有时可能需要卸载证书颁发机构 (CA)。但是,客户端无法向此 CA 发送请求,而且在卸载了验证证书的有效性和吊销状态所需的 CA 后,依据公钥基础结构 (PKI) 的某些应用程序可能无法正常发挥作用。
如果您在预期的截止日期之前永久解除了该 CA 授权,则由于“停止操作”的证书吊销原因,应从其父 CA 处吊销该 CA 证书。如果该 CA 是自签名根 CA,则应吊销所有尚未过期的证书,而且因同一原因应生成证书吊销列表 (CRL)。这将表明,由于已解除了该 CA 授权,因此证书不再有效。
卸载企业 CA 时,正确卸载至关重要,目的是为了确保从 Active Directory 域服务 (AD DS) 中删除其 CA 注册对象。如果此操作失败,则可能会导致 AD DS 客户端继续尝试向该 CA 进行注册。如果无法正常卸载企业 CA,则可以使用“企业 PKI”管理单元从 AD DS 中手动删除 CA 对象。
 | 注意 |
|
卸载 CA 之前应该先备份整个服务器。 |
Enterprise Admins 中的成员身份或同等身份是完成此过程所需的最低要求。
 | 从 Active Directory 容器中删除与证书相关的未使用对象的步骤 |
打开“企业 PKI”管理单元。
在控制台树中,右键单击“企业 PKI”,然后单击“管理 AD 容器”。
选择一个容器,并选择该容器中的一个或多个对象。
如果您不确定任何选定的对象是否属于您正在卸载的 CA,请单击“查看”以检查每个对象的内容。
单击“删除”。
选择不同的容器,并重复步骤 3 到 5,直到删除了所有不再需要的对象。