Root-Zertifikat aus dem Zertifikats-Store entfernen

Haben Sie schon einmal versucht, ein per Gruppenrichtlinien verteiltes Root-Zertifikat wieder zu entfernen? Wie sich herausstellt, ist das über das Zertifikats-Plug-In in der Management-Konsole gar nicht so einfach. Hilfe verschafft hier das Kommandozeilentools Certutil in Verbindung mit Powershell.

Certutil besitzt einen Parameter -delstore, mit dem man Zertifikate aus dem Store entfernen kann. Ruft man Certutil -delstore -? auf, so bekommtn man folgende Optionen angezeigt:

Optionen:

-enterprise -- Verwendet den Unternehmensregistrierungs-Zertifikatspeicher auf dem lokalen Computer
-user -- Verwendet HKEY_CURRENT_USER oder Zertifikatspeicher.
-GroupPolicy -- Gruppenrichtlinien-Zertifikatspeicher verwenden

Verwenden Sie die Option -GroupPolicy für Zertifikate, die per Gruppenrichtlinie verteilt wurden. Der richtige Speicher ist wichtig, da Certutil Ihnen sonst zwar Vollzug vermeldet, aber die Zertifikate nicht löscht. Weiterhin benötigen Sie den Thumbprint (Daumenabdruck oder Checksumme) des zu entfernenden Zertifikats. Den erhalten Sie über Powershell:

Get-Childitem Cert:LocalMachine\root 

In diesem Fall zeigen wir die Zertifikate der Stammzertifizierungsstellen an. Die erste Zeile gibt Ihnen den Tumbprint aus. Versuchen Sie nun, das Zertifikat zu entfernen:

Get-Childitem Cert:LocalMachine\root | where-object Thumbprint -eq "<Ihr Thumbprint>" | remove-item -force

Klappt das nicht, ist das Zertifikate vermutlich über eine Gruppenrichtlinie verteilt worden. Jetzt hilft Ihnen Certutil:

Get-Childitem Cert:LocalMachine\root
certutil -delstore -Grouppolicy <Thumbprint>

Alternativ können Sie auch die Pipeline verwenden, das sieht aber in diesem Fall nicht so schön aus:

Get-Childitem Cert:LocalMachine\root | where-object Thumbprint -eq "<Ihr Thumbprint>" | foreach-object { certutil -delstore -Grouppolicy $_.Thumbprint }