Abbau einer Windows Server 2008 R2 PKI

technikblog-windows-server-2008-r2-abbau-einer-pkiWir stehen aktuell vor der Aufgabe, eine PKI in der Domäne eines Kunden abzubauen. Das es nicht mit dem Ausschalten des Servers getan ist, sollte klar sein, allerdings haben wir selbst auch noch keinen Abbau durchgeführt. Um den Abbau im Vorfeld zu dokumentieren habe ich mit Hilfe einer virtuellen AD-Test-Umgebung erst eine PKI nach unserer eigenen Anleitung aufgebaut, um sie danach wieder abzubauen und das Verhalten zu beobachten. Ich habe diverse Anleitungen im Vorfeld durchgelesen, in denen der Abbau beschrieben wurde:

Microsoft Support: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000

Windows PKI Blog: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003

Microsoft TechNet Wiki: How to Decommission a Windows Enterprise Certification Authority and How to Remove All Related Objects

Die von mir für diese Zwecke erstellte Umgebung sieht wie folgt aus:

PKITest-DC: Windows Server 2008 R2 mit aktivierter Active Directory-Domänendienste, DHCP und DNS-Rolle

PKITest-PKI: Windows Server 2008 R2 mit aktivierter Active Directory-Zertifikatsdienste

PKITest-Client1 bis PKITest-Client4: Windows XP mit Domänenmitgliedschaft

image

Innerhalb der Domäne gibt es einen Administrator und die Benutzer1 bis Benutzer4. Nach der Einrichtung der PKI und der Anmeldung an allen Clients sieht die Übersicht unter “Ausgestellte Zertifikate” wie folgt aus

image

Das Datum, mit dem ich innerhalb der Testumgebung begonnen habe, war der 31.01.2012. Zu Testzwecken habe ich dieses Datum auf allen Systemen auf den 30.01.2013 gestellt. Nach einer erneuten Anmeldung an den Clients tauchten in der Liste die neuen, verlängerten Systeme auf

002

Ich habe nun die neun Schritte, die in dem TechNet Wiki-Artikel aufgeführt sind, durchgeführt. Hier eine Auflistung der Schritte:

Schritt 1: Alle Zertifikate, die ausgestellt wurden, sperren

Innerhalb der Zertifizierungsstelle werden alle Zertifikate, die bis zum aktuellen Zeitpunkt ausgestellt wurden, gesperrt

004

Als Grund für die Sperrung geben wir “Vorgangsende” an

005

Schritt 2: Die Erhöhung des Veröffentlichungsintervalls

In den Eigenschaften der gesperrten Zertifikate (bzw. im Überordner, siehe Screenshot) setzen wir den Intervall hoch

006

014

In meinem Fall habe ich den Intervall auf “2 Jahre” gesetzt, er sollte höher sein als die Laufzeit der Zertifikate, die ausgestellt (und dann wieder gesperrt) wurden.

Schritt 3: Das Ausstellen einer neuen Sperrliste

Im nächsten Schritt erzwingen wir die Erstellung und Veröffentlichung einer neuen Sperrliste

015

016

Schritt 4: Alle laufenden Anforderungen ablehnen

Dieser Schritt muss nur gemacht werden, wenn anstehende Anforderungen vorhanden sind. In meinem Fall war dies nicht nötig

008

Schritt 5: Die Deinstallation der Zertifizierungsstelle

Als erstes fahren wir den Dienst der Zertifizierungsstelle herunter

009

Laut der Dokumentation sollen wir die CSP (Cryptographic Service Provider) entfernen. Der Aufruf “certutil –key” zeigt auch etwas an, dies sind allerdings nicht die Werte, die erwartet werden

010

Der Befehl “certutil –delkey Zertifizierungsstellenname” erzeugt allerdings einen Fehler

011

Ich habe nach einigem Suchen keine Aussage gefunden, durch was dieser Befehl unter Windows Server 2008 R2 ersetzt wurde. Ich habe die Eingabe des Befehls übersprungen und habe die Deinstallation der Rolle vorgenommen

