Windows 2008 R2 CA和自动注册：如何摆脱> 100,000个颁发的证

这是因为我们的企业根CA(2008 R2)接受了一些默认设置,并使用GPO自动注册客户端计算机以获得证书,以允许对我们的企业无线网络进行802.1x身份验证.

事实证明,默认的计算机(机器)证书模板将很乐意允许机器重新注册,而不是指示他们使用他们已有的证书.这给那些希望使用证书颁发机构的人(我)创建了许多问题,而不是每次重新启动工作站时的日志.

(侧面的滚动条是躺着的,如果你将它拖到底部,屏幕会暂停并加载下面几十个证书.)

有谁知道如何从Windows Server 2008R2 CA中删除100,000个左右的时间有效的现有证书？

现在,当我去删除证书时,我收到一个错误,它无法删除,因为它仍然有效.因此,理想情况下,某种方式可以暂时绕过该错误,因为Mark Henderson提供了一种方法,一旦该障碍被清除,就会用脚本删除证书.

(撤销它们不是一种选择,因为它只是将它们移动到我们需要能够查看的吊销证书,并且它们也不能从已撤销的“文件夹”中删除.)

更新：

I tried the site @MarkHenderson linked,这是有前途的,并提供更好的证书可管理性,但仍然没有完全到达那里.在我的情况下,摩擦似乎是证书仍然是“时间有效的”(尚未过期),因此CA不希望将它们从存在中删除,这也适用于已撤销的证书,因此撤销它们全部然后删除它们也不起作用.

我也找到了this technet blog with my Google-Fu,但不幸的是,他们似乎只需要删除大量的证书请求,而不是实际的证书.

最后,就目前而言,时间跳过CA以便我想要摆脱的证书过期,因此可以使用站点上的工具删除Mark链接不是一个很好的选择,因为会使我们使用的许多有效证书失效必须手动发布.所以它比重建CA更好,但不是一个好的选择.