이 단계별 문서에서는 Microsoft Windows Enterprise CA 사용을 중지하고 Active Directory 디렉터리 서비스에서 관련 개체를 모두 제거하는 방법을 설명합니다.
1단계: 엔터프라이즈 CA에서 서명한 모든 활성 인증서 취소
시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 클릭합니다.
CA를 확장하고 발급된 인증서 폴더를 클릭하세요.
오른쪽 창에서 발급된 인증서를 클릭한 다음 CTRL A를 눌러 발급된 인증서를 모두 선택합니다.
선택한 인증서를 마우스 오른쪽 버튼으로 클릭하고 모든 작업을 클릭한 다음 인증서 취소를 클릭합니다.
인증서 해지 대화 상자에서 해지 이유로 중지된 작업을 클릭하여 선택한 다음 확인을 클릭합니다.
2단계: CRL 게시 간격 늘리기
인증 기관 MMC(Microsoft Management Console) 스냅인에서 해지된 인증서 폴더를 마우스 오른쪽 버튼으로 클릭한 다음 속성을 클릭합니다.
CRL 게시 간격 상자에 적절한 긴 값을 입력한 다음 확인을 클릭합니다.
참고: 수명이 다한 인증서에 대해 인증서 해지 목록(CRL)을 유지해야 합니다.
3단계: 새 CRL 게시
인증 기관 MMC 스냅인에서 해지된 인증서 폴더를 마우스 오른쪽 버튼으로 클릭합니다.
모든 작업을 클릭한 다음 게시를 클릭하세요.
CRL 게시 대화 상자에서 새 CRL을 클릭한 다음 확인을 클릭합니다.
4단계: 보류 중인 요청 거부
기본적으로 엔터프라이즈 CA는 인증서 요청을 저장하지 않습니다. 그러나 관리자는 이 기본 동작을 변경할 수 있습니다. 보류 중인 인증서 요청을 거부하려면 다음 단계를 따르세요.
인증 기관 MMC 스냅인에서 보류 중인 요청 폴더를 클릭하세요.
오른쪽 창에서 보류 중인 요청을 클릭한 다음 CTRL A를 눌러 보류 중인 인증서를 모두 선택합니다.
선택한 요청을 마우스 오른쪽 버튼으로 클릭하고 모든 작업을 클릭한 다음 요청 거부를 클릭합니다.
5단계: 서버에서 인증서 서비스 제거
인증서 서비스를 중지하려면 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.
명령 프롬프트에 certutil -close를 입력한 후 Enter를 누르세요.
명령 프롬프트에 certutil -key를 입력한 후 Enter를 누르세요. 이 명령은 설치된 모든 CSP(암호화 서비스 공급자)와 각 공급자와 연결된 키 저장소의 이름을 표시합니다. 나열된 키 저장소에 CA 이름을 나열합니다.
다음 예와 같이 이름이 여러 번 나타납니다.
(1)Microsoft Base Cryptographic Provider v1.0:
1a3b2f44-2540-408b-8867-51bd6b6ed413< / p>
MS IIS DCOM 클라이언트SYSTEMS-1-5-18
MS IIS DCOM 서버
Windows2000 Enterprise Root CA
MS IIS DCOM ClientAdministratorS- 1 -5-21-436374069-839522115-1060284298-500
afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
(5)Microsoft Enhanced Cryptographic Provider v1.0:
1a3b2f44- 2540 -408b-8867-51bd6b6ed413
MS IIS DCOM 클라이언트SYSTEMS-1-5-18
MS IIS DCOM 서버
Windows2000 Enterprise Root CA
MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
CA와 연결된 개인 키를 삭제합니다. 이렇게 하려면 명령 프롬프트에 다음 명령을 입력한 후 Enter를 누르십시오.
certutil-CertificateAuthorityName delkey
참고: CA 이름에 공백이 포함된 경우 이름을 묶으십시오. 따옴표 안에.
이 예에서 인증 기관 이름은 "Windows 2000 Enterprise Root CA"입니다. 따라서 이 예의 명령줄은 다음과 같습니다.
certutil-delkey "windows 2000 Enterprise Root CA"
CA의 개인 정보를 확인하기 위해 키 저장소를 다시 나열합니다. 키가 삭제되었습니다.
CA의 개인 키를 삭제한 후 인증서 서비스를 제거하십시오. 이렇게 하려면 실행 중인 Windows Server 버전에 따라 다음 단계를 따르세요.
Windows Server 2003
아직 열려 있으면 인증 기관 MMC 스냅인을 닫습니다.
시작을 클릭하고 제어판을 가리킨 다음 프로그램 추가/제거를 클릭합니다.
Windows 구성 요소 추가/제거를 클릭합니다.
구성 요소 상자에서 인증서 서비스 확인란 선택을 취소하고 다음을 클릭한 후 Windows 구성 요소 마법사의 지침에 따라 인증서 서비스 제거를 완료합니다.
Windows Server 2008 이상
엔터프라이즈 CA를 제거하는 경우 이 프로세스를 완료하려면 최소한 엔터프라이즈 관리자 또는 이에 상응하는 멤버십이 필요합니다. 자세한 내용은 역할 기반 관리 구현을 참조하세요.
CA를 제거하려면 다음 단계를 따르세요.
시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자를 클릭하세요.
역할 요약에서 역할 제거 마법사를 클릭하여 실행하고 역할을 삭제한 후 다음을 클릭합니다.
Active Directory 인증서 서비스 확인란을 선택 취소한 후 다음을 클릭합니다.
삭제 옵션 확인 페이지에서 정보를 검토한 후 삭제를 클릭하세요.
IIS(인터넷 정보 서비스)가 실행 중이고 제거 프로세스를 계속하기 전에 서비스를 중지하라는 메시지가 표시되면 확인을 클릭하세요.
역할 삭제 마법사가 완료되면 서버를 다시 시작하세요.
단일 서버에 AD CS(Active Directory 인증서 서비스) 역할 서비스가 여러 개 설치된 경우 프로세스가 약간 다릅니다.
이 프로세스를 완료하려면 CA를 설치한 사용자와 동일한 권한으로 로그인해야 합니다. 엔터프라이즈 CA를 제거하는 경우 이 프로세스를 완료하려면 최소한 엔터프라이즈 관리자 또는 이에 상응하는 멤버십이 필요합니다. 자세한 내용은 역할 기반 관리 구현을 참조하세요.
시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자를 클릭합니다.
역할 요약에서 Active Directory 인증서 서비스를 클릭합니다.
역할 서비스에서 역할 서비스 삭제를 클릭하세요.
인증 기관 확인란을 선택 취소한 후 다음을 클릭하세요.
삭제 옵션 확인 페이지에서 정보를 검토한 후 삭제를 클릭하세요.
IIS가 실행 중이고 제거 프로세스를 계속하기 전에 서비스를 중지하라는 메시지가 표시되면 확인을 클릭하세요.
역할 삭제 마법사가 완료되면 서버를 다시 시작해야 합니다. 이것으로 제거 프로세스가 완료됩니다.
온라인 응답자 서비스와 같은 나머지 역할 서비스가 제거된 CA의 데이터를 사용하도록 구성된 경우 이러한 서비스는 다른 CA를 지원하도록 재구성되어야 합니다. CA가 제거된 후에도 다음 정보가 서버에 남아 있습니다.
CA 데이터베이스
CA의 공개 키 및 개인 키에 대한 키
개인 저장소
AD CS 설치 중에 공유 폴더를 지정한 경우 CA 인증서는 공유 폴더에 있습니다.
신뢰할 수 있는 루트 인증 기관은 CA 체인의 루트 인증서를 영역에 저장합니다.
중간 인증 기관 저장소 영역에 있는 CA 체인의 중간 인증서
CA의 CRL
기본적으로 이 정보는 제거할 경우 서버에 저장됩니다. CA를 다시 설치하세요. 예를 들어 독립 실행형 CA를 엔터프라이즈 CA로 변경하려는 경우 CA를 제거하고 다시 설치할 수 있습니다.
6단계: Active Directory에서 CA 개체 삭제
도메인의 구성원인 서버에 Microsoft 인증서 서비스를 설치한 후 Active Directory의 구성 컨테이너에 여러 개체를 만듭니다. .
이러한 개체는 다음과 같습니다.
certificateAuthority 개체
CN=AIA,CN=Service,CN=Service,CN=Configuration,DC=ForestRootDomain에 위치 .
이 CA에 대한 CA 인증서가 포함되어 있습니다.
AIA(Authority Information Access) 위치를 게시합니다.
crlDistributionPoint 개체
CN=ServerName,CN=CDP,CN=Service,CN=Service,CN=Configuration,DC=ForestRoot,DC=com 에 있습니다.
CA에서 정기적으로 발행하는 CRL이 포함되어 있습니다.
게시된 CRL 배포 지점(CDP) 위치
certificationAuthority 개체
는 CN 인증 기관, CN == 공개 키 서비스, CN = 서비스에 있습니다. CN=구성,DC=ForestRoot,DC=com.
이 CA에 대한 CA 인증서가 포함되어 있습니다.
pKIEnrollmentService 개체
CN=RegistrationService,CN=Service,CN=Service,CN=Configuration,DC=ForestRoot,DC=com에 있습니다.
엔터프라이즈 CA 기준.
구성된 CA 유형에 대한 인증서 정보가 포함된 질문입니다. 이 개체에 대한 권한은 이 CA에 대해 등록할 수 있는 보안 주체를 제어합니다.
CA를 제거하면 pKIEnrollmentService 개체만 삭제됩니다. 이렇게 하면 클라이언트가 중단된 CA에 등록을 시도하는 것을 방지할 수 있습니다. CA에서 발급한 인증서가 아직 미해결 상태일 수 있으므로 다른 개체는 그대로 유지됩니다. 이러한 인증서는 "1단계: 엔터프라이즈 CA에서 발급한 모든 활성 인증서 해지" 섹션의 절차에 따라 해지되어야 합니다.
PKI(공개 키 인프라) 클라이언트가 이러한 미해결 인증서를 성공적으로 처리하려면 컴퓨터가 Active Directory에서 AIA(기관 정보 액세스) 및 CRL 배포 지점에 대한 경로를 찾아야 합니다. 미해결 인증서를 모두 취소하고, CRL의 수명을 연장하고, Active Directory에 CRL을 게시하는 것이 좋습니다. 미해결 인증서가 다른 PKI 클라이언트에서 처리되는 경우 유효성 검사가 실패하고 인증서가 사용되지 않습니다.
Active Directory에서 CRL 배포 지점 및 AIA의 우선 순위를 유지할 필요가 없는 경우 이러한 개체를 삭제할 수 있습니다. 이전에 활성화된 하나 이상의 디지털 인증서를 폐기하려면 해당 객체를 삭제하지 마십시오.
Active Directory에서 모든 인증서 서비스 개체 제거
참고: Active Directory 포리스트의 모든 CA 개체를 삭제할 때까지 Active Directory에서 인증서 템플릿을 삭제하면 안 됩니다.
Active Directory에서 인증서 서비스에 대한 모든 개체를 삭제하려면 다음 단계를 수행하십시오.
CA의 CACommonName을 확인합니다. 이렇게 하려면 다음 단계를 따르십시오.
시작, 실행을 차례로 클릭하고 열기 상자에 cmd를 입력한 다음 확인을 클릭합니다.
certutil을 입력한 후 Enter를 누르세요.
CA에 속한 이름 값을 기록해 두세요. 이 절차의 이후 단계에서는 CACommonName이 필요합니다.
시작을 클릭하고 관리 도구를 가리킨 다음 Active Directory 사이트 및 서비스를 클릭합니다.
보기 메뉴에서 서비스 노드 표시를 클릭합니다.
서비스를 확장하고 공개 키 서비스를 확장한 다음 AIA 폴더를 클릭합니다.
오른쪽 창에서 CA CertificationAuthority 개체를 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭한 다음 예를 클릭합니다.
Active Directory 사이트 및 서비스 mmc 스냅인의 왼쪽 창에서 CDP 폴더를 클릭합니다.
오른쪽 창에서 인증서 서비스 컨테이너 개체가 설치된 서버를 찾습니다. 컨테이너를 마우스 오른쪽 단추로 클릭하고 삭제를 클릭한 다음 예를 두 번 클릭합니다.
Active Directory 사이트 및 서비스 mmc 스냅인의 왼쪽 창에서 인증 기관 노드를 클릭합니다.
오른쪽 창에서 CA CertificationAuthority 개체를 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭한 다음 예를 클릭합니다.
Active Directory 사이트 및 서비스 mmc 스냅인의 왼쪽 창에서 등록된 서비스 노드를 클릭합니다.
오른쪽 창에서 인증서 서비스를 제거할 때 CA의 pKIEnrollmentService 개체가 삭제되었는지 확인하세요. 개체를 삭제하지 않으려면 개체를 마우스 오른쪽 단추로 클릭하고 삭제를 클릭한 다음 예를 클릭합니다.
모든 개체를 찾을 수 없는 경우 이 단계를 수행한 후 일부 개체가 Active Directory에 있을 수 있습니다. Active Directory에 남아 있을 수 있는 CA 개체를 정리한 후 다음 단계에 따라 AD 개체가 아직 존재하는지 확인하세요.
명령줄에 다음 명령을 입력한 후 Enter 키를 누르세요.< /p >
ldifde-r"cn=CACommonName"-d"CN=공개 키 서비스,CN=Service,CN=구성,DC=ForestRoot,DC=com"-f output.ldf
In 이 명령에서 CACommonName은 1단계에서 결정한 이름 값을 나타냅니다. 예를 들어 이름 값이 "CA1 Contoso"인 경우 다음 명령을 입력합니다.
ldifde -r "cn=CA1 Contoso" -d"cn=public***service,cn=service,cn =configuration ,dc=contoso,dc=com"-f 남은CAobjects.ldf
나머지 CAobjects.ldf 파일을 메모장에서 엽니다. "오류:추가"라는 단어를 "오류:삭제"로 바꿉니다. 그런 다음 삭제할 Active Directory 개체가 적합한지 확인합니다.
명령 프롬프트에서 다음 명령을 입력한 후 Enter를 눌러 Active Directory에서 나머지 CA 개체를 삭제합니다.
ldifde-i-f 잔여CAobjects.ldf
모든 인증 기관이 제거되었다고 확신하는 경우 인증서 템플릿을 삭제하세요. 12단계를 반복하여 AD 개체가 아직 존재하는지 확인합니다.
중요: 모든 인증 기관이 삭제되지 않은 경우 인증서 템플릿을 삭제해야 합니다. 실수로 템플릿을 삭제한 경우 다음 단계를 따르세요.
인증서 서비스를 실행하는 서버에 엔터프라이즈 관리자로 로그인했는지 확인하세요.
명령 프롬프트에서 다음 명령을 입력한 후 Enter 키를 누르세요.
cd windir\system32
다음 명령을 입력하고 Enter 키를 누르세요. 키를 입력하세요. :
regsvr32 /i :i /n /s issue
이 작업은 Active Directory에 인증서 템플릿을 다시 생성합니다.
인증서 템플릿을 삭제하려면 다음 단계를 따르세요.
"Active Directory 사이트 및 서비스" MMC 스냅인의 왼쪽 창에서 인증서 템플릿 폴더를 클릭합니다.
오른쪽 창에서 인증서 템플릿을 클릭한 다음 Ctrl A를 눌러 모든 템플릿을 선택합니다. 선택한 템플릿을 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭한 다음 예를 클릭합니다.
7단계: NtAuthCertificates 개체에 게시된 인증서 삭제
CA 개체를 삭제한 후 NtAuthCertificates 개체에 게시된 CA 인증서를 삭제해야 합니다. NTAuthCertificates 저장소에서 인증서를 삭제하려면 다음 명령 중 하나를 사용하십시오.
certutil-viewdelstore ' 'ldap://CN=NtAuthCertificates,CN=Public***Key
Service ,...,DC=ForestRoot,DC=com? cA인증서? 객체 클래스 = CertificationAuthority"
certutil-viewdelstore ' 'ldap://CN=NtAuthCertificates,CN=Public***Key
Service,...,DC =ForestRoot,DC =com?cACertificate?Base?ObjectClass=pKIEnrollmentService"
참고: 이 작업을 수행하려면 엔터프라이즈 관리자 권한이 있어야 합니다.
-Viewdelstore 작업은 인증서에 지정된 속성 집합에 대한 인증서 선택 UI를 호출합니다. 인증서의 세부정보를 확인할 수 있습니다. 변경하지 않고 선택 대화 상자에서 작업을 취소할 수 있습니다. 인증서를 선택하면 사용자 인터페이스가 닫히고 명령이 완전히 실행되면 인증서가 삭제됩니다.
Active Directory에서 NtAuthCertificates 개체의 전체 LDAP 경로를 보려면 다음 명령을 사용하십시오.
certutil store -? |findstr "CN = NTAuth"
8단계: CA 데이터베이스 삭제
인증서 서비스를 제거해도 CA 데이터베이스는 변경되지 않은 상태로 유지되므로 다른 서버에서 CA를 다시 만들 수 있습니다.
CA 데이터베이스를 삭제하려면 systemroot\System32\Certlog 폴더를 삭제하세요.
9단계: 도메인 컨트롤러 정리
CA를 제거한 후에는 도메인 컨트롤러에 발급된 인증서를 삭제해야 합니다.
Windows Server 2000 도메인 컨트롤러에 발급된 인증서를 삭제하려면 Microsoft Windows 2000 Resource Kit의 Dsstore.exe 유틸리티를 사용하십시오.
Windows Server 2000 도메인 컨트롤러에 발급된 인증서를 제거하려면 다음 단계를 따르십시오.
시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 Enter 키를 누릅니다.
도메인 컨트롤러의 명령 프롬프트에 dsstore dcmon을 입력한 다음 Enter 키를 누릅니다.
3을 입력하고 Enter를 누르세요. 이 작업을 수행하면 모든 도메인 컨트롤러의 모든 인증서가 삭제됩니다.
참고 Dsstore.exe 유틸리티는 각 도메인 컨트롤러에 발급된 도메인 컨트롤러 인증서를 확인하려고 시도합니다. 해당 도메인 컨트롤러에서 유효성 검사에 실패한 인증서를 제거합니다.
Windows Server 2003 도메인 컨트롤러에 발급된 인증서를 제거하려면 다음 단계를 따르세요.
중요: 버전 1 도메인 컨트롤러 템플릿을 기반으로 하는 인증서를 사용하는 경우 이 절차를 사용하지 마십시오.
시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 Enter 키를 누르세요.
certutil -dcinfo deleteBad를 입력합니다.
Certutil.exe는 도메인 컨트롤러의 명령 프롬프트에서 도메인 컨트롤러에 발급된 모든 DC 인증서를 확인하려고 시도합니다. 유효성 검사에 실패한 인증서가 제거되었습니다.
애플리케이션에 대한 보안 정책을 시행하려면 다음 단계를 따르세요.
시작, 실행을 차례로 클릭하고 열기 상자에 cmd를 입력한 후 Enter 키를 누르세요.
명령 프롬프트에서 해당 운영 체제 버전에 해당하는 명령을 입력한 후 Enter 키를 누르세요.