在一堆服务器中,我有一台 Windows 2003 服务器、域控制器、安装了企业 CA,无法启动 CA 服务,因为“根据当前系统时钟或签名文件中的时间戳进行验证时,所需证书不在有效期内”。备份 CA 并从控制台检查颁发的证书不起作用。
我安装了 Windows 2012R2 服务器、域控制器和独立 CA。CA 服务正在运行,我可以看到“已颁发证书”下没有证书。
可能(遗憾的是我不能确定)没有人使用过这些 CA。据我所知,这里没有人具备使用企业 CA 的技能(和需求),包括我在内。
我可以在域成员中看到,来自这些 CA 的证书被放在“受信任的根证书颁发机构/证书”中,但除了一个之外,其他都已过期:certroot。
我们的目标是:
- 摆脱 Windows 2003 Enterprise CA 和 DC
- 摆脱 Windows 2012 独立 CA(现在是可选的,将来将成为强制性的)
- 避免因删除 CA 而导致的任何服务中断
问题是:
- 即使服务未启动,是否可以从这个旧的 2003 中删除 Enterprise CA?
- 在生产环境中删除 Enterprise CA 是否安全?
- 删除会对客户端操作(如登录)、网络资源访问(如网络共享)等产生任何影响吗?
欢迎提出任何建议和/或意见。提前致谢
答案1
即使服务未启动,是否可以从这个旧的 2003 中删除 Enterprise CA?
是的。转到“添加或删除程序”,然后添加/删除 Windows 组件并从那里卸载 CA 角色。按照以下指南停用 Microsoft CA 服务器:https://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx
在生产环境中删除 Enterprise CA 是否安全?
对于你来说,是的。
删除会对客户端操作(如登录)、网络资源访问(如网络共享)等产生任何影响吗?
就你的情况来说,不是。