DetailPage-MSS-KB

기술 자료

기술 자료: 889250 - 마지막 검토: 2013년 10월 24일 목요일 - 수정: 3.0

 

이 페이지에서

요약

인증 기관 (CA)를 제거 하면 CA에서 발급 된 인증서는 일반적으로 아직. 활성 상태의 인증서가 다양 한 공개 키 인프라 클라이언트 컴퓨터에서 처리 되 면 유효성 검사가 실패 하 고 이러한 인증서를 사용할 수 없습니다.

해결 되지 않은 인증서를 해지 하 고 성공적으로 제거 하는 CA. 또한 필요한 다양 한 작업을 완료 하는 방법에 설명, 도메인에서 CA 개체를 제거 하는 데 사용할 수 있는 여러 유틸리티에 설명 합니다.

소개

이 문서에서는 Microsoft Windows 엔터프라이즈 CA를 제거 하는 방법 및 Active Directory 디렉터리 서비스에서 모든 관련된 개체를 제거 하는 방법을 설명 합니다.

1 단계: 엔터프라이즈 CA가 발급 한 모든 활성 인증서 해지

  1. 시작,관리 도구가리키고 CertificationAuthority를 클릭 합니다.
  2. CA를 확장 한 다음 IssuedCertificates 폴더를 클릭 합니다.
  3. 오른쪽 창에서 발급 된 인증서 중 하나를 클릭 한 다음 발급 된 모든 인증서를 선택 하려면 CTRL + A를 누릅니다.
  4. 선택한 인증서를 마우스 오른쪽 단추로 클릭 AllTasks 을 누른 다음 인증서 해지를 클릭 합니다.
  5. 인증서 해지 대화 상자에서 중단 이유 forrevocation로 선택 하 고 확인을 클릭 합니다.

2 단계: CRL 게시 간격 늘리기

  1. 인증 기관 Microsoft 관리 Console(MMC) 스냅인에서 해지 된 인증서 폴더를 마우스 오른쪽 단추로 클릭 한 다음 속성을 클릭 합니다.
  2. Typea는 CRL 게시 간격 상자에 값을 적절 하 게 긴 하 고 확인을 클릭 합니다.
참고 인증서 해지 목록 (CRL)의 수명은 해지 된 인증서에 대해 남아 있는 수명 보다 길어야 합니다.

3 단계: 새 CRL을 게시

  1. 인증 기관 MMC 스냅인에서 해지 된인증서 폴더를 마우스 오른쪽 단추로 클릭 합니다.
  2. 모든 작업클릭 한 다음게시를 클릭 합니다.
  3. CRL 게시 대화 상자에서새 CRL클릭 한 다음 확인을 클릭 합니다.

4 단계: 대기 중인 요청 거부

기본적으로 엔터프라이즈 CA는 인증서 요청을 저장 하지 않습니다. 그러나 관리자가이 기본 동작을 변경할 수 있습니다. 대기 중인 인증서 요청을 거부 하려면 다음과이 같이 하십시오.
  1. 인증 기관 MMC 스냅인에서 thePending 요청 폴더를 클릭 합니다.
  2. 오른쪽 창에서 andthen 모든 보류 중인 인증서를 선택 하려면 CTRL + A 키를 눌러 대기 중인 요청을 클릭 합니다.
  3. 선택한 요청을 마우스 오른쪽 단추로 AllTasks누른 다음 요청 거부를 클릭 합니다.

5 단계: 서버에서 인증서 서비스를 제거 합니다.

  1. 인증서 서비스를 중지, 시작, 실행을 형식 cmd를 누른 다음 확인을 클릭 합니다.
  2. 명령 프롬프트 입력 certutil-종료를 누른 다음 Enter 키를 누릅니다.
  3. 명령 프롬프트 입력certutil-키를 누른 다음 Enter 키를 누릅니다. 이 명령은 모든 설치 된 암호화 서비스 공급자 (CSP) 및 각 공급자와 연결 된 키 저장소의 이름을 표시 합니다. 표시 된 키 저장소 목록에 CA의 이름이 됩니다. 다음 예제에서와 같이 여러 번 이름이 나열 됩니다.
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. CA와 연결 된 개인 키를 삭제 합니다. 이렇게 하려면 명령 프롬프트에 다음 명령을 입력 하 고 enter:
    certutil-delkey CertificateAuthorityName
    참고 CA 이름에 공백이 있으면 해당 이름을 quotationmarks 묶습니다.

