Я унаследовал домен Active Directory, в котором были установлены службы сертификатов, которые не использовались должным образом и не документированы. Я хотел бы обновить инфраструктуру и на самом деле использовать службы для многих приложений, связанных с безопасностью, но я не уверен, чего ожидать и с чего начать. В принципе, мне интересно, была ли у кого-нибудь подобная проблема и какой процесс использовался. В конечном итоге я бы хотел начать все сначала и сделать все правильно, но я не выяснил, возможно ли это, и есть ли какие-либо приложения, которые могут сломаться. Насколько я понял, эта служба в основном использовалась для предоставления сертификатов сайтам разработки. Пользователям выдаются сертификаты, но я никогда не встречал, чтобы они использовались. Любая информация / помощь приветствуются.
Спасибо.
Если вы на 100% уверены, что сертификаты не используются, вы можете выполнить KB 889250 и списание. Но вы должны сначала убедиться, что они не используются, потому что в худшем случае приложение будет сломано на полпути, и вам нужно исправить только что сломанный PKI, чтобы снова запустить его. Как только вы выполните команду certutil -delkey CertificateAuthorityName, заставить сертификаты снова работать становится, мягко говоря, интересно. Прежде всего, не торопитесь.
Я удалил Enterprise CA из домена AD (Windows 2003), который я "унаследовал", и начал работать с новым Enterprise CA без каких-либо негативных последствий. Я следовал инструкциям в этой статье http://support.microsoft.com/kb/889250 а затем начал новое развертывание.
В целом, я чувствовал, что все прошло очень гладко.
(Мой клиент, вероятно, был похож на вашего. Они установили его, ни для чего не использовали, а затем были на грани уничтожения машины, на которой запущен корень ЦС предприятия. Мне понадобились сертификаты для аутентификации WPA2-RADIUS, и я закончил прямо в крысиное гнездо хлама.)