ADCS 同じ名前で再インストールするとエンタープライズCAがグレーアウトで構築できない事象があるようです。検証などで再構築する場合に注意が必要ですね。

 

情報元はこちら。

 

ADCS　再インストールの際にエンタープライズCAがグレーアウトして選択出来ない。

https://social.technet.microsoft.com/Forums/ja-JP/81171d3f-87d5-481d-94bb-6cca271c0a61/adcs122882087712452125311247312488125401252312398385551239512456?forum=windowsserver2019ja

 

以下は質問内容の抜粋です。

 

ADサーバが2台あり、1台目のサーバでADCSサービスをインストールし、運用しておりました。権限はEnterpriseAdminのユーザーで作業しております。

慣れていないエンジニアがRoot証明書のキーの書き換えを実行し、Root証明書が複数存在するなど煩雑になってきたため、ADCSサービスを再インストールする事にしました。

再インストールは以下のURLの手順から実施しておりましたが

step5のコマンドプロンプトによる　certutil -delkey　がうまくいかずそのままADCSサービスをアンインストールしたようです。

https://docs.microsoft.com/en-US/troubleshoot/windows-server/windows-security/decommission-enterprise-certification-authority-and-remove-objects

そのままStepを進めた後にADCSサービスを再インストールしましたが

構成の段階で「エンタープライズ認証局」と「スタンドアロン認証局」の選択でエンタープライズ認証局が選択出来なかったため、作業を中止しました。インストール出来ない理由はやはり以前の情報が残っているためでしょうか？

 

会社の社内で使うローカル証明機関だとADCSが便利ですが、運用が重要ですね。

 

 

続いて回答内容です。

 

この件、返答できなくてすみません。kkamegawaさんの指摘通り、一般にAD CSの情報は、以下3つに含まれていて、それらすべてを削除しきらないと、「同じ名前の証明機関」の作成に支障は出ると思います。

Active Directory上の、証明機関/CRL/AIA情報のすべて
AD CSサーバー上の、証明機関関連のレジストリ情報
AD CSサーバー上の、ルート証明書とデータベース一式
なので、新しく証明機関を作る場合、新しいルート証明書はもちろんのこと、新しいCA名を設定することを強く奨めます。CA名にはサーバー名が含まれていますが、コレを異なる名前に設定しても、動作に影響はありません。もちろん新規設定ですので、すべてが新しいモノとして扱われ、証明書全部が再発行・再配布の必要があります。

 

ＡＤ上の情報が残っていることが原因のようですね。その他、そのページのstep6にあるRemove CA Objects from Active Directoryを実行するとEnterprise CAの指定ができるようになりましたとあります。

 

同じ名前のADCSを再インストールしようしてはまっている場合は参考になりますね。