En ocasiones puede ser necesario desinstalar una entidad de certificación (CA). No obstante, los clientes no podrán enviar solicitudes a esta CA y es posible que algunas aplicaciones que dependen de la infraestructura de clave pública (PKI) no funcionen correctamente después de desinstalar una CA que es necesaria para verificar el estado de validez y revocación de un certificado.

Si va a retirar permanentemente la CA antes de su fecha de expiración prevista, el certificado de CA se debe revocar desde la CA primaria y se debe indicar "Cese de operación" como el motivo de la revocación. Si la CA es una CA raíz autofirmada, se deben revocar todos los certificados emitidos por la CA que no han expirado y generar una lista de revocación de certificados (CRL) con el mismo motivo. Esto indicará que los certificados han dejado de ser válidos porque la CA se ha dado de baja.

La desinstalación de una CA de empresa se debe realizar correctamente para garantizar que el objeto de inscripción de la CA se quite de los Servicios de dominio de Active Directory (AD DS). En caso contrario, los clientes de Active Directory seguirán intentando inscribirse en los certificados de dicha CA. Si una CA de empresa no se puede desinstalar con normalidad, se puede usar el complemento de infraestructura de clave pública de la organización para quitar manualmente los objetos de CA de AD DS.

Si va a desinstalar una CA de empresa, el requisito mínimo para completar este procedimiento es la pertenencia al grupo Administradores de organización o un grupo equivalente. Para obtener más información, vea Implementación de la administración basada en funciones.

Para desinstalar una CA
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Administrador del servidor.

  2. En Resumen de roles, haga clic en Quitar roles para iniciar el Asistente para quitar roles. Haga clic en Siguiente.

  3. Desactive la casilla Servicios de servidor de certificados de Active Directory y haga clic en Siguiente.

  4. En la página Confirmar opciones de eliminación, revise la información y, a continuación, haga clic en Quitar.

  5. Si se está ejecutando Internet Information Services (IIS) y se le pide que detenga el servicio antes de continuar con el proceso de desinstalación, haga clic en Aceptar.

  6. Una vez completado el Asistente para quitar roles, debe reiniciar el servidor para finalizar el proceso de desinstalación.

El procedimiento varía ligeramente si tiene varios servicios de rol de Servicios de certificados de Active Directory (AD CS) instalados en un solo servidor. Puede usar el siguiente procedimiento para desinstalar una CA y conservar otros servicios de rol de AD CS.

Debe iniciar sesión con los mismos permisos que el usuario que instaló la CA para completar este procedimiento. Si va a desinstalar una CA de empresa, el requisito mínimo para completar este procedimiento es la pertenencia al grupo Administradores de organización o un grupo equivalente. Para obtener más información, vea Implementación de la administración basada en funciones.

Para desinstalar un servicio de rol de la CA
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Administrador del servidor.

  2. En Resumen de roles, haga clic en Servicios de certificados de Active Directory.

  3. En Servicios de rol, haga clic en Quitar servicios de rol.

  4. Desactive la casilla Entidad de certificación y haga clic en Siguiente.

  5. En la página Confirmar opciones de eliminación, revise la información y, a continuación, haga clic en Quitar.

  6. Si se está ejecutando IIS y se le pide que detenga el servicio antes de continuar con el proceso de desinstalación, haga clic en Aceptar.

  7. Una vez completado el Asistente para quitar roles, debe reiniciar el servidor para finalizar el proceso de desinstalación.

Si los servicios de rol restantes como, por ejemplo, el servicio Respondedor en línea, se configuraron para usar datos de la CA desinstalada, debe volver a configurar estos servicios para admitir otra CA.

Una vez desinstalada la CA, la siguiente información permanece en el servidor:

  • La base de datos de CA

  • Las claves públicas y privadas de la CA

  • Los certificados de la CA en el almacén personal

  • Los certificados de la CA en la carpeta compartida si se especificó una carpeta compartida durante la instalación de AD CS

  • El certificado raíz de la cadena de CA en el almacén de entidades de certificación raíz de confianza

  • Los certificados intermedios de la cadena de CA en el almacén de entidades de certificación intermedias

  • La CRL de la CA

Esta información se conserva en el servidor de forma predeterminada por si desinstala y vuelve a instalar la CA. Por ejemplo, es posible que desinstale y vuelva a instalar la CA si desea cambiar una CA independiente a una CA de empresa.


Tabla de contenido