Niekiedy może zajść potrzeba odinstalowania urzędu certyfikacji. Klienci nie będą jednak mogli wysyłać żądań do tego urzędu certyfikacji, a niektóre aplikacje zależne od infrastruktury kluczy publicznych (PKI, public key infrastructure) mogą nie działać prawidłowo po odinstalowaniu urzędu certyfikacji wymaganego do weryfikacji ważności i stanu odwołania certyfikatu.

Jeśli urząd certyfikacji jest trwale likwidowany przed osiągnięciem daty wygaśnięcia, należy odwołać certyfikat urzędu certyfikacji z nadrzędnego urzędu certyfikacji, podając przyczynę „Zaprzestanie działania”. Jeśli urząd certyfikacji jest głównym urzędem certyfikacji z podpisem własnym, należy odwołać wszystkie niewygasłe certyfikaty wystawione przez urząd certyfikacji i wygenerować listę odwołania certyfikatów (CRL, certificate revocation list) z tą samą przyczyną. Dzięki temu będzie wiadomo, że certyfikaty utraciły ważność w wyniku zlikwidowania urzędu certyfikacji.

Odinstalowanie urzędu certyfikacji przedsiębiorstwa należy przeprowadzić w odpowiedni sposób, aby zapewnić usunięcie jego obiektu rejestrowania z usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services). Niewłaściwe wykonanie tej czynności może spowodować, że klienci usługi Active Directory wciąż będą podejmowali próby zarejestrowania certyfikatów z tego urzędu certyfikacji. Jeśli nie można w normalny sposób odinstalować urzędu certyfikacji przedsiębiorstwa, należy ręcznie usunąć obiekty urzędu certyfikacji z usług AD DS za pomocą przystawki Infrastruktura PKI.

Minimalnym wymaganiem w przypadku procedury odinstalowywania urzędu certyfikacji przedsiębiorstwa jest członkostwo w grupie Administratorzy przedsiębiorstwa lub równoważnej. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.

Aby odinstalować urząd certyfikacji
  1. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Menedżer serwera.

  2. W obszarze Podsumowanie ról kliknij przycisk Usuń role, aby uruchomić Kreatora usuwania ról. Kliknij przycisk Dalej.

  3. Wyczyść pole wyboru Usługi certyfikatów w usłudze Active Directory i kliknij przycisk Dalej.

  4. Na stronie Potwierdzanie opcji usuwania przejrzyj informacje, a następnie kliknij przycisk Usuń.

  5. Jeśli są uruchomione Internetowe usługi informacyjne (IIS, Internet Information Services) i przed kontynuowaniem procesu odinstalowywania zostanie wyświetlony monit o ich zatrzymanie, kliknij przycisk OK.

  6. Po zakończeniu pracy Kreatora usuwania ról należy ponownie uruchomić serwer, aby zakończyć proces odinstalowywania.

Procedura jest nieco inna, gdy na jednym serwerze zainstalowano wiele usług ról dostępnych w Usługach certyfikatów w usłudze Active Directory (Active Directory Certificate Services, AD CS). Aby odinstalować urząd certyfikacji, pozostawiając pozostałe usługi ról AD CS, należy wykonać poniższą procedurę.

W celu wykonania tej procedury należy zalogować się z takimi samymi uprawnieniami jak użytkownik, który zainstalował urząd certyfikacji. Minimalnym wymaganiem w przypadku procedury odinstalowywania urzędu certyfikacji przedsiębiorstwa jest członkostwo w grupie Administratorzy przedsiębiorstwa lub równoważnej. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.

Aby odinstalować usługę roli urzędu certyfikacji
  1. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Menedżer serwera.

  2. W obszarze Podsumowanie ról kliknij pozycję Usługi certyfikatów w usłudze Active Directory.

  3. W obszarze Usługi ról kliknij przycisk Usuń usługi ról.

  4. Wyczyść pole wyboru Urząd certyfikacji i kliknij przycisk Dalej.

  5. Na stronie Potwierdzanie opcji usuwania przejrzyj informacje, a następnie kliknij przycisk Usuń.

  6. Jeśli są uruchomione usługi IIS i przed kontynuowaniem procesu odinstalowywania zostanie wyświetlony monit o zatrzymanie usługi, kliknij przycisk OK.

  7. Po zakończeniu pracy Kreatora usuwania ról należy ponownie uruchomić serwer, aby zakończyć proces odinstalowywania.

Jeśli pozostałe usługi ról, na przykład usługa Obiekt odpowiadający w trybie online, używały danych z odinstalowanego urzędu certyfikacji, należy je ponownie skonfigurować, aby obsługiwały inny urząd certyfikacji.

Po odinstalowaniu urzędu certyfikacji na serwerze pozostają następujące informacje:

  • Baza danych urzędu certyfikacji

  • Klucze publiczne i prywatne urzędu certyfikacji

  • Certyfikaty urzędu certyfikacji w magazynie osobistym

  • Certyfikaty urzędu certyfikacji w magazynie udostępnionym, jeśli podczas instalacji usług AD CS został określony folder udostępniony

  • Certyfikat główny łańcucha urzędu certyfikacji w magazynie zaufanych głównych urzędów certyfikacji

  • Certyfikaty pośrednie łańcucha urzędu certyfikacji w magazynie pośrednich urzędów certyfikacji

  • Lista CRL urzędu certyfikacji

Domyślnie informacje te są przechowywane na serwerze na wypadek ponownego zainstalowania odinstalowanego urzędu certyfikacji. Urząd certyfikacji można na przykład odinstalować i ponownie zainstalować w celu zmiany autonomicznego urzędu certyfikacji na urząd certyfikacji przedsiębiorstwa.


Spis treści