有時候您可能需要解除安裝憑證授權單位 (CA)。不過,解除安裝需要用來確認憑證之有效性和撤銷狀態的 CA 之後,用戶端便無法將要求傳送至此 CA,且依存公開金鑰基礎結構 (PKI) 的一些應用程式也可能無法正常運作。
如果在 CA 的預期到期日之前永久解除該 CA 的委任,則 CA 憑證因憑證撤銷原因「操作停止」而應該從其父系 CA 撤銷。如果 CA 是自我簽署根 CA,則應該撤銷所有未到期的憑證,而且應該根據相同原因產生憑證撤銷清單 (CRL)。這表示憑證不再有效,因為 CA 已被解除委任。
解除安裝企業 CA 時,重要的是正確解除安裝,確保已從 Active Directory 網域服務 (AD DS) 中移除它的 CA 註冊物件。如果失敗,則可能會讓 AD DS 用戶端持續嘗試向該 CA 進行註冊。如果無法正常解除安裝企業 CA,則可以使用 [企業 PKI] 嵌入式管理單元手動從 AD DS 移除 CA 物件。
附註 | |
您應該先備份整個伺服器,再解除安裝 CA。 |
若要完成這個程序,則至少需要 Enterprise Admins 的成員資格或同等權限。
從 Active Directory 容器移除未用的憑證相關物件 |
開啟 [企業 PKI] 嵌入式管理單元。
在主控台樹狀目錄的 [企業 PKI] 上按一下滑鼠右鍵,然後按一下 [管理 AD 容器]。
選取其中一個容器,並選取該容器內的一或多個物件。
如果不確定選取的物件是否屬於要解除安裝的 CA,請按一下 [檢視] 檢查每個物件的內容。
按一下 [移除]。
選取不同的容器,並重複步驟 3 到 5,直到移除所有不再需要的物件。