Podem surgir situações em que seja necessário desinstalar uma autoridade de certificação (AC). No entanto, os clientes não poderão enviar pedidos para esta AC e algumas aplicações que dependem da infra-estrutura de chaves públicas (PKI) poderão não funcionar correctamente, depois de uma AC necessária para verificar a validade e o estado de revogação de um certificado ter sido desinstalada.

Se pretender desactivar de forma permanente a AC antes da data de expiração, o certificado da AC deve ser revogado na AC principal, sendo que deve indicar a razão "Cessar a operação" para a revogação. Se a AC for uma AC de raiz auto-assinada, todos os certificados emitidos pela AC que não expiraram devem ser revogados e deve ser gerada uma lista de revogação de certificados (CRL) que indique a mesma razão. Isso indicará que os certificados deixam de ser válidos porque a AC foi desactivada.

Quando desinstalar uma AC empresarial, é importante que o faça correctamente para garantir que o objecto de inscrição da AC é removido dos Serviços de Domínio do Active Directory (AD DS). Se não o fizer correctamente, os clientes do Active Directory poderão continuar as tentativas de se inscreverem para certificados dessa AC. Se não for possível desinstalar uma AC empresarial normalmente, utilize o snap-in PKI de Empresa para remover manualmente os objectos da AC do AD DS.

Se estiver a desinstalar uma AC empresarial, ser membro do grupo Admins da Empresa, ou equivalente, é o requisito mínimo para concluir este procedimento. Para mais informações, consulte Implementar Administração Baseada em Funções.

Para desinstalar uma AC
  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gestor de Servidor.

  2. Em Resumo das Funções, clique em Remover Funções para iniciar o Assistente para Remover Funções. Clique em Seguinte.

  3. Desmarque a caixa de verificação Serviços de Certificados do Active Directory e clique em Seguinte.

  4. Na página Confirmar Opções de Remoção, reveja as informações e clique em Remover.

  5. Se os Serviços de Informação Internet (IIS) estiverem a ser executados e se for solicitado ao utilizador que pare o serviço antes de continuar o processo de desinstalação, clique em OK.

  6. Concluído o Assistente para Remover Funções, tem de reiniciar o servidor para concluir o processo de desinstalação.

O procedimento é ligeiramente diferente se tiver vários serviços de função dos Serviços de Certificados do Active Directory (AD CS) instalados num único servidor. Pode executar o seguinte procedimento para desinstalar uma AC, mas reter outros serviços de função dos AD CS.

Para concluir este procedimento, tem de iniciar sessão com as mesmas permissões que as do utilizador que instalou a AC. Se estiver a desinstalar uma AC empresarial, ser membro do grupo Admins da Empresa, ou equivalente, é o requisito mínimo para concluir este procedimento. Para mais informações, consulte Implementar Administração Baseada em Funções.

Para desinstalar um serviço de função de uma AC
  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gestor de Servidor.

  2. Em Resumo das Funções, clique em Serviços de Certificados do Active Directory.

  3. Em Serviços de Função, clique em Remover Serviços de Função.

  4. Desmarque a caixa de verificação Autoridade de Certificação e clique em Seguinte.

  5. Na página Confirmar Opções de Remoção, reveja as informações e clique em Remover.

  6. Se os IIS estiverem a ser executados e se for solicitado ao utilizador que pare o serviço antes de continuar o processo de desinstalação, clique em OK.

  7. Concluído o Assistente para Remover Funções, tem de reiniciar o servidor para concluir o processo de desinstalação.

Se os restantes serviços de função, como o serviço de Dispositivo de Resposta Online, foram configurados para utilizar dados da AC desinstalada, tem de reconfigurar esses serviços para suportar uma AC diferente.

Após a desinstalação de uma AC, ficam a seguintes informações no servidor:

  • A base de dados da AC

  • As chaves públicas e privadas da AC

  • Os certificados da AC no arquivo Pessoal

  • Os certificados da AC na pasta partilhada, se uma pasta partilhada tiver sido especificada durante a configuração dos AD CS

  • O certificado de raiz da cadeia da AC no arquivo Autoridades de Certificação de Raiz Fidedigna

  • Os certificados intermediários da cadeia da AC no arquivo Autoridades de Certificação Intermediárias

  • A CRL da AC

Estas informações são mantidas no servidor por predefinição, caso esteja a desinstalar e reinstalar a AC. Por exemplo, poderá desinstalar e voltar a instalar a AC, se quiser alterar uma AC autónoma para uma AC empresarial.


Sumário