    이 예제에서는 인증 기관 이름이입니다 "Windows2000 엔터프라이즈 루트 CA입니다." 따라서이 예제의 명령줄은 다음과 같습니다.
    certutil-delkey "Windows2000 엔터프라이즈 루트 CA"
  5. CA의 개인 키가 삭제 되었는지 확인 하려면 다시 키 저장소를 표시 합니다.
  6. CA의 개인 키를 삭제 한 후에 인증서 서비스를 제거 합니다. 이렇게 하려면 실행 중인 Windows Server 버전에 따라 다음이 단계를 수행 합니다.

    Windows Server 2003
    1. 인증 기관 MMC 스냅인이 아직 열려 있으면 닫습니다.
    2. 시작을 클릭 하 고 제어판가리킨 다음 프로그램 추가 / 제거를 클릭 합니다.
    3. Windows 구성 요소 추가/제거를 클릭 합니다.
    4. 구성 요소 상자에서 인증서 서비스 확인란의 선택을 취소 하 고 다음을 클릭 다음 Windows 구성 요소 마법사에서 인증서 서비스의 제거를 완료 하려면 지시를 따릅니다 클릭 합니다.
    Windows Server 2008 및 이후 버전

    엔터프라이즈 CA를 제거 하는 Enterprise Admins 또는 해당 하는 구성원은이 절차를 완료 하는 데 필요한 최소. 자세한 내용은 참조 하십시오. 역할 기반 관리 구현 (http://technet.microsoft.com/en-us/library/cc732590.aspx) .

    CA를 제거 하려면 다음과이 같이 하십시오.
    1. 시작을 클릭 하 고 관리 도구가리킨 다음 서버 관리자를 클릭 합니다.
    2. 역할 요약역할 제거 마법사를 시작 하려면 역할 제거 클릭 하 고 을 클릭 합니다.
    3. Active Directory 인증서 서비스 확인란의 선택을 취소 하 고 을 클릭 합니다.
    4. 제거 옵션 확인 페이지에서 정보를 검토 하 고 제거를 클릭 합니다.
    5. 인터넷 정보 서비스 (IIS) 실행 중인 경우 제거 프로세스를 계속 하기 전에 서비스를 중지 하 라는 메시지가 나타나면 확인을 클릭 합니다.
    6. 역할 제거 마법사가 완료 되 면 서버를 다시 시작 합니다. 제거 프로세스가 완료 됩니다.
    프로시저는 여러 Active Directory 인증서 서비스 (AD CS) 역할 서비스는 단일 서버에 설치 되어 있는 경우 약간 다릅니다. CA 제거 되지만 다른 AD CS 역할 서비스를 유지 하려면 다음과이 같이 하십시오.

    참고이 절차를 완료 하려면 CA를 설치한 사용자와 같은 권한으로 로그온 해야 합니다. 엔터프라이즈 CA를 제거 하는 Enterprise Admins 또는 해당 하는 구성원은이 절차를 완료 하는 데 필요한 최소. 자세한 내용은 참조 하십시오. 역할 기반 관리 구현 (http://technet.microsoft.com/en-us/library/cc732590.aspx) .
    1. 시작을 클릭 하 고 관리 도구가리킨 다음 서버 관리자를 클릭 합니다.
    2. 역할 요약Active Directory 인증서 서비스를 클릭 합니다.
    3. 역할 서비스역할 서비스 제거를 클릭 합니다.
    4. 인증 기관 확인란의 선택을 취소 하 고 을 클릭 합니다.
    5. 제거 옵션 확인 페이지에서 정보를 검토 하 고 제거를 클릭 합니다.
    6. IIS가 실행 중인 경우 제거 프로세스를 계속 하기 전에 서비스를 중지 하 라는 메시지가 나타나면 확인을 클릭 합니다.
    7. 역할 제거 마법사가 완료 되 면 서버를 다시 시작 해야 합니다. 제거 프로세스가 완료 됩니다.
    온라인 응답자 서비스와 같은 다른 역할 서비스 제거 된 CA의 데이터를 사용 하 여 구성 된 경우 이러한 서비스가 다른 CA를 지원 하도록 다시 구성 해야 합니다. CA 제거 되 면 서버에 다음 정보가 남습니다.
    • CA 데이터베이스
    • CA 공개 및 개인 키
    • 개인 저장소에 있는 CA의 인증서
    • AD CS 설정 도중 공유 폴더를 지정한 경우 공유 폴더의 CA 인증서
    • 신뢰할 수 있는 루트 인증 기관 저장소에 있는 CA 체인의 루트 인증서
    • 중개 인증 기관 저장소에 있는 CA 체인의 중개 인증서
    • CA의 CRL
    이 정보는 기본적으로 제거한 후 CA를 다시 설치 하는 경우 서버에 보관 됩니다. 예를 들어, 제거 하 고 독립 실행형 CA를 엔터프라이즈 CA로 변경 하려는 경우 CA를 다시 설치 합니다.

