CA do Windows 2008 R2 e inscrição automática: como se livrar de> 100.000 certificados emitidos?

14

O problema básico que estou tendo é que tenho mais de 100.000 certificados de máquina inútil bagunçando minha autoridade de certificação e gostaria de excluí-los, sem excluir todos os certificados, ou saltar o tempo do servidor adiante e invalidar alguns dos certificados úteis em há.

Isso ocorreu como resultado da aceitação de alguns padrões da nossa CA raiz corporativa (2008 R2) e do uso de um GPOpara registrar automaticamente máquinas clientes de certificados para permitir a 802.1xautenticação em nossa rede sem fio corporativa.

Acontece que o padrão Computer (Machine) Certificate Templatepermitirá que as máquinas se inscrevam novamente em vez de instruí-las a usar o certificado que já possuem. Isso está criando vários problemas para o cara (eu) que esperava usar a Autoridade de Certificação como mais do que um log de cada vez que uma estação de trabalho foi reiniciada.

Meus olhos malditos!

(A barra de rolagem do lado está situada; se você a arrastar para baixo, a tela faz uma pausa e carrega as próximas dezenas de certs.)

Alguém sabe como EXCLUIR 100.000 ou mais certificados válidos no tempo de uma CA do Windows Server 2008R2?

Quando vou excluir um certificado agora, recebo um erro que não pode ser excluído porque ainda é válido. Portanto, idealmente, há uma maneira de ignorar temporariamente esse erro, pois o Mark Henderson forneceu uma maneira de excluir os certificados com um script assim que esse obstáculo for resolvido.

(Revogá-los não é uma opção, pois apenas os move Revoked Certificates, para o qual precisamos poder visualizar, e eles também não podem ser excluídos da "pasta" revogada.)

Atualizar:

Eu tentei o site @MarkHenderson vinculado , o que é promissor e oferece uma capacidade de gerenciamento de certificado muito melhor, mas ainda não chega lá. O problema, no meu caso, parece ser que os certificados ainda são "válidos por tempo" (ainda não expiraram), portanto a CA não deseja que eles sejam excluídos da existência, e isso também se aplica a certificados revogados, revogando todos eles e excluí-los também não funcionarão.

Também encontrei este blog tecnológico com meu Google-Fu , mas, infelizmente, eles pareciam apenas excluir um número muito grande de solicitações de certificado, e não certificados reais.

Finalmente, por enquanto, saltar o tempo da CA para que os certificados que eu quero me livrar expirem e, portanto, podem ser excluídos com as ferramentas no site Marcar como vinculado não é uma ótima opção, pois expirariam vários certificados válidos que usamos que precisam ser emitidos manualmente. Portanto, é uma opção melhor do que reconstruir a CA, mas não uma ótima.

HopelessN00b
fonte

Respostas:

8

Eu não tentei isso, mas há um provedor PKI PowerShell em https://pspki.codeplex.com/ que possui muitas funções interessantes, como as Revoke-Certificateseguidas por Remove-Request:

Exclui a linha de solicitação de certificado especificada do banco de dados da Autoridade de Certificação (CA).

Este comando pode ser usado para reduzir o tamanho do banco de dados da CA, excluindo solicitações de certificado desnecessárias. Por exemplo, exclua solicitações com falha e certificado expirado não utilizado.

Nota: depois de excluir uma linha específica, você não poderá recuperar nenhuma propriedade e (se necessário) revogar o certificado correspondente.

Mark Henderson
fonte
Brilhante! Eu me curvo ao seu superior Google-Fu e tentarei isso amanhã.
precisa
1
Quase brilhante, caramba. Não é possível revogar um certificado emitido ou revogado com "validade válida" porque o certserv não permite. Então, acho que estou retirando o servidor do modo offline, pulando o relógio alguns anos e depois tentando isso. suspiro Outro fim de semana com coisas de trabalho. blogs.technet.com/b/askds/archive/2010/08/31/…
HopelessN00b
2

Meu intestino diz: limpe-o e comece de novo sem a brincadeira e você ficará feliz mais tarde, mas se você já o tiver alterado para armazenar os materiais no AD (o que é ideal) e você limpar e começar de novo, você ainda terá uma tonelada de certificados falsos, eles apenas estarão no AD anexados a todas as contas de computador, e não no seu CA. Então, é realmente uma bagunça de qualquer maneira.

Chamada difícil. Você pode revogar como disse, mas não acredito que possa se livrar deles completamente da CA mmc.

Se você começar de novo, siga as etapas aqui para fazê-lo da maneira mais limpa possível

Paul Ackerman
fonte
Já tenho uma bagunça no AD, graças aos últimos ... 4 (?) CAs que este substituiu por não ter sido decomposto corretamente / de forma alguma. (Sem mencionar todas as "outras coisas" que estão erradas em nosso domínio.) De qualquer maneira, vamos para um novo domínio logo, por isso não tenho certeza se a recompensa vale o tempo que eu teria que dedicar para obter isso feito de forma limpa.
HopelessN00b
2

Como não queria encontrar outros ~ 4000 certificados emitidos no dia seguinte, parei a emissão do certificado, removendo o "Computador" "Modelo de Certificado" padrão e adicionando uma duplicata dele que está definido como Publish certificate in Active Directory e Do not automatically reenroll if a duplicate certificate exists in Active Directory.

  • Quais devem ser os padrões

Ainda me deixa com o problema de como me livrar dos que já estão lá, mas é um começo.

HopelessN00b
fonte