019

020

022

Nach der Entfernung der Rolle muss das System zwar laut Assistent nicht neugestartet werden, ich habe den Server trotzdem einmal neugestartet

Zwischenschritt: Entfernung der Gruppenrichtlinie zur automatischen Anforderung von Zertifikaten

Damit die Computer kein Zertifikat mehr bei der PKI anfordern, muss die Gruppenrichtlinie entfernt werden

024

Schritt 6: Entfernen von Objekten innerhalb der Active Directory

Nach der Rollen-Entfernung muss die AD noch bereinigt werden. Dies geschieht mit dem Programm “Active Directory-Standorte und –Dienste”

029

031

032

033

Die nachfolgenden Befehle mit dem Programm “ldifde” können unter Windows Server 2008 R2 nicht ausgeführt werden, da das Programm nicht vorhanden ist

Schritt 7: Löschen des Zertifikat Nr. 0 (Root-Zertifikat)

Das zu löschende Zertifikat kann man auswählen, indem man den Befehl “certutil –viewdelstore” eingibt

034

035

Schritt 8: Löschen der CA-Datenbank

Hierzu muss der Ordner “CertLog” im System32-Verzeichnis gelöscht werden

036

Danach entfernen wir alle abgelaufenen Zertifikate auf dem Server

037

In meinem Fall wurden zwei KDC-Zertifikate entfernt

038

Nach einem “gpupdate /force” und einem Neustart der Clients sieht das eigene Zertifikat wie folgt aus

040

041

Die von uns gelöschte PKI taucht nun nicht mehr in der Liste der Vertrauenswürdigen Stammzertifizierungsstellen auf

042

Ich habe nun das Datum aller Systeme auf den 31.01.2014 gestellt, einen Tag nach dem Auslauf der noch auf den Systemen vorhandenen Zertifikaten. Das System startet ohne Fehlermeldung, im Eventlog ist in Bezug auf das Zertifikat nichts zu finden

044

Anmerkung: Diese Anleitung beruht auf Tests mit sechs für diesen Zweck installierten Systemen. Während der Abbau-Phase sind keine unvorhergesehenen Fehler oder Probleme aufgetreten, allerdings ist der Abbau einer PKI für Windows Server 2008 R2 auch nicht wirklich oft dokumentiert oder beschrieben. Aus diesem Grund kann es sein, das Schritte übersehen worden sind. Falls dies der Fall sein sollte wäre ich über Informationen dankbar, damit dieser Artikel erweitert oder angepasst werden kann. Auch nach weiteren drei Tagen laufen die Clients ohne Fehlermeldung und Probleme.

Teilen:

Jan Kappen

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitet seitdem bei der Rachfahl IT-Solutions GmbH & Co. KG. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Im April 2015 wurde Jan Kappen im Bereich "File System Storage" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

3 Kommentare:

  1. Hallo,

    erstmals vielen Dank für den Artikel. Eine Anmerkung noch. Sollten bei Terminalservern Zertifikate im “Konfiguration des Remotedesktop-Sitzungshost” hinterlegt. So sind sobald die Zertifikate gesperrt wurden keine Anmeldungen mehr am Server möglich. Hierzu muss man “KdR-S” öffnen und in “Verbindungen” die Standard Verbindung bearbeiten. Bei Zertifikat auf “Standard” drücken und nach dem Übernehmen sind wieder Anmeldungen möglich.

    MfG
    Bastian Ogonowski

  2. Hallo Bastian,
    danke für diesen hilfreichen Tipp :)
    Gruß, Jan

  3. Hallo Gysbert,
    ich kann die spontan nicht sagen wie und wo die Einträge gelöscht werden müssen, ich könnte mir vorstellen das mit ntdsutil die Einträge irgendwie entfernt werden können. Hier arbeitest du allerdings direkt an deiner AD und solltest genau! wissen, was du tust. Ich würde hier zu einem MS-Supportfall raten, da es dort die entsprechenden Experten gibt, die dir helfen können.
    Gruß und viel Erfolg
    Jan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.