In alcune situazioni potrebbe essere necessario disinstallare un'Autorità di certificazione (CA). Tuttavia i client non saranno in grado di inviare richieste a tale CA e alcune applicazioni che dipendono dall'Infrastruttura a chiave pubblica interessata potrebbero non funzionare correttamente dopo la disinstallazione di una CA necessaria per verificare la validità e lo stato della revoca di un certificato.
Se si rimuove definitivamente la CA prima della data di scadenza prevista, è necessario che il certificato CA venga revocato dalla CA padre e che si indichi "Termine operazione" come motivo della revoca. Se si tratta di una CA radice autofirmata, è necessario che vengano revocati tutti i certificati rilasciati dalla CA e non ancora scaduti e che venga generato un elenco di revoche di certificati (CRL) con lo stesso motivo. Viene in tal modo indicato che i certificati non sono più validi perché la CA è stata rimossa.
È importante che la disinstallazione di un'Autorità di certificazione dell'organizzazione (enterprise) avvenga in modo corretto per assicurare che l'oggetto di registrazione CA venga rimosso da Servizi di dominio Active Directory. In caso contrario, i client Active Directory potrebbero continuare a tentare di registrare certificati da tale CA. Se non è possibile disinstallare normalmente una CA dell'organizzazione (enterprise), utilizzare lo snap-in Infrastruttura a chiave pubblica dell'organizzazione per rimuovere manualmente gli oggetti della CA da Servizi di dominio Active Directory.
Se si sta disinstallando una CA dell'organizzazione (Enterprise), per eseguire la procedura è necessaria almeno l'appartenenza al gruppo Enterprise Admins oppure a un gruppo equivalente. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.
Per disinstallare una CA |
Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Server Manager.
In Riepilogo ruoli fare clic su Rimuovi ruoli per avviare la Rimozione guidata ruoli. Fare clic su Avanti.
Deselezionare la casella di controllo Servizi certificati Active Directory e fare clic su Avanti.
Nella pagina Conferma opzioni di rimozione controllare le informazioni visualizzate e quindi fare clic su Rimuovi.
Se è in esecuzione Internet Information Services (IIS) e viene richiesto di interrompere il servizio prima di procedere alla disinstallazione, fare clic su OK.
Al termine della Rimozione guidata ruoli è necessario riavviare il server per completare il processo di disinstallazione.
La procedura varia leggermente se vi sono più servizi ruolo Servizi certificati Active Directory installati su un singolo server. È possibile utilizzare la procedura seguente per disinstallare una CA mantenendo gli altri servizi ruolo Servizi certificati Active Directory.
Per eseguire questa procedura, è necessario accedere con le stesse autorizzazioni dell'utente che ha installato la CA. Se si sta disinstallando una CA dell'organizzazione (Enterprise), per eseguire la procedura è necessaria almeno l'appartenenza al gruppo Enterprise Admins oppure a un gruppo equivalente. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.
Per disinstallare un servizio ruolo CA |
Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Server Manager.
In Riepilogo ruoli fare clic su Servizi certificati Active Directory.
In Servizi ruolo fare clic su Rimuovi servizi ruolo.
Deselezionare la casella di controllo Autorità di certificazione e fare clic su Avanti.
Nella pagina Conferma opzioni di rimozione controllare le informazioni visualizzate e quindi fare clic su Rimuovi.
Se è in esecuzione IIS e viene richiesto di interrompere il servizio prima di procedere alla disinstallazione, fare clic su OK.
Al termine della Rimozione guidata ruoli è necessario riavviare il server per completare il processo di disinstallazione.
Se i servizi ruolo rimanenti, come il servizio Risponditore in linea, erano configurati per l'utilizzo di dati dalla CA disinstallata, è necessario riconfigurarli affinché supportino una CA diversa.
Dopo la disinstallazione di una CA, sul server rimangono le informazioni seguenti:
-
Il database CA
-
Le chiavi pubblica e privata della CA
-
I certificati della CA nell'archivio personale
-
I certificati della CA nella cartella condivisa, se specificata durante l'installazione di Servizi certificati Active Directory
-
Il certificato radice della catena della CA nell'archivio delle Autorità di certificazione radice disponibili nell'elenco locale
-
I certificati intermedi della catena della CA nell'archivio delle Autorità di certificazione intermedie
-
Il CRL della CA
Queste informazioni sono conservate sul server per impostazione predefinita, nel caso in cui si disinstalli e quindi si reinstalli la CA. Si può ad esempio disinstallare e reinstallare la CA se si desidera trasformare una CA autonoma (Standalone) in una CA dell'organizzazione (enterprise).