CA Windows 2008 R2 e registrazione automatica: come sbarazzarsi di> 100.000 certificati emessi?

14

Il problema di base che sto riscontrando è che ho> 100.000 certificati macchina inutili che ingombrano la mia CA, e vorrei eliminarli, senza cancellare tutti i certificati, o saltare il server in avanti e invalidare alcuni dei certificati utili su Là.

Ciò è avvenuto a seguito dell'accettazione di un paio di impostazioni predefinite con la nostra CA radice aziendale (2008 R2) e dell'uso di una GPOmacchina per registrare automaticamente i client per i certificati per consentire l' 802.1xautenticazione alla nostra rete wireless aziendale.

Si scopre che il default Computer (Machine) Certificate Templateconsentirà felicemente alle macchine di ri-iscriversi invece di dirigerle ad usare il certificato che già possiedono. Ciò sta creando una serie di problemi per il ragazzo (me) che sperava di utilizzare l'autorità di certificazione come più di un registro di ogni volta che una workstation è stata riavviata.

I miei occhi stravaganti!

(La barra di scorrimento sul lato è sdraiata, se la trascini verso il basso, lo schermo si interrompe e carica le successive dozzine di certificati.)

Qualcuno sa ELIMINARE circa 100.000 certificati esistenti validi per una CA di Windows Server 2008R2?

Quando vado a cancellare un certificato ora, ora, ricevo un errore che non può essere eliminato perché è ancora valido. Quindi, idealmente, un modo per aggirare temporaneamente quell'errore, dato che Mark Henderson ha fornito un modo per eliminare i certificati con uno script una volta che l'ostacolo è stato eliminato.

(La loro revoca non è un'opzione, in quanto ciò li sposta semplicemente Revoked Certificates, che dobbiamo essere in grado di visualizzare e non possono nemmeno essere eliminati dalla "cartella" revocata.)

Aggiornare:

Ho provato il sito collegato @MarkHenderson , che è promettente, e offre una gestibilità del certificato molto migliore, ma ancora non ci arriva abbastanza. Il problema nel mio caso sembra essere che i certificati siano ancora "validi per il tempo" (non ancora scaduti), quindi la CA non vuole lasciarli eliminare dall'esistenza, e questo vale anche per i certificati revocati, quindi revocando tutti e poi eliminarli non funzionerà neanche.

Ho anche trovato questo blog technet con il mio Google-Fu , ma sfortunatamente sembravano dover eliminare un numero molto elevato di richieste di certificati, non di certificati effettivi.

Infine, per ora, il tempo che fa saltare in avanti la CA in modo che i certificati che desidero eliminare scadano, e quindi possano essere eliminati con gli strumenti sul sito Contrassegna collegato non è un'ottima opzione, in quanto scaderebbero una serie di certificati validi che utilizziamo che devono essere emessi manualmente. Quindi è un'opzione migliore rispetto alla ricostruzione della CA, ma non eccezionale.

windows  active-directory  windows-server-2008-r2  group-policy  certificate-authority 
HopelessN00b
fonte

Risposte:

8

Non ho provato questo, ma esiste un provider PKI PowerShell da https://pspki.codeplex.com/ che ha molte funzioni interessanti come Revoke-Certificateseguite da Remove-Request:

Elimina la riga di richiesta del certificato specificata dal database dell'autorità di certificazione (CA).

Questo comando può essere utilizzato per ridurre le dimensioni del database CA, eliminando le richieste di certificati non necessarie. Ad esempio, eliminare le richieste non riuscite e il certificato scaduto non utilizzato.

Nota: dopo aver eliminato una determinata riga non sarà possibile recuperare alcuna proprietà e (se necessario) revocare il certificato corrispondente.

Mark Henderson
fonte
Brillante! Mi inchino al tuo superiore Google-Fu e lo proverò domani.
HopelessN00b,
1
Quasi geniale, dannazione. Impossibile revocare un certificato emesso o revocato "valido per un periodo di tempo" perché certserv non te lo consentirà. Quindi suppongo che sto portando il server offline, saltando avanti un paio d'anni e poi provando questo. sospiro Un altro fine settimana con cose di lavoro. blogs.technet.com/b/askds/archive/2010/08/31/…
HopelessN00b
2

Il mio istinto mi dice di cancellarlo e ricominciare da capo, e sarai felice più tardi, ma se lo hai già cambiato per conservare i certificati in annuncio (che è l'ideale) e pulisci e ricomincia, avrai ancora un sacco di certificati fasulli saranno solo in AD collegati a tutti gli account del computer anziché sulla tua CA. Quindi è davvero un casino in entrambi i casi.

Chiamata difficile. Puoi revocare come hai detto, ma non credo che tu possa sbarazzartene completamente dal CA MMC.

Se si ricomincia, seguire i passaggi qui per farlo nel modo più pulito possibile

Paul Ackerman
fonte
Ho già avuto un pasticcio in AD, grazie agli ultimi ... 4 (?) CA questo sostituito non essendo stato dismesso correttamente / per niente. (Per non parlare di tutte le "altre cose" che non vanno nel nostro dominio.) Andremo comunque presto su un nuovo dominio, quindi non sono sicuro che il guadagno valga il tempo che dovrei dedicare per ottenere questo fatto in modo pulito.
HopelessN00b,
2

Poiché non volevo trovare un altro ~ 4000 certificati emessi il giorno successivo, ho interrotto l'emissione del certificato sfrenato rimuovendo il "Modello di certificato" predefinito "Computer" e aggiungendone un duplicato che è impostato su Publish certificate in Active Directory e Do not automatically reenroll if a duplicate certificate exists in Active Directory.

  • Quali dovrebbero essere le impostazioni predefinite

Mi lascia ancora il problema di come sbarazzarmi di quelli già presenti, ma è un inizio.

HopelessN00b
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.