[server] Windows 2008 R2 CA 및 자동 등록 :> 100,000 개 이상의 발급 된 인증서를 제거하는 방법은 무엇입니까?

내가 가지고있는 기본 문제는 CA를 혼란스럽게하는 쓸모없는 컴퓨터 인증서가 10 만 개 이상이며 모든 인증서를 삭제하거나 시간을 앞당기 고 서버를 뛰어 넘지 않고 유용한 인증서 중 일부를 무효화하지 않고 삭제하려는 것입니다. 그곳에.

이는 Enterprise Root CA (2008 R2)에서 몇 가지 기본값을 수락 하고 회사 무선 네트워크 GPO에 인증 할 수 있도록 인증서를 위해 클라이언트 컴퓨터를 자동 등록 하는 데 사용 되었습니다 802.1x.

기본적으로 Computer (Machine) Certificate Template컴퓨터가 이미 가지고있는 인증서를 사용하도록 지시하는 대신 컴퓨터가 재 등록 할 수있게됩니다. 이로 인해 워크 스테이션이 재부팅 될 때마다 인증 기관을 로그 이상으로 사용하고자하는 사람 (나)에게 많은 문제가 발생합니다.

(옆의 스크롤 막대가 누워 있습니다. 아래쪽으로 끌면 화면이 일시 중지되고 다음 수십 개의 인증서가로드됩니다.)

누구나 Windows Server 2008R2 CA에서 100,000 개 정도의 유효한 기존 인증서 를 삭제 하는 방법을 알고 있습니까?

지금 인증서를 삭제하려고하면 여전히 유효하므로 삭제할 수 없다는 오류가 발생합니다. 따라서 Mark Henderson이 장애물을 지우면 스크립트로 인증서를 삭제하는 방법을 제공했기 때문에 이상적으로는 오류를 일시적으로 무시할 수있는 방법이 있습니다.

(이를 취소하는 것은 옵션이 아닙니다. 단지로 이동하면 Revoked Certificates볼 수 있어야하며 취소 된 “폴더”에서도 삭제할 수 없습니다.)

최신 정보:

@MarkHenderson linked 사이트를 사용해 보았습니다. 유망하고 인증서 관리 기능이 훨씬 뛰어나지 만 여전히 거기에 도달하지는 못합니다. 필자의 경우 문제는 인증서가 여전히 “시간 유효”(아직 만료되지 않은 것)이므로 CA는 인증서가 존재하지 않도록 삭제하지 않기를 원하며 이는 해지 된 인증서에도 적용되므로 해지됩니다. 그들 모두를 삭제 한 다음 삭제해도 작동하지 않습니다.

또한 내 Google-Fu 에서이 technet 블로그를 찾았 지만 불행히도 실제 인증서가 아닌 매우 많은 수의 인증서 요청 만 삭제 해야하는 것처럼 보였습니다.

마지막으로 지금은 CA를 앞으로 뛰어 넘어 시간을 없애고 싶은 인증서가 만료되기 때문에 사이트에서 도구를 사용하여 삭제할 수 있습니다. 링크 된 마크는 훌륭한 옵션이 아닙니다. 수동으로 발행해야합니다. 따라서 CA를 재 구축하는 것보다 더 나은 옵션이지만 좋은 것은 아닙니다.

---

---

답변