Иногда может понадобиться удалить центр сертификации. Однако после удаления центра сертификации, который служит для проверки достоверности и состояния отзыва сертификата, клиенты не смогут отправлять запросы в этот центр сертификации, и некоторые приложения, зависящие от инфраструктуры открытого ключа, могут работать неправильно.

Если центр сертификации списывается окончательно перед ожидаемым истечением срока, сертификат ЦС должен быть отозван из родительского ЦС с указанием причины отзыва «Прекращение работы». Если центр сертификации является корневым самозаверяющим ЦС, все сертификаты, выданные этим ЦС, срок действия которых еще не вышел, должны быть отозваны, а также должен быть сформирован список отзыва сертификатов с указанием той же причины. Таким образом, будет указано, что сертификаты больше не являются допустимыми, так как центр сертификации был списан.

Удаление центра сертификации предприятия должно быть выполнено правильно, чтобы объект регистрации центра сертификации был удален из доменных служб Active Directory. В противном случае клиенты Active Directory будут пытаться получить сертификаты из этого центра сертификации. Если центр сертификации предприятия не может быть удален обычным способом, используйте оснастку PKI предприятия для ручного удаления объектов центра сертификации из доменных служб Active Directory.

Минимальным требованием для удаления центра сертификации предприятия является членство в группе Администраторы предприятия или наличие эквивалентных прав. Дополнительные сведения см. в разделе Реализация ролевого администрирования.

Чтобы удалить центр сертификации
  1. Нажмите кнопку Пуск, выберите Администрирование, затем Диспетчер сервера.

  2. В пункте Сводка по ролям щелкните Удалить роли для запуска мастера удаления ролей. Нажмите кнопку Далее.

  3. Снимите флажок Службы сертификации Active Directory и нажмите кнопку Далее.

  4. На странице Подтверждение параметров удаления просмотрите отображенные сведения и нажмите кнопку Удалить.

  5. Если при запущенных службах IIS появился запрос на подтверждение остановки службы перед продолжением процесса удаления, нажмите кнопку ОК.

  6. После завершения работы мастера удаления ролей, необходимо перезапустить сервер, чтобы завершить процесс удаления.

Процедура немного отличается, если на одном сервере установлены несколько служб роли служб сертификатов Active Directory. Можно использовать следующую процедуру для удаления центра сертификации и сохранения других служб роли служб сертификатов Active Directory.

Чтобы выполнить эту процедуру, необходимо войти в систему с теми же правами, которые были у пользователя, установившего центр сертификации. Минимальным требованием для удаления центра сертификации предприятия является членство в группе Администраторы предприятия или наличие эквивалентных прав. Дополнительные сведения см. в разделе Реализация ролевого администрирования.

Чтобы удалить службу роли центра сертификации
  1. Нажмите кнопку Пуск, выберите Администрирование, затем Диспетчер сервера.

  2. В группе Сводка по ролям выберите Службы сертификации Active Directory.

  3. В группе Службы ролей выберите Удалить службы ролей.

  4. Снимите флажок Центр сертификации и нажмите кнопку Далее.

  5. На странице Подтверждение параметров удаления просмотрите показанные сведения и нажмите кнопку Удалить.

  6. Если при запущенных службах IIS появился запрос на подтверждение остановки службы перед продолжением процесса удаления, нажмите кнопку ОК.

  7. После завершения работы мастера удаления ролей необходимо перезапустить сервер, чтобы завершить процесс удаления.

Если оставшиеся службы роли, например служба сетевого ответчика, были настроены для использования данных, полученных от удаленного центра сертификации, перенастроить эти службы для поддержки другого центра сертификации.

После того как был удален центр сертификации, на сервере остаются указанные ниже данные:

  • база данных центра сертификации;

  • открытые и закрытые ключи центра сертификации;

  • сертификаты центра сертификации в личном хранилище;

  • сертификаты центра сертификации в общей папке, если общая папка была указана во время установки служб сертификатов Active Directory;

  • корневой сертификат цепочки центра сертификации в корневом хранилище центров сертификации;

  • промежуточные сертификаты цепочки центра сертификации в промежуточном хранилище центров сертификации;

  • список отзыва сертификатов центра сертификации.

По умолчанию эти данные сохраняются на сервере на случай повторной установки удаленного центра сертификации. Например, можно удалить, а затем повторно установить центр сертификации, если следует изменить автономный центр сертификации на центр сертификации предприятия.

Дополнительные источники информации


Содержание