ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ADCSの削除、アンインストールは手順が複雑 発行済み証明書の失効などが必要

ちょっと検証で構築したADCSの削除しようと調べていたんですが、手順が想像していた以上に複雑だったので、備忘録代わりにメモです。発行済み証明書の失効など、色々と作業が必要になります。


簡単に作業できないレベルの手順量なので、実際に実施する場合は、慎重にすすめる必要がありそうです。

 

How to decommission a Windows enterprise certification authority and remove all related objects

https://support.microsoft.com/en-sg/help/889250/how-to-decommission-a-windows-enterprise-certification-authority-and-r

 


証明機関(CA)をアンインストールすると、CAによって発行された証明書は通常、未処理のままです。未処理の証明書がさまざまな公開キー基盤クライアントコンピューターによって処理される場合、検証は失敗し、それらの証明書は使用されませんとのこと。

 


以下は機械翻訳ですが、ざっと、ADCSのサービスアンインストールまで以下の作業が必要です。

 

ステップ1:エンタープライズCAによって発行されたすべてのアクティブな証明書を取り消す

①[ スタート]ボタンをクリックし、[管理ツール]をポイントして、[ 証明機関 ]をクリックします。
②CAを展開し、[ 発行済み証明書 ]フォルダーをクリックします。
③右側のウィンドウで、発行された証明書のいずれかをクリックし、Ctrl + Aキーを押して発行されたすべての証明書を選択します。
④選択された証明書を右クリックし、[クリックしすべてのタスクを、 [OK]をクリックします証明書の失効を。
⑤[証明書の失効 ]ダイアログボックス、クリックして選択します利用中止を失効する理由として、[OK]をクリックしますOK。

ステップ2:CRL発行間隔を増やす
①証明機関Microsoft管理コンソール(MMC)スナップインで、[ 失効した証明書 ]フォルダーを右クリックし、[ プロパティ ]をクリックします。
②[ CRL発行間隔]ボックスに適切な長さの値を入力し、[ OK ]をクリックします。
注証明書失効リスト(CRL)の有効期間は、失効した証明書の有効期間より長くする必要があります。

ステップ3:新しいCRLを公開する
①証明機関MMCスナップインで、[失効した証明書 ]フォルダーを右クリックします。
②[ すべてのタスク ]をクリックし、[発行 ]をクリックします。
③[ CRLの発行 ]ダイアログボックスで、[新しいCRL ]をクリックし、[ OK ]をクリックします。

ステップ4:保留中のリクエストを拒否する
デフォルトでは、エンタープライズCAは証明書要求を保存しません。ただし、管理者はこのデフォルトの動作を変更できます。保留中の証明書要求を拒否するには、次の手順を実行します。

①証明機関MMCスナップインで、[保留中の要求]フォルダーをクリックします。
②右側のペインで、保留中の要求のいずれかをクリックし、Ctrl + Aキーを押して保留中のすべての証明書を選択します。
③選択した要求を右クリックし、[ すべてのタスク ]をクリックして、[要求の拒否 ]をクリックします。


とここでようやくADCSを削除する準備ができます。

 

手順5:サーバーから証明書サービスをアンインストールする

①証明書サービスを停止するには、[ スタート ]ボタン、[ ファイル名を指定して実行 ]の順にクリックし、cmdと入力して[ OK ]をクリックします。
コマンドプロンプトで、「certutil -shutdown」と入力し、Enterキーを押します。
コマンドプロンプトで、「certutil -key」と入力し、Enterキーを押します。このコマンドは、インストールされているすべての暗号化サービスプロバイダー(CSP)の名前と、各プロバイダーに関連付けられているキーストアを表示します。リストされたキーストアの中にリストされているのは、CAの名前です。次の例に示すように、名前は数回リストされます。

④CAに関連付けられている秘密キーを削除します。これを行うには、コマンドプロンプトで次のコマンドを入力し、Enterキーを押します。
> certutil -delkey CertificateAuthorityName
注 CA名にスペースが含まれる場合は、名前を引用符で囲みます。

⑤キーストアを再度一覧表示して、CAの秘密キーが削除されたことを確認します。

 


■■■Windows Server 2008以降のバージョン■■■

エンタープライズCAをアンインストールする場合、Enterprise Adminsのメンバーシップ、または同等のメンバーシップが、この手順を完了するために最低限必要です。詳細については、「役割ベースの管理を実装する」を参照してください。

CAをアンインストールするには、次の手順を実行します。
①[ スタート]ボタンをクリックし、[ 管理ツール]をポイントして、[ サーバーマネージャー ]をクリックします。
②以下の下で[役割の概要、クリック役割を削除する削除ロールウィザードを起動し、[OK]をクリックします次へ。
③[ Active Directory証明書サービス]チェックボックスをオフにし、[ 次へ ]をクリックします。
④[ 削除オプションの確認 ]ページで情報を確認し、[ 削除 ]をクリックします。
⑤インターネットインフォメーションサービス(IIS)が実行されており、アンインストールプロセスを続行する前にサービスを停止するように求められた場合は、[ OK ]をクリックします。
⑥役割の削除ウィザードが完了したら、サーバーを再起動します。これで、アンインストールプロセスが完了します。

単一のサーバーに複数のActive Directory証明書サービス(AD CS)役割サービスがインストールされている場合、手順はわずかに異なります。CAをアンインストールするが、他のAD CS役割サービスを保持するには、次の手順を実行します。

注 この手順を完了するには、CAをインストールしたユーザーと同じ権限でログオンする必要があります。エンタープライズCAをアンインストールする場合、Enterprise Adminsのメンバーシップ、または同等のメンバーシップが、この手順を完了するために最低限必要です。詳細については、「役割ベースの管理を実装する」を参照してください。

①[ スタート]ボタンをクリックし、[ 管理ツール]をポイントして、[ サーバーマネージャー ]をクリックします。
②以下の下で[役割の概要、クリックActive Directory証明書サービスを。
③下では役割サービス、クリックする役割サービスを削除します。
④[ 証明機関]チェックボックスをオフにし、[ 次へ ]をクリックします。
⑤[ 削除オプションの確認 ]ページで情報を確認し、[ 削除 ]をクリックします。
IISが実行されていて、アンインストールプロセスを続行する前にサービスを停止するように求められたら、[ OK ]をクリックします。
⑦役割の削除ウィザードが完了したら、サーバーを再起動する必要があります。これで、アンインストールプロセスが完了します。

オンラインレスポンダーサービスなどの残りの役割サービスが、アンインストールされたCAからのデータを使用するように構成されている場合、これらのサービスを再構成して別のCAをサポートする必要があります。CAがアンインストールされた後、次の情報がサーバーに残ります。

・CAデータベース
・CAの公開キーと秘密キー
・個人ストア内のCAの証明書
・AD CSのセットアップ中に共有フォルダーが指定された場合、共有フォルダー内のCAの証明書
・信頼されたルート証明機関ストア内のCAチェーンのルート証明書
・中間証明機関ストアにあるCAチェーンの中間証明書
・CAのCRL

デフォルトでは、CAをアンインストールしてから再インストールする場合に備えて、この情報はサーバーに保持されます。たとえば、スタンドアロンCAをエンタープライズCAに変更する場合は、CAをアンインストールして再インストールします。


とかなり長いのでこのあたりとしますが、削除は簡単ではないことがわかります。一旦自宅で削除してみて注意点があれば別途アップします。