Abgelaufener Zertifikate aus der Zertifizierungsstelle entfernen

Wer eine Public-Key-Infrastruktur (PKI) auf Basis von Windows Server betreibt, sollte sich auch Gedanken wie man die Datenbank schlank halten kann. Mit den Jahren und die entsprechenden Anzahl von Geräten/Benutzern wird es in der dazugehörigen Management Console unter Ausgestellt ziemlich unübersichtlich. Denn abgelaufene oder gesperrte Zertifikate werden vom System nicht automatisch gelöscht. Warum auch…

Sobald die organisatorischen Themen aufgearbeitet sind und der Prozess dafür entworfen ist, geht es an die technische Umsetzung. Dafür ist der Befehl certutil mit dem Argument -deleterow -? nützlich. Der Befehl wird auf dem Windows Server, auf dem die Rolle Zertifizierungsstelle installiert, in einer Eingabeaufforderung (Administrator) ausgeführt. Das System zeigt die dazugehörige Hilfe (Parameter, Werte, etc…) an.

Der vollständige Befehl lautet wie folgt:

certutil -deleterow 12/31/2016 Cert

Ausgabe des Befehls:

Hmm… seltsam. Die Hilfe des Befehls certutil ist wohl nicht auf dem aktuellsten Stand. Daher habe ich im Internet gesucht und bin u.a. dabei auf einen Blogartikel von Microsoft gestoßen. Leider steht dort auch nichts neues, was ich nicht schon in der Hilfe gelesen habe.

Nach knapp vier Stunden suchen, lesen, recherchieren und testen bin ich auf die Lösung gestoßen. Der Monat wird nicht als Zahl angegeben, sondern die ersten drei Buchstaben des Monats. Dabei ist wichtig, dass die deutsche Schreibweise erforderlich ist (Beispiel: Dezember -> dez).

Somit sieht der funktionierende Befehl wie folgt aus:

certutil -deleterow aug/31/2016 cert

Ausgabe des Befehls:

Viel Erfolg beim Ausprobieren. 🙂

Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments