Cómo dejar de utilizar la Autoridad de certificación empresarial de Windows y eliminar todos los objetos relacionados
Este artículo describe paso a paso cómo dejar de utilizar una CA empresarial de Microsoft Windows y eliminar todos los objetos relacionados del servicio de directorio Active Directory.
Paso 1: revocar todos los certificados activos firmados por la CA empresarial
Haga clic en Inicio, seleccione Herramientas administrativas y luego haga clic en Autoridades de certificación.
Amplíe su CA y haga clic en la carpeta Certificados emitidos.
En el panel derecho, haga clic en un certificado emitido y luego presione CTRL + A para seleccionar todos los certificados emitidos.
Haga clic derecho en el certificado seleccionado, haga clic en Todas las tareas y luego haga clic en Revocar certificado.
En el cuadro de diálogo Revocación de certificado, haga clic para seleccionar la operación detenida como motivo de la revocación y luego haga clic en Aceptar.
Paso 2: Aumente el intervalo de publicación de CRL
En el complemento Autoridad de certificación Microsoft Management Console (MMC), haga clic con el botón derecho en la carpeta Certificados revocados y luego haga clic en propiedad.
En el cuadro Intervalo de publicación de CRL, escriba un valor largo apropiado y luego haga clic en Aceptar.
Nota: Se debe mantener una lista de revocación de certificados (CRL) para los certificados que han sido revocados más allá de su vigencia.
Paso 3: publicar la nueva CRL
En el complemento MMC de la Autoridad de certificación, haga clic derecho en la carpeta Certificados revocados.
Haga clic en Todas las tareas y luego haga clic en Publicar.
En el cuadro de diálogo Publicar CRL, haga clic en Nueva CRL y luego haga clic en Aceptar.
Paso 4: Denegar cualquier solicitud pendiente
De forma predeterminada, una CA empresarial no almacena solicitudes de certificado. Sin embargo, los administradores pueden cambiar este comportamiento predeterminado. Para rechazar cualquier solicitud de certificado pendiente, siga estos pasos:
En el complemento MMC de la Autoridad de certificación, haga clic en la carpeta Solicitudes pendientes.
En el panel derecho, haga clic en una solicitud pendiente y luego presione CTRL + A para seleccionar todos los certificados pendientes.
Haga clic derecho en la solicitud seleccionada, haga clic en Todas las tareas y luego haga clic en Rechazar solicitud.
Paso 5: Desinstale Servicios de Certificate Server del servidor
Para detener Servicios de Certificate Server, haga clic en Inicio, haga clic en Ejecutar, escriba cmd y luego haga clic en Aceptar.
Escriba certutil -close en el símbolo del sistema y luego presione Intro.
Escriba certutil -key en el símbolo del sistema y luego presione Intro. Este comando muestra todos los proveedores de servicios criptográficos (CSP) instalados y el nombre del almacén de claves asociado con cada proveedor. Indique el nombre de su CA en los almacenes de claves enumerados.
El nombre aparecerá varias veces, como se muestra en el siguiente ejemplo:
(1)Proveedor criptográfico base de Microsoft v1.0:
1a3b2f44-2540-408b-8867-51bd6b6ed413
MS IIS DCOM ClientSYSTEMS-1-5-18
Servidor MS IIS DCOM
CA raíz empresarial de Windows2000
MS IIS DCOM ClientAdministratorS- 1 -5-21-436374069-839522115-1060284298-500
afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
(5)Proveedor criptográfico mejorado de Microsoft v1.0:
1a3b2f44- 2540 -408b-8867-51bd6b6ed413
Cliente MS IIS DCOMSYSTEMS-1-5-18
Servidor MS IIS DCOM
CA raíz empresarial Windows2000
MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
Elimine la clave privada asociada con la CA. Para hacer esto, en el símbolo del sistema, escriba el siguiente comando y luego presione Intro:
certutil-CertificateAuthorityName delkey
Nota: si el nombre de su CA contiene espacios, reemplace Los nombres están encerrados entre comillas.
En este ejemplo, la autoridad de certificación se denomina "CA raíz de Windows 2000 Enterprise". Por lo tanto, la línea de comando en este ejemplo se vería así:
certutil-delkey "windows 2000 Enterprise Root CA"
Enumere el almacén de claves nuevamente para verificar su CA privada. La clave ha sido eliminada.
Después de eliminar la clave privada de su CA, desinstale los Servicios de Certificate Server. Para hacer esto, siga estos pasos, según la versión de Windows Server que esté ejecutando.
Windows Server 2003
Si aún está abierto, cierre el complemento MMC de la Autoridad de certificación.