6 단계: Active Directory에서 CA 개체를 제거 합니다.

Microsoft 인증서 서비스는 도메인의 구성원 서버에 설치 되 면 Active Directory의 구성 컨테이너에 여러 개체가 만들어집니다.

이러한 개체는 다음과 같습니다.
  • certificateAuthority 개체
    • CN에 AIA, CN = 공용 키 서비스, CN = 서비스, CN = 구성, DC = =포리스트 루트 도메인.
    • CA에 CA 인증서를 포함합니다.
    • 기관 정보 액세스 (AIA) 위치를 게시 합니다.
  • crlDistributionPoint 개체
    • 에 CN =서버 이름CN = CDP, CN = 공용 키 서비스, CN = 서비스, CN = 구성, DC =ForestRootDC = com입니다.
    • CA에 의해 주기적으로 게시 된 CRL에 포함 되어 있습니다.
    • 게시 된 CRL 배포 지점 (CDP) 위치
  • certificationAuthority 개체
    • CN에 있는 인증 기관, CN = 공용 키 서비스, CN = 서비스, CN = 구성, DC = =ForestRootDC = com입니다.
    • CA에 CA 인증서를 포함합니다.
  • pKIEnrollmentService 개체
    • CN에 있는 등록 서비스, CN = 공용 키 서비스, CN = 서비스, CN = 구성, DC = =ForestRootDC = com입니다.
    • 엔터프라이즈 CA에 의해 만들어집니다.
    • CA가 구성 된 인증서 종류에 대 한 정보가 포함 되어 문제를. 이 개체에 대 한 권한을 보안 주체는이 CA에 등록할 수 있습니다 제어할 수 있습니다.
CA를 제거 하면 pKIEnrollmentService 객체 에서만 제거 됩니다. 클라이언트를에서 해지 된 CA에 등록할 수 없습니다. CA가 발급 한 인증서를 아직 처리 중일 수 있기 때문에 다른 개체가 유지 됩니다. 절차에 따라 이러한 인증서를 해지 하면 "1 단계: 엔터프라이즈 CA가 발급 한 모든 활성 인증서 해지" 섹션.

공개 키 인프라 (PKI) 클라이언트 컴퓨터에 대해 이러한 활성 상태의 인증서를 성공적으로 처리, 컴퓨터가 Active Directory에서 기관 정보 액세스 (AIA) 및 CRL 배포 지점 경로 찾아야 합니다. 처리 되지 않은 모든 인증서를 해지 하 고 crl 수명을 연장 Active Directory에서 CRL을 게시 하는 것이 좋습니다. 활성 상태의 인증서가 다양 한 PKI 클라이언트에서 처리 되 면 유효성 검사가 실패 합니다 및 이러한 인증서를 사용할 수 없습니다.

CRL 배포 지점 및 Active Directory의 AIA를 유지 하기 위해 우선 순위를 하지 않으면 이러한 개체를 제거할 수 있습니다. 그러나 이전의 활성 디지털 인증서를 하나 이상 처리 하는 데 예상 되는 경우 이러한 개체를 제거 하지 마십시오.

Active Directory에서 인증 서비스 개체를 모두 제거

참고 하지 후 Active Directory 포리스트의 모든 CA 개체를 제거 될 때까지 Active Directory에서 인증서 템플릿을 제거 해야 합니다.

