Windows 2008 R2 CAと自動登録：100,000を超える発行済み証明書を削除する方法

私が持っている基本的な問題は、100,000を超える役に立たないマシン証明書がCAに散らばっていることです。そこ。

これは、エンタープライズルートCA（2008 R2）でいくつかのデフォルトを受け入れ、GPO証明書を使用してクライアントマシンを自動登録802.1xして企業のワイヤレスネットワークへの認証を許可した結果として生じました。

デフォルトでComputer (Machine) Certificate Templateは、マシンがすでに持っている証明書を使用するように指示するのではなく、マシンが再登録できるようになります。これは、ワークステーションがリブートされるたびにログとしてではなく、認証局を使用することを望んでいた男（私）に多くの問題を引き起こしています。

（横のスクロールバーは横になっています。下にドラッグすると、画面が一時停止し、次の数十の証明書が読み込まれます。）

Windows Server 2008R2 CAから100,000程度の有効な既存の証明書を削除する方法を知っている人はいますか？

今すぐ証明書を削除しようとすると、有効なため削除できないというエラーが表示されます。したがって、理想的には、一時的にそのエラーを回避する何らかの方法があります。MarkHendersonが、ハードルが解消されたらスクリプトで証明書を削除する方法を提供したからです。

（それらRevoked Certificatesを表示する必要があるだけで、取り消された「フォルダ」からも削除できないため、それらを取り消すことはオプションではありません。）

更新：

@MarkHenderson linkedのサイトを試してみました。これは有望であり、証明書の管理性がはるかに優れていますが、まだ十分ではありません。私の場合の摩擦は、証明書がまだ「有効期限が切れている」（まだ期限切れではない）ようであるため、CAは証明書を存在から削除したくないため、これは失効した証明書にも適用されるため、失効しますそれらをすべて削除してから削除することもできません。

また、Google-Fuでこのtechnetブログを見つけましたが、残念なことに、実際の証明書ではなく、非常に多くの証明書要求のみを削除する必要があるように見えました。

最後に、今のところ、CAを前方にジャンプして、削除する証明書の有効期限が切れているため、サイトのツールを使用してマークリンクを削除することはできません。手動で発行する必要があります。したがって、CAを再構築するよりも優れたオプションですが、優れたオプションではありません。

私はこれを試していないが、しかしからPKI PowerShellプロバイダーがありhttps://pspki.codeplex.com/のように見えるの機能を興味深いたくさん持っているRevoke-Certificateが続くはRemove-Request：

指定された証明書要求行を証明機関（CA）データベースから削除します。

このコマンドを使用して、不要な証明書要求を削除することにより、CAデータベースのサイズを削減できます。たとえば、失敗したリクエストや未使用の期限切れ証明書を削除します。

注：特定の行を削除すると、プロパティを取得できず、（必要に応じて）対応する証明書を取り消すことができなくなります。

私の腸は、それを拭いて、間違えることなく最初からやり直すと言います、あなたは後で幸せになるでしょうが、ADに証明書を保存するためにすでにそれを変更した場合（理想的です）偽の証明書のうち、CAではなくすべてのコンピューターアカウントに接続されているADにあるだけです。だから本当にどちらの方法でも混乱です。

厳しい電話。あなたはあなたが言ったように取り消すことができますが、CA mmcからそれらを完全に取り除くことができるとは思いません。

最初からやり直す場合は、ここで説明する手順に従って、できる限りきれいに実行してください。

私は次の日に別〜4000の発行された証明書を検索したくなかったので、私はデフォルトの「コンピュータ」「証明書テンプレート」を削除し、に設定されていることの重複追加することによって、理不尽な証明書の発行を停止したPublish certificate in Active Directory としますDo not automatically reenroll if a duplicate certificate exists in Active Directory。

まだそこにあるものを取り除く方法の問題を私に残しますが、それは始まりです。