Il arrive parfois que la base de données de l'autorité de certification devienne extrêmement volumineuse. Il se peut qu'un grand nombre de demandes de certificats soient arrivées sans que l'on s'en aperçoive et qu'elles aient été refusées, il se peut aussi que la base de données contienne de nombreux certificats qui ont été émis en double. Après que les entrées correspondantes ont été supprimées de la base de données des organismes de certificationSi l'espace de stockage est déjà utilisé, il faut (peut) encore libérer l'espace ainsi gagné en le comprimant dans le système de fichiers du serveur.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Identifikation des Speicherorts der Zertifizierungsstellen-Datenbank
In der Standardeinstellung befindet sich die Zertifizierungsstellen-Datenbank unter C:\Windows\System32\CertLog. Falls die Zertifizierungsstellen-Datenbank an einem anderen Speicherort liegen sollte, kann man diesen mit folgendem Befehl identifizieren:
certutil -getreg DB*
Zertifizierungsstelle in den Wartungsmodus versetzen
Zu allererst sollte man, falls noch nicht geschehen, die Zertifizierungsstelle in den Wartungsmodus versetzen. Dies verhindert, dass sich der Inhalt der Zertifizierungsstellen-Datenbank bis zum Abschluss der Wartungsarbeiten noch verändert, und ermöglich auch, eine Sicherung, die zu Beginn der Arbeiten erstellt wurde, wiederherzustellen.
Erstellen einer Sicherung der Zertifizierungsstellen-Datenbank
Anschließend sollte man eine Sicherung der Zertifizierungsstellen-Datenbank vornehmen. Die Sicherung bewirkt, dass die Transaktionsprotokolle (engl. Transaction Logs) der Datenbank in die Datenbankdatei übernommen werden dürfen.
certutil -backupdb {Pfad-zum-Backup-Ordner}
Beenden des Zertifizierungsstellen-Dienstes
Wird nun der Zertifizierungsstellen-Dienst beendet, werden die Transaktionsprotokolle in die Datenbankdatei übernommen.
Alleine durch diesen Vorgang kann schon sehr viel Speicherplatz gewonnen werden.
Kompaktieren der Zertifizierungsstellen-Datenbank
Important: Die Kompaktierung der Datenbank muss auf den Live-Daten geschehen. Es ist nicht möglich, ein Backup der Zertifizierungsstellen-Datenbank zu kompaktieren und dieses dann wiederherzustellen.
Die Zertifizierungsstelle kann nun mit folgendem Befehl kompaktiert (defragmentiert) werden.
esentutl /d {Pfad-zur-Datenbankdatei}
Nachdem die Kompaktierung der Datenbankdatei abgeschlossen ist, sollte diese nun deutlich kleiner sein als zuvor.
Wiederinbetriebnahme der Zertifizierungsstelle
Anschließend kann der Zertifizierungsstellen-Dienst wieder gestartet werden.
Es sollte nun ein neues Backup der kompaktierten Datenbank erstellt werden.
certutil -backupdb {Pfad-zum-Backup-Ordner}
Ebenso sollte man nicht vergessen, die Zertifizierungsstelle wieder aus dem Wartungsmodus zu nehmen.
Français 
Deutsch 
English
Les commentaires sont fermés.