Tuesday, December 17, 2013

Enterprise Certificate Authority Pushing Old Certificates through Active Directory

A new public key infrastructure was deployed on Windows Server 2012 R2 consisting of two certificate authorities.  For security reasons and to adhere to Microsoft best practice, we deployed a new stand alone offline certificate authority and a subordinate enterprise certificate authority which is Active Directory integrated and will be responsible for issuing certificates to all devices, users and service accounts on the domain.

The following image is an overview of the deployed solution.



When I setup the subordinate certificate authority, I issued a certificate to the subordinate from the root certificate authority to validate its identity and authorise it to issue certificates on behalf of the root.  Only after I issued this certificate, I found out the default issuing time for certificates on stand alone certificate authorities in Windows Server 2012 R2 is only 1 year.  This period of time is far to small for a certificate that is assigned to another certificate authority.

As a result we increased the time that the root certificate authority issues certificates for which was performed with the following command:

certutil -setreg ca\ValidityPeriodUnits "10"

This changed it from 1 year to 10 years.
We then issued a new certificate from the root authority to the subordinate certificate authority for the 10 year period.

The Problem

After issuing a new certificate to the subordinate certificate authority I realised the subordinate certificate authority is pushing out the new 10 year certificate to the intermediate certificate store on workstations as well as the old 1 year certificate.  This is shown in the following screenshot below on a domain member machine.  The two certificates highlighted were old certificates which use to be assigned to the enterprise subordinate certificate authority.  There are two because we issued two (we forgot to restart the certificate authority service on the root CA after running the certutil command above to extend the validity period so we had to repeat the process).


I don't want the Active Directory certificate authority pushing out these invalid certificates to all domain joined devices.

How to Remove Certificates from Active Directory Deployment

To remove certificates from Active Directory deployment, you must open an application called pkiview.msc on an Enterprise Certificate Authority.

 
Right click Enterprise PKI and select Managed AD Containers.
 
 
Enterprise root certificate authorities are located in the "Certification Authorities Container" tab and enterprise subordinate certificate authorities are located under the "NTAuthCertificates" and "AIA Container" tab. View the certificates by looking at expiry date or thumb print to ensure you find the correct certificate.  Remove the unwanted certificates which are no longer required by your workstations.
 
 
After removing the unwanted certificates performing a gpupdate /force on a domain member automatically removes the unwanted certificates from the intermediate store and root store.  This is shown in the following screenshot taken of the computers certificate store in a mmc snapin.



A big thankyou to River Mei from Microsoft who assisted me with this issue.

2 comments:

  1. Viêm họng hay chua viem amidan điều cần biết ,Cắt amidan và viêm amidan hốc mủ mất chi phí bao nhiêu, Thuốc dân tộc mường chữa viêm đại tràng lâu ngày . Chế độ ăn uống đau dạ dày cần kiêng gì và không kiêng gì . Biểu hiện triệu chứng bệnh đau dạ dày thế nào vậy . thời tiết thay đổi khiến bạn bị ho và bị viêm họng sẽ chữa thế nào , Người lớn và trẻ em đều có thể mắc viêm amidan ở trẻ rất khó chữa, Chế độ sinh hoạt sau cắt viêm amidan cần kiêng gì .
    Bài thuốc chữa dạ dày đâu rồng chữa bệnh dạ dày .
    Biểu hiện triệu chứng bệnh viêm xoang .
    Các bài thuốc dân gian chữa đau dạ dày Các bệnh mẩn ngứa bệnh mề đay trẻ em có dễ chữa không ?.

    ReplyDelete
  2. Bạn tôi đã chữa bệnh đau dạ dày khỏi rồi , Bệnh hành tá tràng chữa ra sao mời bạn cùng tham khảo cách chữa loét hành tá tràng , bị viêm amidan nên cắt hay chữa viêm amidan , Viêm amidan có nhiều loại như viêm amidan hốc mủ gây hôi miệng ,Bệnh nổi mề đay mãn tính , Điều trị bệnh gan nhiễm mỡ , Cách chữa viêm phế quản ở người già , mẹo thường ngày thuốc trị ho hiệu quả, ngứa ngáy gây bệnh viêm mũi dị ứng ,Viêm mũi và bệnh viêm xoang mãn tính rất khó chữa, Đặc trị bệnh dạ dày như thế nào , Hiện nay có cách chua bẹnh da day trao nguoc hiệu quả ? ,Hay có những bài thuốc chữa trào ngược dạ dày ở trẻ em, Nam nữ khi bị rụng tóc ở nam giới thì chữa thế nào , Rong kinh và rối loạn kinh nguyệt có liên quan đến nhau hay không ? , Mắc bệnh thoái hóa đốt sống cổ chữa bằng thuốc gì ,vài mẹo giảm bớt đau dạ dày hiệu quả dễ dùng . Nghiên cứu phương pháp chữa chua benh viem gan sieu vi b

    ReplyDelete