ADCSで、環境は検証などによって、古いルート証明書が削除されず、クライアントに複数配信される事象があるようです。
情報元はこちら
古いルート証明書が削除されず、クライアントに複数配信される。
以下は質問の抜粋です。
===
手順書を作成するために「ActiveDirectory証明書サービス」をアンインストールして、再インストールすると、古い証明書(初回インストール時の日付のもの)も配信されるようになりました。
ご教授よろしくお願いいたします。
【現象】
クライアントPCにてドメイン参加時、「信頼されたルート証明書」にルート証明書が複数配信(新しいものと古いもの)される。
「中間証明機関」は新しいもののみ。
【原因】
「ActiveDirectory証明書サービス」を再インストールしたことにより、過去の証明書情報が残っているものとおもわれる。
【希望】
クライアントPCにてドメイン参加時、「信頼されたルート証明書」に新しいルート証明書のみ配信するようにしたい。
<「ActiveDirectory証明書サービス」のインストール方法>
Windows2012サーバーで以下のように「ActiveDirectory証明書サービス」をインストールしました。
1.[Active Directory 証明書サービス]インストール
2.[証明機関]、[証明書Web登録]、[証明書の登録Webサービス]インストール
3.「Active Directory 証明書サービスを構成する。」
・エンタープライズCA
・ルートCA
4・CESの認証の種類:[Windows統合認証]
===
続いて、回答の抜粋です。
===
使わなくなったCA証明書をActiveDirectoryから削除する方法が、TechNetの「使用していないオブジェクトを Active Directory コンテナーから削除する」で説明されています(2008R2向けの記事ですが)。
誤って使用中の証明書を削除しないように、くれぐれもご注意下さい。
Delete Unused Objects from Active Directory Containers | Microsoft Docs
===
「mmc」からエンタープライズPKIを実行、見事に古い証明書が残っており、同削除にてクライアントに配信されなくなったとあります。
ルートCA証明書がADに格納されていて、削除が必要ということですね。有効期限切れ、古い証明書が配布されないようにするのに必要な情報です。