Wenn Sie in Ihrer Zertifizierungsstelle ein abgelaufenes Zertifikat finden, können Sie es gern dort belassen. Vielleicht stört sich aber auch ein Monitoring – Tool, so wie bei mir, daran.
Spätestens dann überlegen Sie ob bzw. wie Sie dies entfernen können, sofern Sie es nicht aus dem Monitoring ausschließen wollen.
Zunächst sollten Sie feststellen, dass das neue Zertifikat genutzt wird. Weiterhin sollten Sie sich sicher sein, dass das alte Zertifikat nicht mehr benötigt wird (Validierung).
Sofern alle Voraussetzungen erfüllt sind, kann es nun losgehen.
Unternehmens-PKI bearbeiten
Öffnen Sie pkiview.msc. Mittels rechter Maustaste auf Unternehmens-PKI gelangen Sie zum Menü AD-Container verwalten…
Wählen Sie nun das abgelaufene Zertifikat und Entfernen Sie es.
Damit ist der Vorgang leider noch nicht abgeschlossen. In der Zertifizierungsstelle (MMC) ist es leider noch sichtbar.
Zertifizierungsstelle bearbeiten
Auf dem Host der Zertifizierungsstelle öffnen Sie Regedit.
Navigieren Sie zum Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration und ändern den Eintrag CACertHash ab. Hierbei wird der Hash-Wert für das alte Zertifikat durch einen Bindestrich ersetzt.
Die Hashes der Zertifikate sind in chronologischer Reihenfolge abgelegt. Vergleichen Sie vorab, zur Sicherheit den Hash-Wert des zu entfernenden Zertifikates!
Starten Sie den Server oder zumindest die Zertifizierungsstelle einmal neu.
Sofern alles erfolgreich verlaufen ist, erhalten Sie das gewünschte Endergebnis:
