CA(인증 기관)를 제거해야 할 경우가 있습니다. 그러나 인증서의 유효성 및 해지 상태를 확인하는 데 필요한 CA를 제거하면 클라이언트에서 이 CA로 요청을 보낼 수 없으며 PKI(공개 키 인프라)를 사용하는 일부 응용 프로그램이 제대로 작동하지 않을 수 있습니다.
예상 만료 날짜 이전에 CA를 영구적으로 제거하는 경우 "사용 중단"이라는 인증서 해지 이유로 부모 CA에서 CA 인증서가 해지되어야 합니다. CA가 자체 서명된 루트 CA일 경우 만료되지 않은 모든 인증서가 해지되어야 하며, 동일한 이유로 CRL(인증서 해지 목록)이 생성되어야 합니다. 이는 CA가 제거되었기 때문에 인증서가 더 이상 유효하지 않음을 나타냅니다.
엔터프라이즈 CA를 제거하는 경우 CA 등록 개체가 AD DS(Active Directory 도메인 서비스)에서 확실히 제거되도록 엔터프라이즈 CA를 올바르게 제거해야 합니다. 올바르게 제거하지 못한 경우 AD DS 클라이언트에서 해당 CA에 등록하려고 계속 시도할 수 있습니다. 엔터프라이즈 CA를 정상적으로 제거할 수 없는 경우 엔터프라이즈 PKI 스냅인을 사용하여 AD DS에서 CA 개체를 수동으로 제거할 수 있습니다.
참고 | |
CA를 제거하기 전에 전체 서버를 백업해야 합니다. |
이 절차를 완료하려면 최소한 Enterprise Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다.
Active Directory 컨테이너에서 사용하지 않는 인증서 관련 개체를 제거하려면 |
엔터프라이즈 PKI 스냅인을 엽니다.
콘솔 트리에서 엔터프라이즈 PKI를 마우스 오른쪽 단추로 클릭한 다음 AD 컨테이너 관리를 클릭합니다.
컨테이너 중 하나를 선택하고 선택한 컨테이너에서 개체를 하나 이상 선택합니다.
선택한 개체가 제거 중인 CA와 관련되어 있는지 확실하지 않을 경우 보기를 클릭하여 각 개체의 내용을 확인합니다.
제거를 클릭합니다.
다른 컨테이너를 선택하고 더 이상 필요하지 않은 개체를 모두 제거할 때까지 3-5단계를 반복합니다.