Wir stehen aktuell vor der Aufgabe, eine PKI in der Domäne eines Kunden abzubauen. Das es nicht mit dem Ausschalten des Servers getan ist, sollte klar sein, allerdings haben wir selbst auch noch keinen Abbau durchgeführt. Um den Abbau im Vorfeld zu dokumentieren habe ich mit Hilfe einer virtuellen AD-Test-Umgebung erst eine PKI nach unserer eigenen Anleitung aufgebaut, um sie danach wieder abzubauen und das Verhalten zu beobachten. Ich habe diverse Anleitungen im Vorfeld durchgelesen, in denen der Abbau beschrieben wurde:
Die von mir für diese Zwecke erstellte Umgebung sieht wie folgt aus:
PKITest-DC: Windows Server 2008 R2 mit aktivierter Active Directory-Domänendienste, DHCP und DNS-Rolle
PKITest-PKI: Windows Server 2008 R2 mit aktivierter Active Directory-Zertifikatsdienste
PKITest-Client1 bis PKITest-Client4: Windows XP mit Domänenmitgliedschaft
Innerhalb der Domäne gibt es einen Administrator und die Benutzer1 bis Benutzer4. Nach der Einrichtung der PKI und der Anmeldung an allen Clients sieht die Übersicht unter “Ausgestellte Zertifikate” wie folgt aus
Das Datum, mit dem ich innerhalb der Testumgebung begonnen habe, war der 31.01.2012. Zu Testzwecken habe ich dieses Datum auf allen Systemen auf den 30.01.2013 gestellt. Nach einer erneuten Anmeldung an den Clients tauchten in der Liste die neuen, verlängerten Systeme auf
Ich habe nun die neun Schritte, die in dem TechNet Wiki-Artikel aufgeführt sind, durchgeführt. Hier eine Auflistung der Schritte:
Schritt 1: Alle Zertifikate, die ausgestellt wurden, sperren
Innerhalb der Zertifizierungsstelle werden alle Zertifikate, die bis zum aktuellen Zeitpunkt ausgestellt wurden, gesperrt
Als Grund für die Sperrung geben wir “Vorgangsende” an
Schritt 2: Die Erhöhung des Veröffentlichungsintervalls
In den Eigenschaften der gesperrten Zertifikate (bzw. im Überordner, siehe Screenshot) setzen wir den Intervall hoch
In meinem Fall habe ich den Intervall auf “2 Jahre” gesetzt, er sollte höher sein als die Laufzeit der Zertifikate, die ausgestellt (und dann wieder gesperrt) wurden.
Schritt 3: Das Ausstellen einer neuen Sperrliste
Im nächsten Schritt erzwingen wir die Erstellung und Veröffentlichung einer neuen Sperrliste
Schritt 4: Alle laufenden Anforderungen ablehnen
Dieser Schritt muss nur gemacht werden, wenn anstehende Anforderungen vorhanden sind. In meinem Fall war dies nicht nötig
Schritt 5: Die Deinstallation der Zertifizierungsstelle
Als erstes fahren wir den Dienst der Zertifizierungsstelle herunter
Laut der Dokumentation sollen wir die CSP (Cryptographic Service Provider) entfernen. Der Aufruf “certutil –key” zeigt auch etwas an, dies sind allerdings nicht die Werte, die erwartet werden
Der Befehl “certutil –delkey Zertifizierungsstellenname” erzeugt allerdings einen Fehler
Ich habe nach einigem Suchen keine Aussage gefunden, durch was dieser Befehl unter Windows Server 2008 R2 ersetzt wurde. Ich habe die Eingabe des Befehls übersprungen und habe die Deinstallation der Rolle vorgenommen
Nach der Entfernung der Rolle muss das System zwar laut Assistent nicht neugestartet werden, ich habe den Server trotzdem einmal neugestartet
Zwischenschritt: Entfernung der Gruppenrichtlinie zur automatischen Anforderung von Zertifikaten
Damit die Computer kein Zertifikat mehr bei der PKI anfordern, muss die Gruppenrichtlinie entfernt werden
Schritt 6: Entfernen von Objekten innerhalb der Active Directory
Nach der Rollen-Entfernung muss die AD noch bereinigt werden. Dies geschieht mit dem Programm “Active Directory-Standorte und –Dienste”
Die nachfolgenden Befehle mit dem Programm “ldifde” können unter Windows Server 2008 R2 nicht ausgeführt werden, da das Programm nicht vorhanden ist
Schritt 7: Löschen des Zertifikat Nr. 0 (Root-Zertifikat)
Das zu löschende Zertifikat kann man auswählen, indem man den Befehl “certutil –viewdelstore” eingibt
Schritt 8: Löschen der CA-Datenbank
Hierzu muss der Ordner “CertLog” im System32-Verzeichnis gelöscht werden
Danach entfernen wir alle abgelaufenen Zertifikate auf dem Server
In meinem Fall wurden zwei KDC-Zertifikate entfernt
Nach einem “gpupdate /force” und einem Neustart der Clients sieht das eigene Zertifikat wie folgt aus
Die von uns gelöschte PKI taucht nun nicht mehr in der Liste der Vertrauenswürdigen Stammzertifizierungsstellen auf
Ich habe nun das Datum aller Systeme auf den 31.01.2014 gestellt, einen Tag nach dem Auslauf der noch auf den Systemen vorhandenen Zertifikaten. Das System startet ohne Fehlermeldung, im Eventlog ist in Bezug auf das Zertifikat nichts zu finden
Anmerkung: Diese Anleitung beruht auf Tests mit sechs für diesen Zweck installierten Systemen. Während der Abbau-Phase sind keine unvorhergesehenen Fehler oder Probleme aufgetreten, allerdings ist der Abbau einer PKI für Windows Server 2008 R2 auch nicht wirklich oft dokumentiert oder beschrieben. Aus diesem Grund kann es sein, das Schritte übersehen worden sind. Falls dies der Fall sein sollte wäre ich über Informationen dankbar, damit dieser Artikel erweitert oder angepasst werden kann. Auch nach weiteren drei Tagen laufen die Clients ohne Fehlermeldung und Probleme.
Hallo,
erstmals vielen Dank für den Artikel. Eine Anmerkung noch. Sollten bei Terminalservern Zertifikate im „Konfiguration des Remotedesktop-Sitzungshost“ hinterlegt. So sind sobald die Zertifikate gesperrt wurden keine Anmeldungen mehr am Server möglich. Hierzu muss man „KdR-S“ öffnen und in „Verbindungen“ die Standard Verbindung bearbeiten. Bei Zertifikat auf „Standard“ drücken und nach dem Übernehmen sind wieder Anmeldungen möglich.
MfG
Bastian Ogonowski
Hallo Bastian,
danke für diesen hilfreichen Tipp :)
Gruß, Jan
Hallo Gysbert,
ich kann die spontan nicht sagen wie und wo die Einträge gelöscht werden müssen, ich könnte mir vorstellen das mit ntdsutil die Einträge irgendwie entfernt werden können. Hier arbeitest du allerdings direkt an deiner AD und solltest genau! wissen, was du tust. Ich würde hier zu einem MS-Supportfall raten, da es dort die entsprechenden Experten gibt, die dir helfen können.
Gruß und viel Erfolg
Jan