Die CA Konsole ist jetzt nicht gerade ein Ausbund an Komfort daher macht es Sinn bei wi(e)derkehrenden Tätigkeiten die Commandline zu bemühen, so auch beim Find und Revoken eines Zertifikats.
Finden:
certutil -view -config "meineca.meinfqdn.com\CA Displayname" -out NotBefore,CommonName,RequesterName,SerialNumber -restrict "Issued Common Name=meinzertifikat.meinfqdn.com"
Gibt man bei -out nichts an wird der gesamte Datenbankeintrag gedumped; ganz oben im Output gibt CERTUTIL dankenswerterweise das DB Schema aus, dort findet man dann die gewünschten Felder und deren Kurznamen. Wichtig fürs Revoken ist auf alle Fälle die Seriennnummer.
Revoken:
certutil -revoke -config "meineca.meinfqdn.com\CA Displayname" meineseriennummer 4
Der letzte Parameter (4 im Beispiel) gibt den Grund für das Revoke an, ruft man CERTUTIL -revoke
ohne Parameter auf bekommt man alle möglichen Werte präsentiert:
0: CRL_REASON_UNSPECIFIED -- Unspecified (default) 1: CRL_REASON_KEY_COMPROMISE -- Key Compromise 2: CRL_REASON_CA_COMPROMISE -- CA Compromise 3: CRL_REASON_AFFILIATION_CHANGED -- Affiliation Changed 4: CRL_REASON_SUPERSEDED -- Superseded 5: CRL_REASON_CESSATION_OF_OPERATION -- Cessation of Operation 6: CRL_REASON_CERTIFICATE_HOLD -- Certificate Hold 8: CRL_REASON_REMOVE_FROM_CRL -- Remove From CRL 9: CRL_REASON_PRIVILEGE_WITHDRAWN -- Privilege Withdrawn 10: CRL_REASON_AA_COMPROMISE -- AA Compromise -1: Unrevoke -- Unrevoke