Bir sertifika yetkilisini kaldırmanız gereken durumlar olabilir. Ancak, bir sertifikanın geçerlilik ve iptal etme durumunu doğrulamak için gereken bir CA kaldırıldıktan sonra istemciler bu CA'ya isek gönderemez ve genel anahtar altyapınıza (PKI) bağlı olan bazı uygulamalar düzgün çalışmayabilir.
Bir CA'yı süre sonu tarihinden önce kalıcı olarak açığa alıyorsanız, CA sertifikasının üst CA'sından iptal edilmesi gerekir ve "İşlem Sonu" iptal etme nedenini belirtmeniz gerekir. CA, sertifika verenin imzasını taşıyan bir kök CA ise, CA tarafından verilen ve süresi sona ermeyen tüm sertifikalar iptal edilmeli ve aynı nedenin gösterildiği bir sertifika iptal listesi (CRL) oluşturulmalıdır. Bu, CA açığa alındığından sertifikaların artık geçerli olmadığını gösterecektir.
CA kaydı nesnesinin Active Directory etki Alanı Hizmetleri'nden (AD DS) kaldırıldığından emin olmak için bir kuruluş CA'sını kaldırma işlemi uygun şekilde gerçekleştirilmelidir. Bu yapılamazsa, Active Directory istemcilerinin bu CA'dan sertifikalar için kaydolmayı denemeye devam etmeleriyle sonuçlanabilir. Bir kuruluş CA'sı normal şekilde kaldırılamazsa, CA nesnelerini AD DS'den el ile kaldırmak için Kuruluş PKI'sı ek bileşenini kullanın.
Bir kuruluş CA'sını kaldıracaksanız, Enterprise Admins veya eşdeğer bir gruba üyelik, bu yordamı gerçekleştirmek için en düşük gerekliliktir. Daha fazla bilgi için bkz. Rol Tabanlı Yönetim Uygulama.
CA kaldırmak için |
Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve Sunucu Yöneticisi'ni tıklatın.
Rol Özeti'nin altında, Rol Kaldırma Sihirbazı'nı başlatmak için Rol Kaldır'ı tıklatın. İleri'yi tıklatın.
Active Directory Sertifika Hizmetleri onay kutusunu temizleyin ve İleri'yi tıklatın.
Kaldırma Seçeneklerini Doğrulama sayfasında bilgileri gözden geçirin ve Kaldır'ı tıklatın.
Internet Information Services (IIS) çalışıyorsa ve kaldırma işlemine devam etmeden önce bu hizmeti durdurmanız istenirse Tamam'ı tıklatın.
Rol Kaldırma Sihirbazı tamamlandıktan sonra, kaldırma işlemini tamamlamak için sunucuyu yeniden başlatmanız gerekir.
tek bir sunucuda yüklü birden fazla Active Directory Sertifika Hizmetleri (AD CS) rol hizmetiniz varsa yordam biraz farklı olur. Bir CA'yı kaldırıp diğer AD CS rol hizmetlerini korumak için aşağıdaki yordamı kullanabilirsiniz.
Bu yordamı tamamlamak için, CA'yı yükleyen kullanıcıyla aynı izinlerle oturum açmanız gerekir. Bir kuruluş CA'sını kaldıracaksanız, Enterprise Admins veya eşdeğer bir gruba üyelik, bu yordamı gerçekleştirmek için en düşük gerekliliktir. Daha fazla bilgi için bkz. Rol Tabanlı Yönetim Uygulama.
CA rol hizmetini kaldırmak için |
Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve Sunucu Yöneticisi'ni tıklatın.
Rol Özeti altında Active Directory Sertifika Hizmetleri'ni tıklatın.
Role Hizmetleri'nin altında, Rol Hizmetlerini Kaldır'ı tıklatın.
Sertifika Yetkilisi onay kutusunu temizleyin ve İleri'yi tıklatın.
Kaldırma Seçeneklerini Doğrulama sayfasında bilgileri gözden geçirin ve Kaldır'ı tıklatın.
IIS çalışıyorsa ve kaldırma işlemine devam etmeden önce bu hizmeti durdurmanız istenirse Tamam'ı tıklatın.
Rol Kaldırma Sihirbazı tamamlandıktan sonra, kaldırma işlemini tamamlamak için sunucuyu yeniden başlatmanız gerekir.
Çevrimiçi Yanıtlayıcı hizmeti gibi diğer rol hizmetleri, kaldırılan CA'daki verileri kullanacak şekilde yapılandırılmışsa, bu hizmetleri farklı bir CA'yı destekleyecek şekilde yeniden yapılandırmanız gerekir.
Bir CA kaldırıldıktan sonra, aşağıdaki bilgiler sunucuda kalır:
-
CA veritabanı
-
CA ortak ve özel anahtarları
-
CA'nın Kişisel depodaki sertifikaları
-
AD CS kurulumu sırasında paylaşılan klasör belirtilmişse, CA'nın paylaşılan klasördeki sertifikaları
-
Güvenilen Kök Sertifika Yetkilileri deposunda CA zincirinin kök sertifikası
-
Ara Sertifika Yetkilileri deposunda CA zincirinin ara sertifikaları
-
CA'nın CRL'si
CA'yı kaldırmanız ve yeniden yüklemeniz durumunda bu bilgiler varsayılan olarak sunucuda tutulur. Örneğin, tek başına bir CA'yı kuruluş CA'sı olarak değiştirmek isterseniz, CA'yı kaldırıp yeniden yükleyebilirsiniz.