Web
Analytics Made Easy - StatCounter

Disinstallare CA da Active Directory

decommissionca01

Per disinstallare una Certification Authority da Active Directory è necessario seguire una serie di passaggi per rimuovere correttamente gli oggetti e i servizi dal sistema.

La procedura permette non solo di effettuare la corretta disattivazione della Certification Authority ma anche di mantenere l'ambiente Active Directory pulito dagli oggetti lasciati durante il processo di disinstallazione dell'AD Certificate Services.

 

Revocare tutti i certificati emessi

Accedere alla Certification Authority, espandere la CA configurata e posizionarsi sulla voce Issued Certificates. Nella schermata a destra effettuare un click con il tasto destra del mouse sui certificati emessi e selezionare l'opzione All Tasks > Revoke Certificate.

decommissionca02

Indicare la motivazione nel campo Reason code quindi cliccare su Yes.

decommissionca03

Il certificato viene rimosso dalla lista.

decommissionca04

Effettuare un click con il tasto destro sulla voce Revoke Certificates e selezionare Properties.

decommissionca05

Incrementare il CRL publication interval digitando un tempo maggiore e cliccare su OK.

decommissionca06

Ora effettuare un click con il tasto destro sulla voce Revoked Certificates e selezionare All Tasks > Publish.

decommissionca07

Selezionare l'opzione New CRL e cliccare su OK.

decommissionca08

Nella cartella Pending Requests negare le richieste dei certificati in attesa (se presenti) effettuando un click con il tasto destro del mouse sulla richiesta in attesa e selezionare All Tasks > Deny Request.

decommissionca09

 

Disinstallare gli AD Certificate Services

Dal server accedere al Command Prompt e digitare il comando:

decommissionca10

Per visualizzare tutte le key store per il computer locale, digitare nel Command Prompt:

decommissionca11

Cancellare la private key associata alla CA utilizzando il comando:

certutil -delkey CertificateAuthorityName

decommissionca12

Visualizzare le key store ancora una volta per verificare che la private key della CA è stata rimossa.

decommissionca13

Accedere al Server Manager, selezionare la voce Roles e cliccare su Remove Roles nella parte destra dello schermata.

decommissionca14

Il Remove Roles Wizard viene aperto. Cliccare su Next per continuare.

decommissionca15

Togliere il check in Active Directory Certificate Services e cliccare su Next.

decommissionca16

Cliccare su Remove per procedere.

decommissionca17

Il role selezionato viene rimosso dal sistema.

decommissionca18

Cliccare su Close per uscire dal wizard.

decommissionca19

Cliccare Yes per riavviare il server.

decommissionca20

Dopo che il server ha completato il boot, la procedura è completa.

decommissionca21

 

Rimuovere gli oggetti CA da Active Directory

Quando la CA è installata, diversi oggetti vengono creati in Active Directory che non vengono rimosso durante il processo di disinstallazione della stessa. Solo l'oggetto pKIEnrollmentService è rimosso per impedire che i client cerchino di ottenere la registrazione dalla CA rimossa.

Aprire il Command Prompt e digitare il comando certutil.

decommissionca22

Accedere ora all'Active Directory Site and Services e selezionare View >Show Services Node.

decommissionca23

Posizionarsi su Services > Public Key Services > AIA. Effettuare un click con il tasto destro sull'oggetto CA e selezionare Delete.

decommissionca24

Cliccare Yes per confermare la cancellazione.

decommissionca25

Posizionarsi su Services > Public Key Services > CDP. Cliccare con il tasto destro l'oggetto container dove il certificato è installato e selezionare Delete.

decommissionca26

Cliccare su Yes per confermare la cancellazione.

decommissionca27

Cliccare Yes per confermare.

decommissionca28

Posizionarsi su Services > Public Key Services > Certification Authorities. Effettuare un click con il tasto destro sull'oggetto CA e selezionare Delete.

decommissionca29

Cliccare su Yes per confermare la cancellazione.

decommissionca30

Posizionarsi su Services > Public Key Services > Enrollment Services. Nella schermata a destra verificare che l'ggetto pKIEnrollmentService è stato rimosso durante l'operazione di disinstallazione della CA. Se l'oggetto fosse ancora presente, effettuare un click con il tasto destro sull'oggetto e selezionare Delete e successivamente cliccare su Yes per confermare.

decommissionca31

Posizionarsi su Services > Public Key Services > Certificate Templates. Nella parte destra della schermata selezionare un certificato e premere i tasti CTRL+A per selezionare tutti i template. Cliccare con il tasto destro del mouse e selezionare Delete.

decommissionca32

Cliccare Yes per confermare la cancellazione.

decommissionca33

 

Cancellare i certificati pubblicati in NtAuthCertificates

Quando gli oggetti CA sono cancellati, anche i certificati della CA pubblicati nell'oggetto NtAuthCertificates deve essere cancellato. Con i permessi di Enterprise Administrator, verificare il percorso completo LDAP per l'oggetto NtAuthCertificates in Active Directory con il seguente comando:

decommissionca34

Per cancellare i certificati contenuti in NTAuthCertificates, eseguire il comando:

decommissionca36

Cliccare OK per cancellare il certificato.

decommissionca37

Ora eseguire il comando:

decommissionca38

Cliccare OK per cancellare il certificato.

decommissionca39

 

Cancellare il database della CA

Poichè il database non è rimosso durante il processo di disinstallazione dei Certification Services, per rimuovere il database dal sistema cancellare la cartella %systemroot%\System32\Certlog.

decommissionca40

 

Rimuovere i certificati dai DC

Anche i certificati assegnati ai Domain Controller devono essere rimossi. Da un Domain Controller, aprire il Command Prompt e digitare il comando:

decommissionca41

Il tool Certutil cerca di convalidare tutti i certificati DC assegnati ai Domain Controller. I certificati che non vengono convalidati sono rimossi. L'Active Directory Certificate Services è stato rimosso con successo dall' Active Directory. firma

2 Comments

  1. Giuseppe 24/06/2015
    • Paolo Valsecchi 24/06/2015