Windows 2008 R2 CA y autoinscripción: ¿cómo deshacerse de> 100,000 certificados emitidos?

14

El problema básico que tengo es que tengo> 100,000 certificados de máquina inútiles que abarrotan mi CA, y me gustaría eliminarlos, sin eliminar todos los certificados, ni perder el tiempo en el servidor e invalidar algunos de los certificados útiles en allí.

Esto se produjo como resultado de aceptar un par de valores predeterminados con nuestra Enterprise Root CA (2008 R2) y usar una GPOpara inscribir automáticamente las máquinas cliente para obtener certificados que permitan la 802.1xautenticación en nuestra red inalámbrica corporativa.

Resulta que el valor predeterminado Computer (Machine) Certificate Templatepermitirá a las máquinas volver a inscribirse en lugar de indicarles que usen el certificado que ya tienen. Esto está creando una serie de problemas para el tipo (yo) que esperaba usar la Autoridad de certificación como más que un registro de cada vez que se reinicia una estación de trabajo.

¡Mis malditos ojos!

(La barra de desplazamiento en el costado yace, si la arrastra hacia abajo, la pantalla se detiene y carga las siguientes docenas de certificados).

¿Alguien sabe cómo ELIMINAR 100,000 certificados vigentes de una CA de Windows Server 2008R2?

Cuando voy a eliminar un certificado ahora, ahora, aparece un error que no se puede eliminar porque todavía es válido. Entonces, idealmente, alguna forma de evitar temporalmente ese error, ya que Mark Henderson proporcionó una forma de eliminar los certificados con un script una vez que se eliminó ese obstáculo.

(Revocarlos no es una opción, ya que eso solo los mueve Revoked Certificates, lo que necesitamos poder ver, y tampoco se pueden eliminar de la "carpeta" revocada).

Actualizar:

Probé el sitio @MarkHenderson vinculado , que es prometedor, y ofrece una capacidad de administración de certificados mucho mejor, pero todavía no llega. El problema en mi caso parece ser que los certificados aún son "válidos en el tiempo" (aún no caducados), por lo que la CA no quiere permitir que se eliminen de la existencia, y esto también se aplica a los certificados revocados, por lo que se revoca todos ellos y luego eliminarlos tampoco funcionará.

También encontré este blog de Technet con mi Google-Fu , pero desafortunadamente, parecía que solo tenían que eliminar una gran cantidad de solicitudes de certificados, no certificados reales.

Finalmente, por ahora, el tiempo de adelanto de la CA para que caduquen los certificados de los que deseo deshacerme y, por lo tanto, se pueden eliminar con las herramientas en el sitio. que tienen que ser emitidos manualmente. Por lo tanto, es una mejor opción que reconstruir la CA, pero no una excelente.

windows active-directory windows-server-2008-r2 group-policy certificate-authority HopelessN00b
fuente

Respuestas:

8

No he intentado esto, pero hay un proveedor de PKI PowerShell de https://pspki.codeplex.com/ que tiene muchas funciones interesantes como las Revoke-Certificatesiguientes Remove-Request:

Elimina la fila de solicitud de certificado especificada de la Base de datos de la Autoridad de certificación (CA).

Este comando se puede usar para reducir el tamaño de la base de datos de CA, eliminando solicitudes de certificados innecesarias. Por ejemplo, elimine las solicitudes fallidas y el certificado caducado no utilizado.

Nota: después de eliminar una fila en particular, no podrá recuperar ninguna propiedad y (si es necesario) revocar el certificado correspondiente.

Mark Henderson
fuente
¡Brillante! Me inclino ante su superior Google-Fu, e intentaré esto mañana.
HopelessN00b
1
Casi brillante, maldita sea. No se puede revocar un certificado emitido o revocado "válido por tiempo" porque certserv no lo permitirá. Así que supongo que estoy desconectando el servidor, adelanto un par de años y luego intento esto. suspiro Otro fin de semana con cosas de trabajo. blogs.technet.com/b/askds/archive/2010/08/31/…
HopelessN00b
2

Mi instinto dice que limpie y comience de nuevo sin la tontería y será feliz más tarde, pero si ya lo cambió para almacenar los certificados en AD (que es ideal) y limpia y comienza de nuevo, todavía tendrá un montón de certificados falsos, solo estarán en AD conectados a todas las cuentas de la computadora en lugar de en su CA. Entonces es un desastre de cualquier manera realmente.

Llamada dura Puedes revocarlo como dijiste, pero no creo que puedas deshacerte de ellos por completo del CA mmc.

Si comienza de nuevo, siga los pasos aquí para hacerlo de la manera más limpia posible

Paul Ackerman
fuente
Ya tengo un lío en AD, gracias a los últimos ... 4 (?) CAs este reemplazado no se descompuso correctamente / en absoluto. (Sin mencionar todas las "otras cosas" que están mal en nuestro dominio). De todos modos, vamos a un nuevo dominio pronto, así que no estoy seguro de si la recompensa vale el tiempo que tendría que invertir para obtener esto hecho limpiamente.
HopelessN00b
2

Como no quería encontrar otros ~ 4000 certificados emitidos al día siguiente, detuve la emisión de certificados sin sentido eliminando la "Plantilla de certificado" "Computadora" predeterminada y agregando un duplicado que está configurado en Publish certificate in Active Directory y Do not automatically reenroll if a duplicate certificate exists in Active Directory.

  • Cuáles deberían ser los valores predeterminados

Todavía me deja con el problema de cómo deshacerme de los que ya están allí, pero es un comienzo.

HopelessN00b
fuente