Active Directory에서 인증 서비스의 모든 개체를 제거 하려면 다음과이 같이 하십시오.
  1. CACommonName ca를 확인 합니다. 이렇게 하려면, 다음과 같이 하십시오.
    1. 시작, 실행을 형식 cmd열기 상자 및 다음 확인을 클릭 합니다.
    2. 형식 certutil를 누른 다음 ENTER 키를 누릅니다.
    3. CA가 속한 이름 값을 기록해 둡니다. CACommonName는이 절차의 이후 단계에 필요 합니다.
  2. 시작을 클릭 하 고관리 도구누른 다음 현재 DirectorySites 및 서비스.
  3. 보기 메뉴에서서비스 노드 표시를 클릭 합니다.
  4. 서비스공용 KeyServices확장 한 다음 AIA 폴더를 누릅니다.
  5. 오른쪽 창에서 마우스 오른쪽 단추로 해당CertificationAuthority CA에 대 한 개체,삭제를 클릭 및 다음 를 클릭 합니다.
  6. Active Directory 사이트 및 ServicesMMC 스냅인의 왼쪽된 창에서 클릭 하 여 CDP 폴더입니다.
  7. 오른쪽 창에서 인증서 서비스를 설치한 theserver의 컨테이너 개체를 찾습니다. 컨테이너를 마우스 오른쪽 단추로 클릭 하 고 삭제를 클릭 한 다음 를 두 번 클릭.
  8. Active Directory 사이트 및 ServicesMMC 스냅인의 왼쪽된 창에서 인증 기관노드를 클릭 합니다.
  9. 오른쪽 창에서 마우스 오른쪽 단추로 해당CertificationAuthority CA에 대 한 개체,삭제를 클릭 및 다음 를 클릭 합니다.
  10. Active Directory 사이트 및 ServicesMMC 스냅인의 왼쪽된 창에서 등록 서비스 노드를 클릭 합니다.
  11. 오른쪽 창에서 인증서 서비스를 제거 하는 경우 해당 CA에 대 한 pKIEnrollmentServiceobject 제거를 확인 합니다. Ifthe 개체는 삭제 되지 않습니다 개체를 마우스 오른쪽 단추로 클릭삭제를 클릭 한 다음 를 클릭 합니다.
  12. 모든 개체를 찾지 못한 경우 다음이 단계를 수행 하면 일부 개체가 Active Directory에 남을 수 있습니다. CA를 Active Directory에 개체가 남아 있을 수 있습니다 후 정리 AD 개체 상태를 유지 하는지 여부를 확인 하려면 다음과 같이 하십시오.
    1. 명령줄에서 다음 명령을 입력 하 고 enter 키를 누릅니다.
      ldifde r "cn =CACommonName"-d" CN = 공용 키 서비스, CN = 서비스, CN = 구성, DC =ForestRootDC = com "-f output.ldf
      이 명령에서 CACommonName 1 단계에서 확인 된 이름 값을 나타냅니다. 예를 들어, "Contoso CA1" 이름 값을 사용 하는 경우 다음을 입력.
      ldifde r "cn = CA1 Contoso"-d "cn 공용 키 서비스, cn = = 서비스, cn = 구성, dc = contoso, dc = com"-f remainingCAobjects.ldf
    2. RemainingCAobjects.ldf 파일을 메모장에서 엽니다. 대체 용어 "changetype: 추가"와 "changetype: 삭제."그런 다음 Active Directory 개체를 삭제 하는 합법적인 지 여부를 확인 합니다.
    3. 명령 프롬프트에서 다음 명령을 입력 하 고 enter 키를 눌러 나머지 CA 개체를 Active Directory에서 삭제:
      ldifde-i-f remainingCAobjects.ldf
  13. 인증서 템플릿을 인증 기관 모두 삭제할 경우 삭제 합니다. AD 개체 상태를 유지 하는지 여부를 확인 하려면 12 단계를 반복 합니다.

    중요 모든 인증 기관을 삭제 하지 않으면 인증서 템플릿을 삭제 해서는 안 됩니다. 서식 파일을 실수로 삭제 한 경우 다음과이 같이 하십시오.
    1. 확인에 arelogged는으로 엔터프라이즈 관리자에 게 인증서 서비스를 실행 하는 서버에.
    2. 명령 프롬프트에서, 다음 명령을 입력한 다음, ENTER 키를 누릅니다.
      cd%windir%\system32
    3. 다음 명령을 입력 한 다음 ENTER 키를 누릅니다.
      regsvr32 /i:i /n /scertcli.dll
      다시 thecertificate 템플릿을 Active Directory에 만들어집니다.
    인증서 템플릿을 삭제 하려면 다음이 단계를 수행 합니다.
    1. "Active Directory 사이트 및 서비스" MMC 스냅인의 왼쪽된 창에서 인증서 Templatesfolder를 클릭 합니다.
    2. 오른쪽 창에서 인증서 템플릿 및 thenpress 모든 서식 파일을 선택 하려면 CTRL + A를 클릭 합니다. 선택한 템플릿을 마우스 오른쪽 단추로 클릭 하 고삭제, 를 클릭 합니다.

