Möglicherweise müssen Sie von Zeit zu Zeit eine Zertifizierungsstelle (Certification Authority, CA) deinstallieren. Clients können in diesem Fall jedoch keine Anfragen an die Zertifizierungsstelle senden. Außerdem werden einige Anwendungen, die von der Public-Key-Infrastruktur (Public Key Infrastructure, PKI) abhängig sind, nicht mehr ordnungsgemäß ausgeführt, da eine zum Überprüfen der Gültigkeit und des Sperrstatus eines Zertifikats erforderliche Zertifizierungsstelle deinstalliert wurde.
Wenn Sie die Zertifizierungsstelle vor ihrem erwarteten Ablaufdatum unwiderruflich außer Betrieb nehmen, sollte das Zertifizierungsstellenzertifikat von seiner übergeordneten Zertifizierungsstelle aufgrund des "Vorgangsendes" gesperrt werden. Wenn es sich bei der Zertifizierungsstelle um eine selbstsignierte Stammzertifizierungsstelle handelt, sollten alle nicht abgelaufenen Zertifikate gesperrt und eine Zertifikatsperrliste (Certificate Revocation List, CRL) mit derselben Begründung generiert werden. Dadurch wird angegeben, dass die Zertifikate nicht mehr gültig sind, da die Zertifizierungsstelle außer Betrieb genommen wurde.
Es ist wichtig, dass die Deinstallation einer Unternehmenszertifizierungsstelle ordnungsgemäß vorgenommen wird, damit sichergestellt wird, dass das Registrierungsobjekt der Zertifizierungsstelle aus den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) entfernt wird. Anderenfalls versuchen AD DS-Clients möglicherweise auch weiterhin, sich bei dieser Zertifizierungsstelle zu registrieren. Wenn eine Unternehmenszertifizierungsstelle nicht normal deinstalliert werden kann, können Sie die Zertifizierungsstellenobjekte mithilfe des Snap-Ins Unternehmens-PKI manuell aus AD DS entfernen.
 | Hinweis |
|
Sie sollten den gesamten Server sichern, bevor Sie die Zertifizierungsstelle deinstallieren. |
Sie müssen mindestens Mitglied der Gruppe Organisations-Admins oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren ausführen können.
 | So entfernen Sie nicht verwendete Zertifikatobjekte aus Active Directory-Containern |
Öffnen Sie das Snap-In Unternehmens-PKI.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Unternehmens-PKI, und klicken Sie anschließend auf AD-Container verwalten.
Wählen Sie einen der Container und anschließend mindestens ein Objekt in diesem Container aus.
Klicken Sie auf Anzeigen, um den Inhalt aller Objekte zu überprüfen, wenn Sie nicht sicher sind, ob einige der ausgewählten Objekte zu der Zertifizierungsstelle gehören, die Sie gerade deinstallieren.
Klicken Sie auf Entfernen.
Wählen Sie einen anderen Container aus, und wiederholen Sie die Schritte 3 bis 5, bis Sie alle nicht mehr benötigten Objekte entfernt haben.