विंडोज 2008 आर 2 सीए और ऑटो-नामांकन: कैसे जारी किए गए 100,000 प्रमाण पत्र से छुटकारा पाने के लिए?

14

मेरी जो मूल समस्या है वह यह है कि मेरे पास १,००,००० बेकार मशीन सर्टिफिकेट हैं जो मेरे सीए को अव्यवस्थित कर रहे हैं, और मैं उन्हें हटाना चाहता हूं, बिना सभी सेर्ट्स को हटाए, या समय के साथ सर्वर को आगे बढ़ाता हूं, और कुछ उपयोगी सीट्स को अमान्य कर देता हूं वहाँ।

यह हमारे एंटरप्राइज़ रूट CA (2008 R2) के साथ युगल चूक को स्वीकार करने और GPOप्रमाणपत्रों के लिए ऑटो-नामांकन क्लाइंट मशीनों का उपयोग करने के परिणामस्वरूप 802.1xहमारे कॉर्पोरेट वायरलेस नेटवर्क के लिए प्रमाणीकरण की अनुमति देता है ।

पता चला है कि डिफ़ॉल्ट रूप Computer (Machine) Certificate Templateसे मशीनों को उनके पास पहले से मौजूद प्रमाण पत्र का उपयोग करने के लिए निर्देश देने के बजाय मशीनों को फिर से नामांकन करने की अनुमति देगा। यह उस व्यक्ति (मेरे) के लिए कई समस्याएं पैदा कर रहा है जो प्रमाणपत्र प्राधिकरण का उपयोग करने की उम्मीद कर रहे थे, जब हर बार वर्कस्टेशन को रीबूट किया गया हो।

मेरी डरावनी आँखें!

(साइड में स्क्रॉल बार झूठ बोल रहा है, यदि आप इसे नीचे तक खींचते हैं, तो स्क्रीन रुक जाती है और अगले कुछ पैने सिरे को लोड करती है।)

किसी को भी कैसे पता है DELETE एक Windows सर्वर 2008R2 सीए से 100,000 या तो समय-मान्य, मौजूदा प्रमाण पत्र?

जब मैं अब एक प्रमाण पत्र को हटाने के लिए जाता हूं, तो मुझे एक त्रुटि मिलती है कि इसे हटाया नहीं जा सकता क्योंकि यह अभी भी मान्य है। इसलिए, आदर्श रूप से, उस त्रुटि को अस्थायी रूप से बायपास करने का कोई तरीका है, क्योंकि मार्क हेंडरसन ने एक स्क्रिप्ट के साथ प्रमाण पत्र को हटाने का एक तरीका प्रदान किया है एक बार जब बाधा साफ हो जाती है।

(उन्हें रद्द करना एक विकल्प नहीं है, क्योंकि बस उन्हें स्थानांतरित करने के लिए है Revoked Certificates, जिसे हमें देखने में सक्षम होने की आवश्यकता है, और उन्हें निरस्त "फ़ोल्डर" से भी हटाया नहीं जा सकता है।)

अपडेट करें:

मैंने साइट @MarkHenderson को लिंक करने की कोशिश की , जो आशाजनक है, और बहुत बेहतर प्रमाण पत्र प्रबंधन क्षमता प्रदान करता है, लेकिन अभी भी वहाँ नहीं मिलता है। मेरे मामले में रगड़ से ऐसा लगता है कि प्रमाण पत्र अभी भी "समय-वैध" हैं, (अभी तक समाप्त नहीं हुए हैं) इसलिए सीए उन्हें अस्तित्व से हटने नहीं देना चाहता है, और यह निरस्त सीट्स पर भी लागू होता है, इसलिए निरस्त करना उन सभी और फिर उन्हें हटाने से भी काम नहीं होगा।

मैंने इस तकनीकी ब्लॉग को अपने Google-Fu के साथ भी पाया है , लेकिन दुर्भाग्य से, उन्हें केवल प्रमाण पत्र अनुरोधों की एक बड़ी संख्या को हटाना पड़ा, न कि वास्तविक प्रमाणपत्रों को।

अंत में, अभी के लिए, सीए को आगे कूदने का समय, इसलिए प्रमाण पत्र जो मैं समाप्त करना चाहता हूं, और इसलिए साइट से जुड़े उपकरणों को हटा दिया जा सकता है मार्क से जुड़ा एक बढ़िया विकल्प नहीं है, क्योंकि हम उपयोग किए जाने वाले कई वैध प्रमाण पत्रों को समाप्त करेंगे। जिसे मैन्युअल रूप से जारी किया जाना है। इसलिए यह सीए के पुनर्निर्माण से बेहतर विकल्प है, लेकिन एक महान नहीं है।

windows  active-directory  windows-server-2008-r2  group-policy  certificate-authority 
HopelessN00b
स्रोत

