V některých případech je nutné odinstalovat certifikační autoritu. Po odinstalaci certifikační autority, u které je třeba ověřit platnost a stav odvolání, však klienti nebudou moci odesílat této certifikační autoritě požadavky. Některé aplikace závislé na infrastruktuře veřejných klíčů (PKI) navíc nemusejí fungovat správně.

Pokud natrvalo odebíráte pověření certifikační autority před očekávaným datem vypršení platnosti, měli byste certifikát této certifikační autority odvolat v její nadřazené certifikační autoritě s důvodem odvolání certifikátu Ukončení provádění operací. Jedná-li se o kořenovou certifikační autoritu podepsanou sama sebou, měly by být odvolány všechny certifikáty vydané danou certifikační autoritou, jejichž platnost dosud nevypršela, a měl by být znovu vygenerován seznam odvolaných certifikátů (CRL) s uvedením stejného důvodu. To bude znamenat, že certifikáty už nejsou platné, protože došlo k vyřazení certifikační autority.

Odinstalaci podnikové certifikační autority je nutné provést správně a zajistit tak, aby byl ze služby AD DS (Active Directory Domain Services) odebrán příslušný objekt zápisu certifikační autority. Pokud tak neučiníte, klienti služby Active Directory mohou pokračovat v pokusech o zápis certifikátů z dané certifikační autority. Nemůže-li být podniková certifikační autorita odinstalována normálním způsobem, lze použít modul snap-in Infrastruktura veřejných klíčů rozlehlé sítě a objekty certifikační autority ze služby AD DS odebrat ručně.

Odinstalaci podnikové certifikační autority mohou provést pouze členové skupiny Enterprise Admins nebo uživatelé s ekvivalentními oprávněními. Další informace naleznete v tématu Implementace správy založené na rolích.

Odinstalace certifikační autority

  1. Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klikněte na položku Správce serveru.

  2. Kliknutím na možnost Odebrat role v části Souhrn rolí spusťte Průvodce odebráním rolí. Klikněte na tlačítko Další.

  3. Zrušte zaškrtnutí políčka Služba AD CS a klikněte na tlačítko Další.

  4. Na stránce Potvrdit možnosti odebrání ověřte informace a klikněte na tlačítko Odebrat.

  5. Pokud je spuštěna Internetová informační služba (IIS) a budete před pokračováním v odinstalaci vyzváni k jejímu zastavení, klikněte na tlačítko OK.

  6. Po dokončení Průvodce odebráním rolí je nutné proces odinstalace dokončit restartováním serveru.

Tento postup se mírně liší, pokud je na jednom serveru nainstalováno více služeb role služby AD CS (Active Directory Certificate Services). Pomocí následujícího postupu můžete odinstalovat certifikační autoritu, ale zachovat jiné služby role služby AD CS.

K provedení tohoto postupu je nutné se přihlásit se stejnými oprávněními jako uživatel, který danou certifikační autoritu instaloval. Odinstalaci podnikové certifikační autority mohou provést pouze členové skupiny Enterprise Admins nebo uživatelé s ekvivalentními oprávněními. Další informace naleznete v tématu Implementace správy založené na rolích.

Odinstalace služby role certifikační autority

  1. Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klikněte na položku Správce serveru.

  2. V části Souhrn rolí klikněte na možnost Služba AD CS.

  3. V části Služby rolí klikněte na možnost Odebrat služby rolí.

  4. Zrušte zaškrtnutí políčka Certifikační autorita a klikněte na tlačítko Další.

  5. Na stránce Potvrdit možnosti odebrání ověřte informace a klikněte na tlačítko Odebrat.

  6. Pokud je spuštěna služba IIS a budete před pokračováním v odinstalaci vyzváni k jejímu zastavení, klikněte na tlačítko OK.

  7. Po dokončení Průvodce odebráním rolí je nutné proces odinstalace dokončit restartováním serveru.

Pokud byly zbývající služby role (například Služba online respondéru) konfigurovány pro použití dat z odinstalované certifikační autority, je nutné tyto služby znovu nakonfigurovat tak, aby podporovaly jinou certifikační autoritu.

Po odinstalaci certifikační autority zůstanou na serveru ponechány následující informace:

  • Databáze certifikační autority

  • Veřejné a privátní klíče certifikační autority

  • Certifikáty certifikační autority v osobním úložišti

  • Certifikáty certifikační autority ve sdílené složce, pokud byla během instalace služby AD CS určena sdílená složka

  • Kořenový certifikát řetězu certifikační autority v úložišti důvěryhodných kořenových certifikačních autorit

  • Zprostředkované certifikáty řetězu certifikační autority v úložišti zprostředkovaných certifikačních autorit

  • Seznam odvolaných certifikátů (CRL) certifikační autority

V případě odinstalování a opakované instalace certifikační autority jsou tyto informace standardně ponechány na serveru. Odinstalací a opakovanou instalací můžete například změnit samostatnou certifikační autoritu na podnikovou certifikační autoritu.

Další informace

Obsah