Möglicherweise müssen Sie von Zeit zu Zeit eine Zertifizierungsstelle (Certification Authority, CA) deinstallieren. Clients können in diesem Fall jedoch keine Anforderungen an die Zertifizierungsstelle senden. Außerdem werden einige Anwendungen, die von der Public-Key-Infrastruktur (Public Key Infrastructure, PKI) abhängig sind, nicht mehr ordnungsgemäß ausgeführt, da eine zum Überprüfen der Gültigkeit und des Sperrstatus eines Zertifikats erforderliche Zertifizierungsstelle deinstalliert wurde.
Wenn Sie die Zertifizierungsstelle vor ihrem erwarteten Ablaufdatum endgültig außer Betrieb nehmen, sollte das Zertifizierungsstellenzertifikat von seiner übergeordneten Zertifizierungsstelle gesperrt werden. Sie sollten in diesem Fall "Vorgangsende" als Ursache der Sperre angeben. Wenn es sich bei der Zertifizierungsstelle um eine selbstsignierte Stammzertifizierungsstelle handelt, sollten alle von der Zertifizierungsstelle ausgestellten Zertifikate, die nicht abgelaufen sind, gesperrt und eine Zertifikatsperrliste (Certificate Revocation List, CRL) mit derselben Begründung generiert werden. Dadurch wird angegeben, dass die Zertifikate nicht mehr gültig sind, da die Zertifizierungsstelle außer Betrieb genommen wurde.
Die Deinstallation einer Unternehmenszertifizierungsstelle sollte ordnungsgemäß ausgeführt werden, damit sichergestellt wird, dass das Registrierungsobjekt der Zertifizierungsstelle aus den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) entfernt wird. Andernfalls könnten Active Directory-Clients weiterhin versuchen, sich für Zertifikate von dieser Zertifizierungsstelle zu registrieren. Wenn eine Unternehmenszertifizierungsstelle nicht normal deinstalliert werden kann, verwenden Sie das Unternehmens-PKI-Snap-In, um die Zertifizierungsstellenobjekte manuell aus AD DS zu entfernen.
Wenn Sie eine Unternehmenszertifizierungsstelle deinstallieren, müssen Sie mindestens Mitglied der Gruppe Organisations-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
So deinstallieren Sie eine Zertifizierungsstelle |
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Server-Manager.
Klicken Sie unter Rollenübersicht auf Rollen entfernen, um den Assistenten zum Entfernen von Rollen zu starten. Klicken Sie auf Weiter.
Deaktivieren Sie das Kontrollkästchen Active Directory-Zertifikatdienste, und klicken Sie auf Weiter.
Überprüfen Sie die Informationen auf der Seite Entfernungsauswahl bestätigen, und klicken Sie dann auf Entfernen.
Wenn Internetinformationsdienste (Internet Information Services, IIS) ausgeführt wird und Sie aufgefordert werden, den Dienst anzuhalten, bevor Sie den Deinstallationsvorgang fortsetzen, klicken Sie auf OK.
Wenn der Assistent zum Entfernen von Rollen abgeschlossen ist, müssen Sie den Server neu starten, um den Deinstallationsvorgang abzuschließen.
Das Verfahren unterscheidet sich leicht, wenn mehrere Rollendienste für Active Directory-Zertifikatdienste auf einem einzigen Server installiert sind. Sie können das folgende Verfahren verwenden, um eine Zertifizierungsstelle zu deinstallieren, jedoch andere AD CS-Rollendienste beizubehalten.
Sie müssen sich mit denselben Berechtigungen anmelden wie der Benutzer, der die Zertifizierungsstelle installiert hat, um dieses Verfahren ausführen zu können. Wenn Sie eine Unternehmenszertifizierungsstelle deinstallieren, müssen Sie mindestens Mitglied der Gruppe Organisations-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
So deinstallieren Sie einen Zertifizierungsstellen-Rollendienst |
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Server-Manager.
Klicken Sie unter Rollenübersicht auf Active Directory-Zertifikatdienste.
Klicken Sie unter Rollendienste auf Rollendienste entfernen.
Deaktivieren Sie das Kontrollkästchen Zertifizierungsstelle, und klicken Sie auf Weiter.
Überprüfen Sie die Informationen auf der Seite Entfernungsauswahl bestätigen, und klicken Sie dann auf Entfernen.
Wenn IIS ausgeführt wird und Sie aufgefordert werden, den Dienst anzuhalten, bevor Sie mit der Deinstallation fortfahren, klicken Sie auf OK.
Wenn der Assistent zum Entfernen von Rollen abgeschlossen ist, müssen Sie den Server neu starten, um den Deinstallationsvorgang abzuschließen.
Wenn die verbleibenden Rollendienste, z. B. der Online-Responder-Dienst, so konfiguriert wurden, dass sie Daten von der deinstallierten Zertifizierungsstelle verwenden, müssen Sie diese Dienste neu konfigurieren, damit sie eine andere Zertifizierungsstelle unterstützen.
Nach der Deinstallation einer Zertifizierungsstelle verbleiben folgende Informationen auf dem Server:
-
Die Zertifizierungsstellen-Datenbank
-
Die öffentlichen und privaten Schlüssel der Zertifizierungsstelle
-
Die Zertifikate der Zertifizierungsstelle im privaten Speicher
-
Die Zertifikate der Zertifizierungsstelle im freigegebenen Ordner, wenn bei der Installation von AD CS ein freigegebener Ordner angegeben wurde
-
Das Stammzertifikat der Zertifizierungsstellenkette im Speicher für vertrauenswürdige Stammzertifizierungsstellen
-
Die Zwischenzertifikate der Zertifizierungsstellenkette im Speicher für Zwischenzertifizierungsstellen
-
Die Zertifikatsperrliste der Zertifizierungsstelle
Diese Informationen verbleiben standardmäßig auf dem Server für den Fall, dass Sie die Zertifizierungsstelle nach der Deinstallation wieder installieren. Sie können beispielsweise die Zertifizierungsstelle deinstallieren und neu installieren, wenn Sie eine eigenständige Zertifizierungsstelle in eine Unternehmenszertifizierungsstelle ändern möchten.