जवाबों:

8

मैंने यह कोशिश नहीं की है, लेकिन https://pspki.codeplex.com/ से एक पीकेआई पॉवरशेल प्रदाता है जिसमें कई दिलचस्प दिखने वाले कार्य हैं जैसे कि Revoke-Certificateइसके बाद Remove-Request:

प्रमाणन प्राधिकरण (CA) डेटाबेस से प्रमाणपत्र अनुरोध पंक्ति निर्दिष्ट करता है।

इस आदेश का उपयोग अनावश्यक प्रमाणपत्र अनुरोधों को हटाकर, CA डेटाबेस आकार को कम करने के लिए किया जा सकता है। उदाहरण के लिए, विफल अनुरोध और अप्रयुक्त समाप्त प्रमाणपत्र को हटा दें।

नोट: आप विशेष पंक्ति को हटाने के बाद आप किसी भी गुण को प्राप्त करने में असमर्थ होंगे और (यदि आवश्यक हो) संबंधित प्रमाण पत्र को रद्द कर सकते हैं।

मार्क हेंडरसन
स्रोत
प्रतिभाशाली! मैं आपके बेहतर Google-फू को नमन करता हूं, और कल यह कोशिश करूंगा।
हॉपलेसनब
1
लगभग शानदार, शालीन। जारी किए गए या निरस्त किए गए प्रमाणपत्र को "समय मान्य" निरस्त नहीं कर सकता क्योंकि certserv आपको नहीं देगा। इसलिए मुझे लगता है कि मैं सर्वर को ऑफ़लाइन-ईश ले रहा हूं, एक दो साल आगे घड़ी कूद रहा हूं और फिर यह कोशिश कर रहा हूं। आहें काम सामान के साथ एक और सप्ताह के अंत में। blogs.technet.com/b/askds/archive/2010/08/31/...
HopelessN00b
2

मेरी आंत कहती है कि इसे पोंछो और बिना गॉँव के शुरू करो और बाद में तुम खुश रहोगे लेकिन अगर आपने पहले से ही इसे बदलकर AD में सीरियल्स को स्टोर कर लिया (जो आदर्श है) और आप पोंछे और शुरू करो, आपके पास अभी भी एक टन होगा फर्जी समारोहों में वे सिर्फ आपके CA के बजाय सभी कंप्यूटर खातों से AD से जुड़े होंगे। तो यह वास्तव में एक तरह से गड़बड़ है।

कठिन बुलावा। जैसा कि आपने कहा था कि आप इसे रद्द कर सकते हैं, लेकिन मुझे विश्वास नहीं है कि आप सीए एमएमसी से पूरी तरह से छुटकारा पा सकते हैं।

यदि आप शुरू करते हैं, तो इसे यथासंभव सफाई से करने के लिए यहां दिए गए चरणों का पालन ​​करें

पॉल एकरमैन
स्रोत
पहले से ही AD में गड़बड़ी मिली, अंतिम के लिए धन्यवाद ... 4 (?) CA ने इसे ठीक से / बिल्कुल भी विघटित नहीं होने दिया। (हमारे डोमेन में गलत होने वाले सभी "अन्य सामान" का उल्लेख नहीं करने के लिए।) हम वैसे भी जल्द ही एक नए डोमेन पर जा रहे हैं, इसलिए मुझे यकीन नहीं है कि यदि भुगतान समय के लायक है तो मुझे इसे प्राप्त करने के लिए समय देना होगा। यह सफाई से किया गया।
होपलेसनब
2

क्योंकि मैं अगले दिन एक और ~ 4000 जारी किए गए प्रमाण पत्र नहीं खोजना चाहता था, इसलिए मैंने डिफ़ॉल्ट "कंप्यूटर" "सर्टिफिकेट टेम्प्लेट" को हटाकर और इसके एक डुप्लिकेट को जोड़कर इच्छित प्रमाणपत्र जारी करना बंद कर दिया, जो Publish certificate in Active Directory और पर सेट है Do not automatically reenroll if a duplicate certificate exists in Active Directory

  • क्या चूक होनी चाहिए

फिर भी मुझे इस समस्या के साथ छोड़ देता है कि कैसे पहले से ही वहां से छुटकारा पाएं, लेकिन यह एक शुरुआत है।

HopelessN00b
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.