我所在的组织拥有一个文件服务器,它是辅助域控制器 (2003 R2)、Exchange 服务器 (2008 R2) 和主域控制器 (2008 R2)。我们还有一个曾经是主域控制器,但现已降级为第三域控制器 (2003)。
我想完全删除最后一个,但担心会引起问题。许多年前,有人将此服务器设置为证书颁发机构,我相信他试图对电子邮件加密进行一些操作,但从未成功。它目前只有 3 个有效证书问题,每个域控制器一个。
我对 CA 角色一点都不熟悉。我是否可以简单地撤销已颁发的三个证书,然后删除该角色,或者这会导致某种不可预见的问题?
答案1
如果您不确定所颁发的证书是否有用,那么您可以分阶段进行。
撤销证书,确保 DC 知道它们已被撤销(使用每个 DC 上的证书 MMC 管理单元),然后等待几周。
如果一切顺利,则继续删除 CA 角色。