我继承了一个 Active Directory 域,其中安装了证书服务,但没有得到很好的利用,也没有记录。我想改造基础设施,并将这些服务实际用于许多与安全相关的应用程序,但我不确定会发生什么或从哪里开始。基本上,我想知道是否有其他人遇到过类似的问题以及使用了什么流程。我最终想重新开始并正确地做事,但我还没有发现这是否可行,或者是否有任何应用程序可能会崩溃。从我目前发现的情况来看,该服务主要用于向开发站点提供证书。用户获得了证书,但我从未遇到过使用它们的任何实例。任何信息/帮助都将不胜感激。
谢谢。
答案1
我从“继承”的 AD 域 (Windows 2003) 中删除了企业 CA,并开始使用新的企业 CA,没有任何不良影响。我按照本文中的说明进行操作http://support.microsoft.com/kb/889250然后开始新的部署。
总体来说,我觉得非常顺利。
(我的客户可能和你的类似。他们安装了它,但什么都没用,然后就快要毁掉运行企业 CA 根的机器了。我需要 WPA2-RADIUS 身份验证的证书,结果却掉进了垃圾堆里。)
答案2
如果您 100% 确定证书未被使用,那么您可以按照 KB 889250 操作并停止使用。但您必须首先确保它们未被使用,因为最坏的情况是 superimportantapp 中途损坏,您必须修复刚刚损坏的 PKI 才能使其恢复运行。一旦您执行 certutil -delkey CertificationAuthorityName,让证书再次工作至少会变得有趣。最重要的是慢慢来。