼 보였습니다.

마지막으로 지금은 CA를 앞으로 뛰어 넘어 시간을 없애고 싶은 인증서가 만료되기 때문에 사이트에서 도구를 사용하여 삭제할 수 있습니다. 링크 된 마크는 훌륭한 옵션이 아닙니다. 수동으로 발행해야합니다. 따라서 CA를 재 구축하는 것보다 더 나은 옵션이지만 좋은 것은 아닙니다.

답변

나는 이것을 시도하지 않았지만 https://pspki.codeplex.com/ 의 PKI PowerShell 공급자는 Revoke-Certificate다음 과 같은 흥미로운 모양을 가지고 있습니다 Remove-Request.

인증 기관 (CA) 데이터베이스에서 지정된 인증서 요청 행을 삭제합니다.

이 명령을 사용하면 불필요한 인증서 요청을 삭제하여 CA 데이터베이스 크기를 줄일 수 있습니다. 예를 들어, 실패한 요청 및 사용되지 않은 만료 된 인증서를 삭제하십시오.

참고 : 특정 행을 삭제 한 후에는 속성을 검색 할 수 없으며 필요한 경우 해당 인증서를 해지 할 수 없습니다.

답변

내 직감은 말끔하게 닦지 않고 다시 시작한다고 말하면 나중에 행복 할 것입니다.하지만 이미 인증서를 AD에 저장하기 위해 변경했다면 (이상적입니다) 닦고 다시 시작하면 여전히 톤이 있습니다. 가짜 인증서 중 하나는 CA가 아닌 모든 컴퓨터 계정에 AD로 연결됩니다. 따라서 어느 쪽이든 정말 엉망입니다.

힘든 전화. 당신이 말한대로 취소 할 수는 있지만 CA mmc에서 완전히 제거 할 수는 없다고 생각합니다.

다시 시작하면 가능한 한 깨끗하게 하려면 여기 의 단계를 따르십시오

답변

나는 다음 날 또 다른 ~ 4000 발급 된 인증서를 찾으려하지 않았기 때문에, 나는 기본 “컴퓨터”, “인증서 템플릿 제거”로 설정되고 그것의 중복 추가하여 무자 비한 인증서 발급을 중지 Publish certificate in Active Directory
Do not automatically reenroll if a duplicate certificate exists in Active Directory.

  • 기본값은 무엇입니까

아직도 거기에있는 것을 제거하는 방법에 대한 문제가 남아 있습니다.하지만 시작입니다.

답변