Herdei um domínio do Active Directory onde os serviços de certificado foram instalados e não foram bem utilizados e não foram documentados. Gostaria de renovar a infra-estrutura e realmente utilizar os serviços para muitas aplicações relacionadas à segurança, mas não tenho certeza do que esperar ou por onde começar. Basicamente, estou me perguntando se alguém teve um problema semelhante e qual processo foi usado. Em última análise, gostaria de recomeçar e fazer as coisas corretamente, mas não descobri se isso é possível ou se há algum aplicativo que possa quebrar. Pelo que descobri até agora, o serviço foi usado principalmente para fornecer certificados aos sites de desenvolvimento. Os usuários recebem certificados, mas nunca encontrei nenhuma instância deles sendo usada. Qualquer informação/ajuda é muito apreciada.
Obrigado.
Responder1
Removi uma CA corporativa de um domínio AD (Windows 2003), "herdei" e comecei com uma nova CA corporativa sem efeitos nocivos. Eu segui as instruções deste artigohttp://support.microsoft.com/kb/889250e então comecei com uma nova implantação.
No geral, senti que tudo correu muito bem.
(Meu cliente era semelhante ao seu, provavelmente. Eles o instalaram, não o usaram para nada e estavam prestes a destruir a máquina que executava a raiz CA corporativa. Eu precisava de certificados para autenticação WPA2-RADIUS e encerrei andando direto para um ninho de lixo de ratos.)
Responder2
Se você tiver 100% de certeza de que os certificados não estão sendo usados, siga KB 889250 e desative. Mas você precisa ter certeza de que eles não estão sendo usados primeiro, porque o pior cenário é que no meio do caminho o aplicativo superimportante está quebrado e você precisa consertar o PKI que acabou de quebrar para colocá-lo novamente em funcionamento. Depois de fazer certutil -delkey CertificateAuthorityName, fazer com que os certificados funcionem novamente fica interessante, para dizer o mínimo. Acima de tudo, não tenha pressa.