場合によっては、証明機関 (CA) のアンインストールが必要になることがあります。しかし、証明書の有効性と失効状態を確認するために必要な CA をアンインストールすると、クライアントがこの CA に要求を送信できなくなり、公開キー基盤 (PKI) に依存するアプリケーションのいくつかが正常に機能しなくなります。

予定されている有効期限よりも前に CA を完全に廃止する場合は、証明書の取り消し理由を "運用の停止" として、その親 CA から CA の証明書を取り消す必要があります。CA が自己署名されたルート CA である場合は、有効期限の切れていないすべての証明書を取り消し、証明書失効リスト (CRL) を同じ理由で生成する必要があります。これは、CA が廃止されたためにその証明書が有効でなくなったことを示します。

エンタープライズ CA をアンインストールする場合は、その CA の登録オブジェクトが Active Directory ドメイン サービス (AD DS) から削除されるように、適切にアンインストールすることが重要です。CA の登録オブジェクトが削除されないと、AD DS クライアントでは、その CA に対して引き続き登録を実行しようとします。エンタープライズ CA を正常にアンインストールできない場合は、エンタープライズ PKI スナップインを使用して、AD DS から手動で CA オブジェクトを削除することができます。

CA をアンインストールする前に、サーバー全体をバックアップすることをお勧めします。

この手順を実行するには、Enterprise Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要になります。

使用されていない証明書関連のオブジェクトを Active Directory コンテナーから削除するには
  1. エンタープライズ PKI スナップインを開きます。

  2. コンソール ツリーで、[エンタープライズ PKI] を右クリックし、[AD コンテナーの管理] をクリックします。

  3. コンテナーの 1 つを選択し、そのコンテナーに含まれる 1 つ以上のオブジェクトを選択します。

  4. 選択したオブジェクトが、アンインストールしようとしている CA に関係しているかどうか不明な場合は、[表示] をクリックして各オブジェクトの内容を確認します。

  5. [削除] をクリックします。

  6. 異なるコンテナーを選択し、必要のなくなったすべてのオブジェクトを削除するまで手順 3 ~ 5 を繰り返します。