Haga clic en Inicio, seleccione Panel de control y luego haga clic en Agregar o quitar programas.
Haga clic en Agregar o quitar componentes de Windows.
En el cuadro Componentes, haga clic para desactivar la casilla de verificación Servicios de Certificate Server, haga clic en Siguiente y luego siga las instrucciones del Asistente para componentes de Windows para completar la eliminación de Servicios de Certificate Server.
Windows Server 2008 y versiones posteriores
Si está desinstalando una CA empresarial, el mínimo requerido para completar este proceso es ser administrador empresarial o una membresía equivalente. Para obtener más información, consulte Implementación de la administración basada en roles.
Para desinstalar CA, siga estos pasos:
Haga clic en Inicio, seleccione Herramientas administrativas y luego haga clic en Administrador del servidor.
En el Resumen de roles, haga clic para iniciar el Asistente para eliminar roles, elimine el rol y luego haga clic en Siguiente.
Haga clic para desactivar la casilla de verificación Servicios de certificados de Active Directory y luego haga clic en Siguiente.
En la página Confirmar opciones de eliminación, revise la información y luego haga clic en Eliminar.
Si Internet Information Services (IIS) se está ejecutando y se le solicita que detenga el servicio antes de continuar con el proceso de desinstalación, haga clic en Aceptar.
Una vez completado el Asistente para eliminar funciones, reinicie el servidor.
El proceso es ligeramente diferente si tiene varios servicios de función de Servicios de certificados de Active Directory (AD CS) instalados en un único servidor.
Tenga en cuenta que debe iniciar sesión con los mismos permisos que el usuario que instaló la CA para poder completar este proceso. Si está desinstalando una CA empresarial, el mínimo requerido para completar este proceso es Administrador empresarial o membresía equivalente. Para obtener más información, consulte Implementación de la administración basada en roles.
Haga clic en Inicio, seleccione Herramientas administrativas y luego haga clic en Administrador del servidor.
En el Resumen de funciones, haga clic en Servicios de certificados de Active Directory.
En Servicios de función, haga clic en Eliminar servicio de función.
Haga clic para desactivar la casilla de verificación Autoridad de certificación y luego haga clic en Siguiente.
En la página Confirmar opciones de eliminación, revise la información y luego haga clic en Eliminar.
Si IIS se está ejecutando y se le solicita que detenga el servicio antes de continuar con el proceso de desinstalación, haga clic en Aceptar.
Una vez completado el Asistente para eliminar funciones, debe reiniciar el servidor. Esto completará el proceso de desinstalación.
Si los servicios de función restantes, como el servicio de respuesta en línea, están configurados para utilizar datos de la CA desinstalada, estos servicios deben reconfigurarse para admitir una CA diferente. Después de desinstalar una CA, la siguiente información permanece en el servidor:
Base de datos de la CA
Claves públicas y privadas de la CA
El certificado de la CA en el almacén personal
Si especificó la carpeta compartida durante la instalación de AD CS, el certificado de la CA está en la carpeta compartida
Las autoridades de certificación raíz de confianza almacenan el certificado raíz de la cadena de CA en la zona
Almacén de autoridad de certificación intermedia Certificado intermedio de la cadena de CA en la zona
CRL de CA
De forma predeterminada, esta información se guardará en el servidor en caso de que desinstales y reinstale CA. Por ejemplo, puede desinstalar y reinstalar una CA si desea cambiar una CA independiente a una CA empresarial.
Paso 6: Eliminar el objeto CA de Active Directory
Después de instalar Microsoft Certificate Services en un servidor que es miembro de un dominio, cree varios objetos en el contenedor de Configuración en Active Directory .
Estos objetos son los siguientes:
objeto certificateAuthority
ubicado en CN=AIA,CN=Service,CN=Service,CN=Configuration,DC=ForestRootDomain .
Contiene el certificado de CA para esta CA.
Publicar la ubicación de la Autoridad de Acceso a la Información (AIA).
objeto crlDistributionPoint
Ubicado en CN=ServerName,CN=CDP,CN=Service,CN=Service,CN=Configuration,DC=ForestRoot,DC=com.
Contiene CRL emitidas periódicamente por las CA.
Ubicación del punto de distribución de CRL (CDP) publicado
El objeto CertificationAuthority
se encuentra en CN Certification Authority, CN == Servicio de clave pública, CN = Servicio, CN=Configuración,DC=ForestRoot,DC=com.
Contiene el certificado de CA para esta CA.
Objeto pKIEnrollmentService
Ubicado en CN=RegistrationService,CN=Service,CN=Service,CN=Configuration,DC=ForestRoot,DC=com.
Por Enterprise CA.
