我遇到的基本问题是,我的CA中有超过100,000个无用的机器证书,并且我想删除它们,而不删除所有证书,或者花时间使服务器前移,并使一些有用的证书失效那里。
这是由于我们的企业根CA(2008 R2)接受了几个默认值,并使用GPO来自动注册客户端计算机的证书以允许802.1x对我们的公司无线网络进行身份验证。
事实证明,默认设置Computer (Machine) Certificate Template将很乐意允许计算机重新注册,而不是指示它们使用已经拥有的证书。对于希望将证书颁发机构用作每次重新启动工作站的日志的家伙(我)来说,这会带来很多问题。
(侧面的滚动条在说谎,如果将其拖动到底部,屏幕将暂停并加载接下来的几十个证书。)
有谁知道如何从Windows Server 2008R2 CA 删除 100,000个时间有效的现有证书?
现在,当我现在删除证书时,出现一个错误,因为它仍然有效,因此无法删除。因此,理想情况下,某种方式可以暂时绕过该错误,因为Mark Henderson提供了一种方法,可以在清除障碍后使用脚本删除证书。
(取消它们不是一种选择,因为将它们移动到Revoked Certificates,我们需要能够查看它们,也不能将它们从已撤消的“文件夹”中删除。)
更新:
我尝试了@MarkHenderson链接的网站,该网站很有希望,并且提供了更好的证书可管理性,但是还远远不够。在我看来,证书似乎仍然是“时间有效的”(尚未过期),因此CA不想让它们从存在中删除,这也适用于已撤销的证书,因此,撤销全部删除,然后将其删除也不起作用。
我也在我的Google-Fu上找到了这个technet博客,但不幸的是,他们似乎只需要删除大量的证书申请,而不必删除实际的证书。
最终,暂时让CA向前发展,以便我想摆脱的证书到期,因此可以使用站点上的工具将其删除标记链接不是一个好选择,因为我们使用的许多有效证书都将到期必须手动发布。因此,这是比重建CA更好的选择,但不是一个很好的选择。
