Het is mogelijk dat u af en toe een certificeringsinstantie (CA) moet verwijderen. Clients kunnen dan echter geen aanvragen meer verzenden naar deze CA en bepaalde toepassingen die afhankelijk zijn van uw PKI (Public Key Infrastructure of openbare-sleutelinfrastructuur), werken mogelijk niet correct nadat een CA is verwijderd die is vereist voor het verifiëren van de geldigheid en de intrekkingsstatus van een certificaat.

Als u de CA permanent uit bedrijf neemt voordat de verwachte verloopdatum is verstreken, moet het CA-certificaat worden ingetrokken bij de bovenliggende CA, met als intrekkingsreden 'Activiteit gestaakt'. Als de CA een zelf-ondertekende basis-CA is, moeten alle certificaten die door de CA zijn verleend en die niet zijn verlopen, worden ingetrokken en moet er een certificaatintrekkingslijst (CRL) worden gegenereerd waarin dezelfde reden wordt vermeld. Hiermee wordt aangegeven dat de certificaten niet langer geldig zijn omdat de CA buiten bedrijf is gesteld.

Als u een ondernemings-CA verwijdert, is het van groot belang dat dit op juiste wijze gebeurt, om ervoor te zorgen dat het bijbehorende CA-inschrijvingsobject wordt verwijderd uit AD DS (Active Directory Domain Services). Als dit niet goed gebeurt, is het mogelijk dat Active Directory-clients inschrijvingspogingen blijven doen voor certificaten van die CA. Als een ondernemings-CA niet op normale wijze kan worden verwijderd, kunt u de module Enterprise PKI gebruiken om de CA-objecten handmatig te verwijderen uit AD DS.

Als u een ondernemings-CA wilt verwijderen, moet u minimaal lid zijn van de groep Ondernemingsadministrators of een vergelijkbare groep om deze procedure uit te voeren. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.

Een CA verwijderen
  1. Klik op Start, wijs Systeembeheer aan en klik op Serverbeheer.

  2. Klik onder Roloverzicht op Rollen verwijderen om de wizard Rollen verwijderen te starten. Klik op Volgende.

  3. Schakel het selectievakje Active Directory Certificate Services uit en klik op Volgende.

  4. Controleer de gegevens op de pagina Geselecteerde items voor verwijderen bevestigen en klik vervolgens op Verwijderen.

  5. Als IIS (Internet Information Services) wordt uitgevoerd en u wordt gevraagd de service te stoppen voordat u doorgaat met het ongedaan maken van de installatie, klikt u op OK.

  6. Nadat de wizard Rollen verwijderen is voltooid, moet u de server opnieuw opstarten om het proces te voltooien.

De procedure wijkt enigszins af als er meerdere AD CS-rolservices (Active Directory Certificate Services) op één server zijn geïnstalleerd. Met de volgende procedure kunt u een CA verwijderen terwijl andere AD CS-rolservices behouden blijven.

Als u deze procedure wilt uitvoeren, moet u zich aanmelden met dezelfde machtigingen als de gebruiker die de CA heeft geïnstalleerd. Als u een ondernemings-CA wilt verwijderen, moet u minimaal lid zijn van de groep Ondernemingsadministrators of een vergelijkbare groep om deze procedure uit te voeren. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.

Een CA-rolservice verwijderen
  1. Klik op Start, wijs Systeembeheer aan en klik op Serverbeheer.

  2. Klik onder Roloverzicht op Active Directory Certificate Services.

  3. Klik onder Rolservices op Rolservices verwijderen.

  4. Schakel het selectievakje Certificeringsinstantie uit en klik op Volgende.

  5. Controleer de gegevens op de pagina Geselecteerde items voor verwijderen bevestigen en klik vervolgens op Verwijderen.

  6. Als IIS wordt uitgevoerd en u wordt gevraagd de service te stoppen voordat u doorgaat met het ongedaan maken van de installatie, klikt u op OK.

  7. Nadat de wizard Rollen verwijderen is voltooid, moet u de server opnieuw opstarten om het proces te voltooien.

Als de overige rolservices, zoals de onlineresponderservice, gebruikmaken van gegevens van de verwijderde CA, moet u de configuratie van de services aanpassen zodat ze een andere CA gebruiken.

De volgende gegevens blijven achter op de server nadat de installatie van een CA ongedaan is gemaakt:

  • De CA-database

  • De openbare en persoonlijke sleutels van de CA

  • De certificaten van de CA in het persoonlijke archief

  • De certificaten van de CA in de gedeelde map, als er een gedeelde map is opgegeven tijdens de installatie van AD CS

  • Het basiscertificaat van de CA-keten in het archief voor vertrouwde basiscertificeringsinstanties

  • De tussenliggende certificaten van de CA-keten in het archief voor tussenliggende certificeringsinstanties

  • De CRL van de CA

Deze gegevens blijven standaard op de server achter voor het geval u de CA opnieuw wilt installeren, bijvoorbeeld als u van een zelfstandige CA een ondernemings-CA wilt maken.

Aanvullende naslaginformatie


Inhoudsopgave