Disinstallare CA da Active Directory

Per disinstallare una Certification Authority da Active Directory è necessario seguire una serie di passaggi per rimuovere correttamente gli oggetti e i servizi dal sistema.

La procedura permette non solo di effettuare la corretta disattivazione della Certification Authority ma anche di mantenere l'ambiente Active Directory pulito dagli oggetti lasciati durante il processo di disinstallazione dell'AD Certificate Services.

 

Revocare tutti i certificati emessi

Accedere alla Certification Authority, espandere la CA configurata e posizionarsi sulla voce Issued Certificates. Nella schermata a destra effettuare un click con il tasto destra del mouse sui certificati emessi e selezionare l'opzione All Tasks > Revoke Certificate.

Indicare la motivazione nel campo Reason code quindi cliccare su Yes.

Il certificato viene rimosso dalla lista.

Effettuare un click con il tasto destro sulla voce Revoke Certificates e selezionare Properties.

Incrementare il CRL publication interval digitando un tempo maggiore e cliccare su OK.

Ora effettuare un click con il tasto destro sulla voce Revoked Certificates e selezionare All Tasks > Publish.

Selezionare l'opzione New CRL e cliccare su OK.

Nella cartella Pending Requests negare le richieste dei certificati in attesa (se presenti) effettuando un click con il tasto destro del mouse sulla richiesta in attesa e selezionare All Tasks > Deny Request.

 

Disinstallare gli AD Certificate Services

Dal server accedere al Command Prompt e digitare il comando:

C:\>certutil -shutdown

Per visualizzare tutte le key store per il computer locale, digitare nel Command Prompt:

C:\>certutil -key

Cancellare la private key associata alla CA utilizzando il comando:

certutil -delkey CertificateAuthorityName

C:\>certutil –delkey le-DomainController-b48c7ee1-d400-4b69-af19-6810bf38d263

Visualizzare le key store ancora una volta per verificare che la private key della CA è stata rimossa.

C:\>certutil -key

Accedere al Server Manager, selezionare la voce Roles e cliccare su Remove Roles nella parte destra dello schermata.

Il Remove Roles Wizard viene aperto. Cliccare su Next per continuare.

Togliere il check in Active Directory Certificate Services e cliccare su Next.

Cliccare su Remove per procedere.

Il role selezionato viene rimosso dal sistema.

Cliccare su Close per uscire dal wizard.

Cliccare Yes per riavviare il server.

Dopo che il server ha completato il boot, la procedura è completa.

 

Rimuovere gli oggetti CA da Active Directory

Quando la CA è installata, diversi oggetti vengono creati in Active Directory che non vengono rimosso durante il processo di disinstallazione della stessa. Solo l'oggetto pKIEnrollmentService è rimosso per impedire che i client cerchino di ottenere la registrazione dalla CA rimossa.

Aprire il Command Prompt e digitare il comando certutil.

C:\>certutil

Accedere ora all'Active Directory Site and Services e selezionare View >Show Services Node.

Posizionarsi su Services > Public Key Services > AIA. Effettuare un click con il tasto destro sull'oggetto CA e selezionare Delete.

Cliccare Yes per confermare la cancellazione.

Posizionarsi su Services > Public Key Services > CDP. Cliccare con il tasto destro l'oggetto container dove il certificato è installato e selezionare Delete.

Cliccare su Yes per confermare la cancellazione.

Cliccare Yes per confermare.

Posizionarsi su Services > Public Key Services > Certification Authorities. Effettuare un click con il tasto destro sull'oggetto CA e selezionare Delete.

Cliccare su Yes per confermare la cancellazione.

Posizionarsi su Services > Public Key Services > Enrollment Services. Nella schermata a destra verificare che l'ggetto pKIEnrollmentService è stato rimosso durante l'operazione di disinstallazione della CA. Se l'oggetto fosse ancora presente, effettuare un click con il tasto destro sull'oggetto e selezionare Delete e successivamente cliccare su Yes per confermare.

Posizionarsi su Services > Public Key Services > Certificate Templates. Nella parte destra della schermata selezionare un certificato e premere i tasti CTRL+A per selezionare tutti i template. Cliccare con il tasto destro del mouse e selezionare Delete.

Cliccare Yes per confermare la cancellazione.

 

Cancellare i certificati pubblicati in NtAuthCertificates

Quando gli oggetti CA sono cancellati, anche i certificati della CA pubblicati nell'oggetto NtAuthCertificates deve essere cancellato. Con i permessi di Enterprise Administrator, verificare il percorso completo LDAP per l'oggetto NtAuthCertificates in Active Directory con il seguente comando:

C:\>certutil -store -? | findstr "CN=NTAuth"

Per cancellare i certificati contenuti in NTAuthCertificates, eseguire il comando:

C:\>certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=nolabnoparty,DC=local?cACertificate?base?objectclass=certificationAuthority”

Cliccare OK per cancellare il certificato.

Ora eseguire il comando:

C:\>certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=nolabnoparty,DC=local?cACertificate?base?objectclass=pKIEnrollmentService”

Cliccare OK per cancellare il certificato.

 

Cancellare il database della CA

Poichè il database non è rimosso durante il processo di disinstallazione dei Certification Services, per rimuovere il database dal sistema cancellare la cartella %systemroot%\System32\Certlog.

 

Rimuovere i certificati dai DC

Anche i certificati assegnati ai Domain Controller devono essere rimossi. Da un Domain Controller, aprire il Command Prompt e digitare il comando:

C:\>certutil -dcinfo deleteBad

Il tool Certutil cerca di convalidare tutti i certificati DC assegnati ai Domain Controller. I certificati che non vengono convalidati sono rimossi. L'Active Directory Certificate Services è stato rimosso con successo dall' Active Directory.