証明機関の削除および再構築

証明機関の削除および再構築は、結構難解である。

（質問）

失効したエンタープライズPKIの削除

 

○○○○様

お世話になります。

状況説明がなっておらず申し訳ございません。

ルート認証局として稼動させていたドメインコントローラがクラッシュしまして、違うマシンにてドメインコントローラを再構築し、ルート証明書も新たに構築しました。環境は下記になります。

 

DC(A):windows2003server

役割：スキーママスタ、ルート証明局

DC(B):Windows2008server

役割：移行用

DC(C):Windows2003server R2

役割：中間証明局

 

クラッシュですが人為的な事故でして、DCのホスト名変更（Aを降格するため、Bの名称をAに変更）を試みて失敗してしまいDC（B）がActiveDirecotoryにアクセスできなくなってしまいました。

降格する前にDC(A)からはルート証明書をアンインストールしていました。

※DC(C)の中間証明局は削除せずに残していました。

DC(A)は降格した後であり、復旧することはできなかったため、DC(B)を再セットアップしました。

そのため、ルート証明書は新たに作り直しております。

証明機関を起動するとルート証明書が格納されたフォルダが表示され、自分が作成した「New Root CA」がありますが、、これとは他に「エンタープライズPKIというフォルダができており、そこに以前の失効した「old root CA」があります。それを削除することができません。期限切れとでてきてしまいます。

中間証明局をアンインストールせずにネットワークに残したまま、ルートCAの再構築を始めてしまったのでそれでおかしくなってしまったのかもしれないと考えています。

ルート証明局、中間証明局をアンインストールしてもう一度再構築することで削除することは可能でしょうか。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）

○○○○です。

参考情報として、証明機関を削除する方法について、MSの資料を紹介しておきます。ただし、(安易に実行されることはないでしょうが)MSの有償サポートなど「きちんとわかるエンジニア」の指示で作業されることを、強くお奨めします。

証明機関をアンインストールする

実際はうえの作業を行なった後、したの情報を完全に削除しないと、クリーンな状態にできないでしょう。

・CA データベース

・CA の公開キーと秘密キー

・個人ストア内の CA の証明書

・共有フォルダー内の CA の証明書 (AD CS のセットアップ時に共有フォルダーを指定した場合)

・信頼されたルート証明機関ストア内の CA チェーンのルート証明書

・中間証明機関ストア内の CA チェーンの中間証明書

・CA の CRL

状況によっては CA に関する Active Directory オブジェクトを手動で削除する必要があるときがあります。そのような場合は、したのページのような対応が必要です。

 

使用していないオブジェクトを Active Directory コンテナーから削除する

 

Windows Server 2003 の証明書サービスの削除については、したのページが役立つでしょう。

 

Windows エンタープライズ証明機関の使用を停止する方法と、Windows Server 2003 および Windows 2000 Server から関連するすべてのオブジェクトを削除する方法

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/2296cc9d-912d-47d1-a360-28a63d69e57c/#60247d43-69be-4c33-b684-ffdad54bb404