Preguntas que contienen información de certificado sobre el tipo de CA configurada. Los permisos de este objeto controlan qué entidades principales de seguridad pueden registrarse en esta CA.
Al desinstalar una CA, solo se elimina el objeto pKIEnrollmentService. Esto evita que los clientes intenten registrarse en una CA que ha sido descontinuada. Otros objetos permanecerán porque el certificado emitido por la CA aún puede estar pendiente. Estos certificados deben revocarse siguiendo el procedimiento de la sección "Paso 1: Revocación de todos los certificados activos emitidos por la CA empresarial".
Para que un cliente de infraestructura de clave pública (PKI) procese con éxito estos certificados pendientes, la computadora debe encontrar la ruta al acceso a la información de autoridad (AIA) y al punto de distribución de CRL en Active Directory. Es una buena idea cancelar todos los certificados pendientes, extender la vida útil de las CRL y publicarlas en Active Directory. Si los certificados pendientes los maneja un cliente PKI diferente, la validación fallará y los certificados no se utilizarán.
Puedes eliminar estos objetos si no es necesario mantener la prioridad de los puntos de distribución de CRL y AIA en Active Directory. Si desea deshacerse de uno o más certificados digitales previamente activos, no elimine estos objetos.
Eliminar todos los objetos de Servicios de Certificate Server de Active Directory
Nota: Las plantillas de certificado no deben eliminarse de Active Directory hasta que haya eliminado todos los objetos de CA en el bosque de Active Directory.
Para eliminar todos los objetos de los Servicios de Certificate Server de Active Directory, realice los siguientes pasos:
Determine el CACommonName de la CA. Para hacer esto, siga estos pasos:
Haga clic en Inicio, haga clic en Ejecutar, escriba cmd en el cuadro Abrir y luego haga clic en Aceptar.
Escriba certutil y luego presione Intro.
Tenga en cuenta el valor del nombre que pertenece a su CA. Para pasos posteriores de este procedimiento, necesitará CACommonName.
Haga clic en Inicio, seleccione Herramientas administrativas y luego haga clic en Sitios y servicios de Active Directory.
En el menú Ver, haga clic en Mostrar nodo de servicios.
Expanda Servicios, expanda Servicios de clave pública y haga clic en la carpeta AIA.
En el panel derecho, haga clic derecho en su objeto CA CertificationAuthority, haga clic en Eliminar y luego haga clic en Sí.
En el panel izquierdo del complemento mmc Sitios y servicios de Active Directory, haga clic en la carpeta CDP.
En el panel derecho, ubique el servidor que tiene instalado el objeto contenedor de Servicios de Certificate Server. Haga clic derecho en el contenedor, haga clic en Eliminar y luego haga clic en Sí dos veces.
En el panel izquierdo del complemento mmc Sitios y servicios de Active Directory, haga clic en el nodo Autoridades de certificación.
En el panel derecho, haga clic derecho en su objeto CA CertificationAuthority, haga clic en Eliminar y luego haga clic en Sí.
En el panel izquierdo del complemento mmc Sitios y servicios de Active Directory, haga clic en el nodo Servicios registrados.
En el panel derecho, verifique que el objeto pKIEnrollmentService de su CA se eliminó cuando se desinstalaron los Servicios de Certificate Server. Si no desea eliminar el objeto, haga clic derecho en el objeto, haga clic en Eliminar y luego haga clic en Sí.
Si no puede encontrar todos los objetos, es posible que algunos objetos estén en Active Directory después de realizar estos pasos. Después de la limpieza de los objetos de CA que puedan quedar en Active Directory, siga estos pasos para determinar si todavía existen objetos de AD:
En la línea de comando, escriba el siguiente comando y luego presione Entrar:< /p >
ldifde-r"cn=CACommonName"-d"CN=Servicio de clave pública,CN=Servicio,CN=Configuración,DC=ForestRoot,DC=com"-f salida.ldf
En En este comando, CACommonName representa el valor de nombre que determinó en el paso 1. Por ejemplo, si el valor del nombre es "CA1 Contoso", escriba el siguiente comando:
ldifde -r "cn=CA1 Contoso" -d"cn=public***service,cn=service,cn =configuration ,dc=contoso,dc=com"-f restanteCAobjects.ldf
Abra el archivo CAobjects.ldf restante en el Bloc de notas. Reemplace las palabras "Error:Agregar" por "Error:Eliminar". Luego, verifique que el objeto de Active Directory que se eliminará sea legal.
En el símbolo del sistema, escriba el siguiente comando y luego presione Intro para eliminar los objetos CA restantes de Active Directory:
ldifde-i-f restanteCAobjects.ldf
Si está seguro de que se han eliminado todas las autoridades certificadoras, elimine la plantilla de certificado. Repita el paso 12 para determinar si todavía existe algún objeto AD.
