Я унаследовал домен Active Directory, в котором были установлены службы сертификации, но не использовались должным образом и не были задокументированы. Я хотел бы обновить инфраструктуру и фактически использовать службы для многих приложений, связанных с безопасностью, но я не уверен, чего ожидать или с чего начать. В общем, мне интересно, была ли у кого-то еще похожая проблема и какой процесс использовался. В конечном итоге я хотел бы начать все сначала и сделать все правильно, но я не выяснил, возможно ли это, или есть ли какие-либо приложения, которые могут выйти из строя. Из того, что я нашел до сих пор, служба в основном использовалась для снабжения сайтов разработки сертификатами. Пользователям выдаются сертификаты, но я никогда не сталкивался с какими-либо случаями их использования. Любая информация/помощь будут высоко оценены.
Спасибо.
решение1
Я удалил Enterprise CA из домена AD (Windows 2003), который я "унаследовал", и начал с нового Enterprise CA без каких-либо негативных последствий. Я следовал инструкциям в этой статьеhttp://support.microsoft.com/kb/889250а затем началось новое развертывание.
В целом, я считаю, что все прошло очень гладко.
(Вероятно, мой клиент был похож на вашего. Они установили его, не использовали ни для чего, а затем были на грани уничтожения машины, на которой работал корень корпоративного CA. Мне нужны были сертификаты для аутентификации WPA2-RADIUS, а в итоге я попал прямо в крысиное гнездо с хламом.)
решение2
Если вы на 100% уверены, что сертификаты не используются, то вы можете следовать KB 889250 и вывести их из эксплуатации. Но сначала вы должны убедиться, что они не используются, потому что в худшем случае superimportantapp сломается на полпути, и вам придется исправить PKI, который вы только что сломали, чтобы вернуть его в рабочее состояние. После того, как вы выполните certutil -delkey CertificateAuthorityName, заставить сертификаты работать снова станет, мягко говоря, интересно. Прежде всего, не торопитесь.