証明機関をアンインストールする

場合によっては、証明機関 (CA) のアンインストールが必要になることがあります。ただし、証明書の有効性と失効状態を確認するために必要な CA をアンインストールすると、クライアントがこの CA に要求を送信できなくなり、公開キー基盤 (PKI) に依存するアプリケーションのいくつかが正常に機能しなくなります。

予定されている有効期限よりも前に CA を完全に廃止する場合は、その親 CA から CA の証明書を取り消し、取り消し理由を "運用の停止" とする必要があります。CA が自己署名されたルート CA である場合は、その CA によって発行された、有効期限の切れていないすべての証明書を取り消し、証明書失効リスト (CRL) を同じ理由で生成する必要があります。これは、CA が廃止されたためにその証明書が有効でなくなったことを示します。

エンタープライズ CA をアンインストールする場合は、適切にアンインストールして、その CA の登録オブジェクトが Active Directory ドメイン サービス (AD DS) から削除されるようにする必要があります。CA の登録オブジェクトが削除されないと、Active Directory クライアントでは、その CA の証明書を引き続き登録しようとします。エンタープライズ CA を正常にアンインストールできない場合は、エンタープライズ PKI スナップインを使用して、AD DS から手動で CA オブジェクトを削除できます。

エンタープライズ CA をアンインストールする場合は、Enterprise Admins グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。詳細については、「役割ベースの管理を実装する」を参照してください。

CA をアンインストールするには

単一のサーバーに複数の Active Directory 証明書サービス (AD CS) 役割サービスをインストールしている場合は、手順が少し異なります。1 つの CA をアンインストールし、他の AD CS 役割サービスは保持する場合、次の手順を実行します。

この手順を実行するには、CA をインストールしたユーザーと同じアクセス許可を使用してログオンする必要があります。エンタープライズ CA をアンインストールする場合は、Enterprise Admins グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。詳細については、「役割ベースの管理を実装する」を参照してください。

CA 役割サービスをアンインストールするには

オンライン レスポンダー サービスなどの残っている役割サービスが、アンインストールされた CA のデータを使用するよう構成されている場合、別の CA をサポートするようにこれらのサービスを再構成する必要があります。

CA をアンインストールした後、サーバー上には次の情報が残ります。

• CA データベース
  
  
• CA の公開キーと秘密キー
  
  
• 個人ストア内の CA の証明書
  
  
• 共有フォルダー内の CA の証明書 (AD CS のセットアップ時に共有フォルダーを指定した場合)
  
  
• 信頼されたルート証明機関ストア内の CA チェーンのルート証明書
  
  
• 中間証明機関ストア内の CA チェーンの中間証明書
  
  
• CA の CRL
  
  

CA をアンインストールした後に再インストールする場合を考慮して、既定では、この情報がサーバー上に残ります。たとえば、スタンドアロン CA をエンタープライズ CA に変更する場合、CA をアンインストールして再インストールすることが考えられます。