有时可能需要卸载证书颁发机构 (CA)。但是,客户端无法向此 CA 发送请求,而且在卸载了验证证书的有效性和吊销状态所需的 CA 后,依据公钥基础结构 (PKI) 的某些应用程序可能无法正常发挥作用。

如果在预期的截止日期之前永久解除了该 CA 授权,则应从其父 CA 处吊销该 CA 证书,并且应将“停止操作”列出为吊销的原因。如果该 CA 是自签名根 CA,则应吊销由 CA 颁发的所有尚未过期的证书,而且因同一原因应生成证书吊销列表 (CRL)。这将表明,由于已解除了该 CA 授权,因此证书不再有效。

应正确完成卸载企业 CA 以确保其 CA 注册对象从 Active Directory 域服务 (AD DS) 中删除。无法完成此操作可能导致 Active Directory 客户端继续尝试从该 CA 注册证书。如果无法正常卸载企业 CA,请使用企业 PKI 管理单元从 AD DS 中手动删除 CA 对象。

如果正在卸载企业 CA,则 Enterprise Admins 中的成员身份或同等身份是完成此过程所需的最低要求。有关详细信息,请参阅实现基于角色的管理

卸载 CA 的步骤
  1. 单击「开始」,指向“管理工具”,然后单击“服务器管理器”

  2. “角色摘要”下,单击“删除角色”以启动删除角色向导。单击“下一步”

  3. 清除“Active Directory 证书服务”复选框,单击“下一步”

  4. “确认删除选项”页上,检查信息,然后单击“删除”

  5. 如果 Internet 信息服务 (IIS) 正在运行,且系统提示您在继续卸载过程之前停止服务,请单击“确定”

  6. 完成删除角色向导之后,必须重新启动服务器才能完成卸载过程。

如果在单个服务器上安装了多个 Active Directory 证书服务 (AD CS) 角色服务,则该步骤会稍有不同。可以使用下列步骤卸载 CA,但保留其他 AD CS 角色服务。

必须使用与安装 CA 的用户相同的权限登录才能完成此步骤。如果正在卸载企业 CA,则 Enterprise Admins 中的成员身份或同等身份是完成此过程所需的最低要求。有关详细信息,请参阅实现基于角色的管理

卸载 CA 角色服务的步骤
  1. 单击「开始」,指向“管理工具”,然后单击“服务器管理器”

  2. “角色摘要”下,单击“Active Directory 证书服务”

  3. “角色服务”下,单击“删除角色服务”

  4. 清除“证书颁发机构”复选框,单击“下一步”

  5. “确认删除选项”页上,检查信息,然后单击“删除”

  6. 如果 IIS 正在运行,且系统提示您在继续卸载过程之前停止服务,请单击“确定”

  7. 完成删除角色向导之后,必须重新启动服务器才能完成卸载过程。

如果其余角色服务(如联机响应程序服务)配置为使用来自卸载 CA 中的数据,则必须将这些服务重新配置为支持其他 CA。

卸载 CA 之后,下列信息将保留在服务器上:

  • CA 数据库

  • CA 公钥和私钥

  • 个人存储区中 CA 的证书

  • 共享文件夹中 CA 的证书(如果安装 AD CS 期间指定了共享文件夹)

  • “受信任的根证书颁发机构”存储区中 CA 链的根证书

  • “中级证书颁发机构”存储区中 CA 链的中级证书

  • CA 的 CRL

默认情况下,如果卸载然后重新安装 CA,此信息会保留在服务器上。例如,如果希望将独立 CA 更改为企业 CA,可能会卸载并重新安装 CA。


目录