有時候您可能需要解除安裝憑證授權單位 (CA)。不過,解除安裝需要用來確認憑證之有效性和撤銷狀態的 CA 之後,用戶端便無法將要求傳送至此 CA,且依存公開金鑰基礎結構 (PKI) 的一些應用程式也可能無法正常運作。
如果您在 CA 預期到期日之前永久解除委任該 CA,則 CA 憑證應從其父系 CA 撤銷,且撤銷的理由應列為「操作停止」。如果 CA 是自我簽署的根 CA,則應撤銷由 CA 發行之所有未過期憑證,且產生列有相同理由的憑證撤銷清單 (CRL)。這表示憑證不再有效,因為 CA 已被解除委任。
應正確地解除安裝企業 CA,以確保其 CA 註冊物件已從 Active Directory 網域服務 (AD DS) 中移除。若無法完成此作業,可能會導致 Active Directory 用戶端繼續嘗試從該 CA 進行憑證註冊。如果無法正常解除安裝企業 CA,請使用 [企業 PKI] 嵌入式管理單元手動移除 AD DS 的 CA 物件。
如果您正在解除安裝企業 CA,至少需要 Enterprise Admins 的成員資格或同等權限,才能完成此程序。如需相關資訊,請參閱實作以角色為基礎的管理。
 | 解除安裝 CA |
按一下 [開始],指向 [系統管理工具],然後按一下 [伺服器管理員]。
在 [角色摘要] 之下,按一下 [移除角色],以啟動 [移除角色精靈]。按 [下一步]。
清除 [Active Directory 憑證服務] 核取方塊,然後按 [下一步]。
檢視 [確認移除選項] 頁面上的資訊,然後按一下 [移除]。
如果網際網路資訊服務 (IIS) 正在執行,且系統提示您在繼續執行解除安裝程序之前先停止該服務,請按一下 [確定]。
完成 [移除角色精靈] 之後,您必須重新啟動伺服器,以完成解除安裝程序。
如果您在單一伺服器上安裝多個 Active Directory 憑證服務 (AD CS) 角色服務,則程序會有些許不同。您可以使用下列程序解除安裝 CA,但保留其他的 AD CS 角色服務。
您必須以安裝 CA 之使用者相同的權限登入,以完成此程序。如果您正在解除安裝企業 CA,至少需要 Enterprise Admins 的成員資格或同等權限,才能完成此程序。如需相關資訊,請參閱實作以角色為基礎的管理。
| 解除安裝 CA 角色服務 |
按一下 [開始],指向 [系統管理工具],然後按一下 [伺服器管理員]。
在 [角色摘要] 之下,按一下 [Active Directory 憑證服務]。
在 [角色服務] 之下,按一下 [移除角色服務]。
清除 [憑證授權單位] 核取方塊,然後按 [下一步]。
檢視 [確認移除選項] 頁面上的資訊,然後按一下 [移除]。
如果 IIS 正在執行,且系統提示您在繼續執行解除安裝程序之前先停止該服務,請按一下 [確定]。
完成 [移除角色精靈] 之後,您必須重新啟動伺服器,以完成解除安裝程序。
如果剩餘的角色服務 (例如線上回應服務) 已設定為使用解除安裝之 CA 的資料,則您必須重新設定這些服務,以支援不同的 CA。
解除安裝 CA 之後,下列資訊會保留於伺服器上:
-
CA 資料庫
-
CA 公開和私密金鑰
-
CA 在個人存放區中的憑證
-
CA 在共用資料夾中的憑證 (如果已在設定 AD CS 期間指定共用資料夾)
-
CA 鏈結在信任根憑證授權存放區中的根憑證
-
CA 鏈結在中繼憑證授權存放區中的中繼憑證
-
CA 的 CRL
根據預設,此項資訊會保存於伺服器上,以便您解除安裝 CA,然後重新安裝 CA。例如,如果您想要將獨立 CA 變更為企業 CA,即需解除安裝並重新安裝 CA。