Wenn Sie in Ihrer Zertifizierungsstelle ein abgelaufenes Zertifikat finden, können Sie es gern dort belassen. Vielleicht stört sich aber auch ein Monitoring – Tool, so wie bei mir, daran.
Spätestens dann überlegen Sie ob bzw. wie Sie dies entfernen können, sofern Sie es nicht aus dem Monitoring ausschließen wollen.

Eigenschaften Zertifizierungsstelle

Zunächst sollten Sie feststellen, dass das neue Zertifikat genutzt wird. Weiterhin sollten Sie sich sicher sein, dass das alte Zertifikat nicht mehr benötigt wird (Validierung).
Sofern alle Voraussetzungen erfüllt sind, kann es nun losgehen.

Unternehmens-PKI bearbeiten

Öffnen Sie pkiview.msc. Mittels rechter Maustaste auf Unternehmens-PKI gelangen Sie zum Menü AD-Container verwalten…

pkiview.msc
pkiview.msc

Wählen Sie nun das abgelaufene Zertifikat und Entfernen Sie es.

Fenster AD-Container verwalten

Damit ist der Vorgang leider noch nicht abgeschlossen. In der Zertifizierungsstelle (MMC) ist es leider noch sichtbar.

Zertifizierungsstelle bearbeiten

Auf dem Host der Zertifizierungsstelle öffnen Sie Regedit.
Navigieren Sie zum Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration und ändern den Eintrag CACertHash ab. Hierbei wird der Hash-Wert für das alte Zertifikat durch einen Bindestrich ersetzt.

Die Hashes der Zertifikate sind in chronologischer Reihenfolge abgelegt. Vergleichen Sie vorab, zur Sicherheit den Hash-Wert des zu entfernenden Zertifikates!

Regedit CACertHash
mit dem abgelaufenen Zertifikat

Regedit CACertHash
bearbeitet – abgelaufenes Zertifikat wurde entfernt

Starten Sie den Server oder zumindest die Zertifizierungsstelle einmal neu.
Sofern alles erfolgreich verlaufen ist, erhalten Sie das gewünschte Endergebnis:

Eigenschaften Zertifizierungsstelle
Teile diesen Beitrag

Schreibe einen Kommentar