Vous pouvez parfois avoir besoin de désinstaller une autorité de certification. Toutefois, les clients ne pourront plus envoyer de demandes à cette autorité de certification et certaines applications dépendant de votre infrastructure à clé publique (PKI) peuvent cesser de fonctionner correctement si vous désinstallez une autorité de certification qui est requise pour vérifier la validité et l’état de révocation d’un certificat.
Si vous décidez de retirer du service l’autorité de certification avant la date d’expiration prévue, le certificat de l’autorité de certification doit être révoqué auprès de son autorité de certification parente en utilisant la raison de révocation de certificat « Cessation de l’opération ». Si l’autorité de certification est une autorité de certification racine auto-signée, tous les certificats émis par l’autorité qui n’ont pas encore expiré doivent être révoqués et une liste de révocation de certificats (CRL) doit être générée en utilisant la même raison que ci-dessus. Cela indiquera que les certificats ne sont plus valides car l’autorité de certification a été retirée du service.
Il faut correctement désinstaller une autorité de certification d’entreprise pour s’assurer que son objet d’inscription d’autorité de certification est retiré des services de domaine Active Directory (AD DS, Active Directory Domain Services). Dans le cas contraire, les clients Active Directory continueront de tenter d’inscrire des certificats de cette autorité de certification. Si une autorité de certification d’entreprise ne peut pas être désinstallée normalement, utilisez le composant logiciel enfichable PKI d’entreprise pour supprimer manuellement les objets de l’autorité de certification des services AD DS.
Pour désinstaller une autorité de certification d’entreprise, il est nécessaire d’appartenir au minimum au groupe Administrateurs de l’entreprise ou à un groupe équivalent. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.
 | Pour désinstaller une autorité de certification |
Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.
Sous Résumé des rôles, cliquez sur Supprimer des rôles pour lancer l’Assistant Suppression de rôle. Cliquez sur Suivant.
Désactivez la case à cocher Services de certificats Active Directory, puis cliquez sur Suivant.
Dans la page Confirmation des options de suppression, vérifiez les informations, puis cliquez sur Supprimer.
Si les services Internet (IIS, Internet Information Services) sont en cours d’exécution et que vous êtes invité à arrêter le service avant de continuer la désinstallation, cliquez sur OK.
Lorsque l’Assistant Suppression de rôle a terminé, vous devez redémarrer le serveur pour terminer le processus de désinstallation.
La procédure est légèrement différente si vous avez plusieurs services de rôle AD CS (Active Directory Certificate Services) installés sur un même serveur. Vous pouvez utiliser la procédure suivante pour désinstaller une autorité de certification tout en conservant d’autres services de rôle AD CS.
Pour effectuer cette procédure, vous devez vous connecter avec les mêmes autorisations que l’utilisateur qui a installé l’autorité de certification. Pour désinstaller une autorité de certification d’entreprise, il est nécessaire d’appartenir au minimum au groupe Administrateurs de l’entreprise ou à un groupe équivalent. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.
| Pour désinstaller un service de rôle d’autorité de certification |
Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.
Sous Résumé des rôles, cliquez sur Services de certificats Active Directory.
Sous Services de rôle, cliquez sur Supprimer des services de rôle.
Désactivez la case à cocher Autorité de certification, puis cliquez sur Suivant.
Dans la page Confirmation des options de suppression, vérifiez les informations, puis cliquez sur Supprimer.
Si les services Internet sont en cours d’exécution et que vous êtes invité à arrêter le service avant de continuer la désinstallation, cliquez sur OK.
Lorsque l’Assistant Suppression de rôle a terminé, vous devez redémarrer le serveur pour terminer le processus de désinstallation.
Si les services de rôle restants, tels que le service de répondeur en ligne, étaient configurés pour utiliser des données de l’autorité de certification désinstallée, vous devez reconfigurer ces services pour qu’ils utilisent une autre autorité de certification.
Après qu’une autorité de certification a été désinstallée, les informations suivantes sont conservées sur le serveur :
-
la base de données de l’autorité de certification ;
-
les clés publiques et privées de l’autorité de certification ;
-
les certificats de l’autorité de certification dans le magasin personnel ;
-
les certificats de l’autorité de certification dans le dossier partagé, si un dossier partagé a été spécifié lors de l’installation des services AD CS ;
-
le certificat racine de la chaîne d’autorité de certification dans le magasin Autorités de certification de racine de confiance ;
-
les certificats intermédiaires de la chaîne d’autorité de certification dans le magasin Autorités intermédiaires ;
-
la liste de révocation de certificats de l’autorité de certification.
Ces informations sont par défaut conservées sur le serveur, pour le cas ou vous réinstalleriez l’autorité de certification après l’avoir désinstallée. Par exemple, vous pourriez avoir à désinstaller puis réinstaller une autorité de certification si vous voulez convertir une autorité de certification autonome en autorité de certification d’entreprise.