none
如何清除离线企业根证书服务器? RRS feed

  • 问题

  • 环境:

    Windows Server 2016 AD,有3台,DC-A,DC-B,DC-CA(Hyper-V 虚拟机)。

    DC-CA,具有企业根证书服务,为Exchange 2016颁发了多域名证书。

    由于误操作,DC-CA被删除了,无法恢复。

    请问:

    1.如何在AD清理DC-CA的企业根证书服务对象,让DC-CA重新部署,启用企业根证书服务?

    2.旧的DC-CA颁发给Exchange 2016的证书,应该如何处理?

    3.新的DC-CA启用后,再次为Exchange 2016 颁发多域名证书,需要注意什么?

    4.客户端是否都需要安装新的根证书?

    2020年11月11日 5:06

答案

  • Hello Paul,

    感谢您的回复。

    我们可以参考链接中的说明,手动删除CA驻留在 Windows Active Directory 中的对象和数据。删除这些对象和数据后,原CA颁发的证书应该就不能正常使用了。对于Exchange的多域名证书,我们不是很了解。根据我的理解,之后我们重新建CA后,可以看下观察下是否可以正常使用。

    我们找到的官方的文档,可以参考的。希望对您有所帮助。

    另外,在实际应用环境中,建议将证书服务器独立部署,不建议和域控制器部署在同一台服务器中。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月12日 3:30

全部回复

  • 尊敬的客户,你好

    感谢您的发帖。

    根据您的描述,我们了解,我们有三台DC,其中一台DC(DC-CA)上面安装企业根证书服务。

    请问,我们的DC-CA是如何删除的呢?是正常删除的吗?即移除所有的角色和服务吗?
    另外我们的CA有正常备份吗?

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月11日 9:50
  • Hannah Xiong,

    DC-CA是运行在Hyper-V上,手动误删了,备份服务器的备份副本受损,不能恢复了。

    所以,整个CA服务器,非正常删除,非正常移除所有角色和服务,CA的备份,也没有了。

    有点像DC崩溃了,不可恢复,要手动通过ADsite工具删除的情况。

    我在网上找到如下的连接,不知是否可用?

    https://blog.csdn.net/weixin_34315189/article/details/85552247

    https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/identity/delete-enterprise-windows-certificate-authority

    https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/delete-enterprise-windows-certificate-authority

    https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/decommission-enterprise-certification-authority-and-remove-objects

    我担心的是Exchange服务器申请的多域名证书,重新建CA后,如何操作才能避免与旧的CA证书冲突?

    还有,旧CA对像在AD的残留,如何清理干净,不影响新建的CA,还好,CA只提供了Exchange的多域名证书,没有其他应用使用。

    Paul


    2020年11月12日 1:42
  • Hello Paul,

    感谢您的回复。

    我们可以参考链接中的说明,手动删除CA驻留在 Windows Active Directory 中的对象和数据。删除这些对象和数据后,原CA颁发的证书应该就不能正常使用了。对于Exchange的多域名证书,我们不是很了解。根据我的理解,之后我们重新建CA后,可以看下观察下是否可以正常使用。

    我们找到的官方的文档,可以参考的。希望对您有所帮助。

    另外,在实际应用环境中,建议将证书服务器独立部署,不建议和域控制器部署在同一台服务器中。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月12日 3:30
  • Hello Paul,

    请问我们的问题解决了吗?如有任何问题,请回复并告诉我们当前的情况,以便提供进一步的帮助。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月16日 2:32
  • 这是一个有意思的话题。有时间的时候,做个试验测试看看,留下标记。
    2020年11月16日 5:54
  • Hannah Xiong,

    经过对本地Exchange,迁移到M365后。

    最近,才按照连接,将CA相关的服务和对象,手动删除。

    同时,该服务器也作为DC,也在AD清除相关的对象。

    暂时,没有发现有问题。

    Paul

    2020年12月7日 7:19
  • Hi,Paul

    能不能写明你是按哪一个链接做的呀?

    或者写个1、2、3步骤之类的。给我们心中彻底解惑啊。

    2020年12月21日 3:00