一个多月前,我们停用了旧的 Exchange 2003 服务器。该服务器也是我们的 CA(使用并不广泛)。我已在站点和服务中删除了此旧 CA 的所有痕迹(证书模板除外)。删除这些是否安全?
我们的新 DC 都是 Server 2012,我想建立一个新的 CA,但我想确保在此之前我已经清除了旧 CA 的所有痕迹。我是否应该担心这些旧证书模板,或者新 CA 是否会直接覆盖它们?
答案1
删除它们没什么坏处,因为它们反正也没用。清理旧服务器通常意味着删除一切相关,所以没有冲突。
答案2
要正确停用企业 CA,需要采取非常具体的步骤。请按照如何解除 Windows 企业证书颁发机构的授权以及如何从 Windows Server 2003 和 Windows Server 2000 中删除所有相关对象。
基本内容如下:
步骤 1:撤销企业 CA 颁发的所有有效证书
步骤 2:增加 CRL 发布间隔
步骤 3:发布新的 CRL
步骤 4:拒绝所有待处理的请求
步骤 5:从服务器卸载证书服务
步骤 6:从 Active Directory 中删除 CA 对象
步骤 7:删除发布到 NtAuthCertificates 对象的证书
步骤 8:删除 CA 数据库
步骤 9:清理域控制器