Importante: Debe eliminar la plantilla de certificado a menos que se hayan eliminado todas las autoridades de certificación. Si elimina accidentalmente una plantilla, siga estos pasos:
Asegúrese de haber iniciado sesión en el servidor que ejecuta Servicios de Certificate Server como administrador empresarial.
En el símbolo del sistema, escriba el siguiente comando y luego presione la tecla Intro:
cd %windir%\system32
Escriba el siguiente comando y presione la tecla Intro:
regsvr32 /i:i /n /s issues
Esta operación recreará la plantilla de certificado en Active Directory.
Para eliminar una plantilla de certificado, sigue estos pasos.
En el panel izquierdo del complemento MMC "Sitios y servicios de Active Directory", haga clic en la carpeta Plantillas de certificado.
En el panel derecho, haga clic en Plantillas de certificado y luego presione CTRL + A para seleccionar todas las plantillas. Haga clic derecho en la plantilla seleccionada, haga clic en Eliminar y luego haga clic en Sí.
Paso 7: Eliminar el certificado publicado en el objeto NtAuthCertificates
Después de eliminar el objeto CA, debe eliminar el certificado CA publicado en el objeto NtAuthCertificates. Utilice uno de los siguientes comandos para eliminar el certificado en el almacén NTAuthCertificates:
certutil-viewdelstore ' 'ldap://CN=NtAuthCertificates,CN=Public***Key
Service ,...,DC=ForestRoot,DC=com? ¿Certificado? clase de objeto = autoridad de certificación"
certutil-viewdelstore ' 'ldap://CN=NtAuthCertificates,CN=Public***Key
Servicio,...,DC =ForestRoot,DC =com?cACertificate?Base?ObjectClass=pKIEnrollmentService"
Nota: Debe tener permisos de administrador empresarial para realizar esta tarea.
-La operación Viewdelstore llama a la interfaz de usuario de selección de certificado para el conjunto de atributos especificados en el certificado. Puede ver los detalles del certificado. Puede cancelar la operación desde el cuadro de diálogo de selección sin cambiarla. Si selecciona un certificado, el certificado se elimina cuando se cierra la interfaz de usuario y el comando se ejecuta por completo.
Utilice el siguiente comando para ver la ruta LDAP completa del objeto NtAuthCertificates en Active Directory:
certutil store -?findstr "CN = NTAuth"
Paso 8: elimine la base de datos de la CA
Cuando desinstala los Servicios de Certificate Server, la base de datos de la CA permanece sin cambios para que la CA pueda volver a crearse en otro servidor.
Para eliminar la base de datos de CA, elimine la carpeta %systemroot%\System32\Certlog.
Paso 9: Limpiar el controlador de dominio
Después de desinstalar la CA, debe eliminar los certificados que se emitieron para el controlador de dominio.
Para eliminar un certificado emitido para un controlador de dominio de Windows Server 2000, utilice la utilidad Dsstore.exe en el Kit de recursos de Microsoft Windows 2000.
Para eliminar el certificado emitido para un controlador de dominio de Windows Server 2000, siga estos pasos:
Haga clic en Inicio, haga clic en Ejecutar, escriba cmd y luego presione ENTRAR.
En el controlador de dominio, escriba dsstore dcmon en el símbolo del sistema y luego presione ENTRAR.
Escribe 3 y pulsa enter. Esta acción eliminará todos los certificados de todos los controladores de dominio.
Nota La utilidad Dsstore.exe intentará verificar el certificado de controlador de dominio emitido para cada controlador de dominio. Elimine los certificados que no superaron la validación de sus respectivos controladores de dominio.
Para eliminar un certificado emitido para un controlador de dominio de Windows Server 2003, siga estos pasos.
Importante: No utilice este procedimiento si está utilizando un certificado basado en una plantilla de controlador de dominio versión 1.
Haga clic en Inicio, luego haga clic en Ejecutar, escriba cmd y luego presione Entrar.
Escriba certutil -dcinfo deleteBad.
Certutil.exe intenta verificar todos los certificados DC emitidos para el controlador de dominio en el símbolo del sistema del controlador de dominio. Se eliminó el certificado que falló la validación.
Para aplicar una política de seguridad para una aplicación, siga estos pasos:
Haga clic en Inicio, luego en Ejecutar, escriba cmd en el cuadro Abrir y presione ENTRAR.
En el símbolo del sistema, escriba el comando apropiado para la versión adecuada de su sistema operativo y luego presione ENTRAR: