2024年3月20日发(作者:)

完全卸载CA证书服务

问题:DC上的CA证书服务因为某些原因出现了问题,于是在“添加/删除组件”中将证书服务卸

载了,然后再重新安装证书服务,建立与原来同名的企业根CA。原来的问题是解决了,但又出现了新的

问题:现在客户端申请的用户证书在“中级证书办法机构”和“受信任的证书颁发机构”中都会有两个

同名的CA。这说明原来的那个CA并没有卸载干净,请问怎样才能卸载干净,使客户端申请证书只出现

一个新安装的CA?

需要使用ntdsutil进行AD的清理才可以

--------------------------------------------------------------------------------------

步骤 1:吊销所有由企业 CA 颁发的活动证书

a. 单击“开始”,指向“管理工具”,然后单击“证书颁发机构”。

b. 展开 CA,然后单击“颁发的证书”文件夹。

c. 在右窗格中,单击某个颁发的证书,然后按 Ctrl+A 以选中所有颁发的证书。

d. 右键单击选定的证书,单击“所有任务”,然后单击“吊销证书”。

e. 在“证书吊销”对话框中,单击以选择“停止操作”作为吊销原因,然后单击“确定”。

步骤 2:增大 CRL 发布间隔

a. 在证书颁发机构 Microsoft 管理控制台 (MMC) 管理单元中,右键单击“吊销的证书”文件夹,

然后单击“属性”。

b. 在“CRL 发布间隔”框中,键入一个适当长一些的间隔值,然后单击“确定”。

注意:证书吊销列表 (CRL) 的有效期应长于已吊销证书的剩余有效时间。

步骤 3:发布新的 CRL

a. 在证书颁发机构 MMC 管理单元中,右键单击“吊销的证书”文件夹。

b. 单击“所有任务”,然后单击“发布”。

c. 在“发布 CRL”对话框中,单击“新的 CRL”,然后单击“确定”。

步骤 4:拒绝任何挂起的申请

默认情况下,企业 CA 不存储证书申请。不过,管理员可以更改此默认行为。要拒绝任何挂起的证

书申请,请按照下列步骤操作:

a. 在证书颁发机构 MMC 管理单元中,单击“挂起的申请”文件夹。

b. 在右窗格中,单击某个挂起的申请,然后按 Ctrl+A 以选中所有挂起的证书。

c. 右键单击选择的申请,单击“所有任务”,然后单击“拒绝申请”。

步骤 5:从服务器中卸载证书服务

a. 要停止证书服务,请单击“开始”,单击“运行”,键入 cmd,然后单击“确定”。