7 단계: NtAuthCertificates 개체에 게시 된 인증서를 삭제 합니다.

CA 개체를 삭제 한 후 NtAuthCertificates 개체를 게시 하는 CA 인증서를 삭제 해야 합니다. NTAuthCertificates 저장소에서 인증서를 삭제 하려면 다음 명령 중 하나를 사용.
certutil-viewdelstore ' 'ldap: / / / CN = NtAuthCertificates, CN = 공용 키
서비스, DC는 ForestRoot, DC = com =? cACertificate? 기본? objectclass certificationAuthority= "

certutil-viewdelstore ' 'ldap: / / / CN = NtAuthCertificates, CN = 공용 키
서비스, DC는 ForestRoot, DC = com =? cACertificate? 기본? objectclass = pKIEnrollmentService "
참고 이 작업을 수행 하려면 엔터프라이즈 관리자 권한이 있어야 합니다.
-Viewdelstore 작업에 지정 된 특성이 있는 인증서의 인증서 선택 UI를 호출합니다. 인증서 세부 정보를 볼 수 있습니다. 변경 되지 않게 하려면 선택 대화 상자에서 취소할 수 있습니다. 인증서를 선택 하면 해당 인증서 UI를 닫고 명령이 완전히 실행 될 때 삭제 됩니다.

다음 명령을 사용 하 여 Active Directory에서 NtAuthCertificates 개체에 전체 LDAP 경로 표시:
certutil 저장소-? | findstr "CN = NTAuth"

8 단계: CA 데이터베이스 삭제

인증서 서비스가 제거 될 때 CA 다른 서버에서 다시 만들 수 있도록 CA 데이터베이스는 그대로 유지 됩니다.

CA 데이터베이스를 제거 하려면 %systemroot%\System32\Certlog 폴더를 삭제 합니다.

9 단계: 도메인 컨트롤러 정리

CA를 제거 후 도메인 컨트롤러에 발급 된 인증서를 제거 합니다.

Windows Server 2000 도메인 컨트롤러에 발급 된 인증서를 제거 하려면 Microsoft Windows 2000 Resource Kit에서 Dsstore.exe 유틸리티를 사용 합니다.

Windows Server 2000 도메인 컨트롤러에 발급 된 인증서를 제거 하려면 다음과이 같이 하십시오.
  1. 시작, 실행을 형식 cmd를 누른 다음 ENTER 키를 누릅니다.
  2. 도메인 컨트롤러에 입력 dsstore-dcmon 명령 프롬프트 및 다음 ENTER 키를 누릅니다.
  3. 형식 3를 누른 다음 ENTER 키를 누릅니다. 모든 도메인 컨트롤러의 모든 인증서를 삭제 합니다.

    참고 Dsstore.exe 유틸리티는 각 도메인 컨트롤러에 발급 되는 도메인 컨트롤러 인증서의 유효성을 검사 하려고 합니다. 유효성을 검사 하지 않은 인증서는 해당 도메인 컨트롤러에서 제거 됩니다.
Windows Server 2003 도메인 컨트롤러에 발급 된 인증서를 제거 하려면 다음이 단계를 수행 합니다.

중요 버전 1 도메인 컨트롤러 템플릿을 기반으로 인증서를 사용 하는 경우이 절차를 사용 하지 마십시오.
  1. 시작, 실행을 형식 cmd를 누른 다음 ENTER 키를 누릅니다.
  2. 도메인 컨트롤러에서 명령 프롬프트 입력 certutil-dcinfo deleteBad.
Certutil.exe를 도메인 컨트롤러에 발급 된 모든 DC 인증서의 유효성을 검사 하려고 합니다. 유효성을 검사 하지 않은 인증서는 제거 됩니다.

보안 정책 적용을 강제로 다음과이 같이 하십시오.
  1. 시작, 실행을 형식 cmd열기 상자에 다음 ENTER 키를 누릅니다.
  2. 명령 프롬프트에서 해당 운영 체제의 버전에 적절 한 명령을 입력 하 고 enter 키를 누릅니다.
    • Windows server 2000: secedit /refreshpolicy 누릅니다 적용 /
    • Windows server 2003: gpupdate /force

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
키워드: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtko
기계 번역된 문서기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:889250  (http://support.microsoft.com/kb/889250/en-us/ )
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
소기업이 아닙니까?
다음에서 팔로우하십시오.