Добрый день, коллеги!

Помогите разобраться с возможно элеметарным вопросом. Является ли необходимым настройка центра сертификации в домене для его нормального функционирования?

Дело в том, что есть уже поднятый домен с двумя КД. На одном из КД поднята служба Certification Authority (центр сертификации). Этот самый КД подлежит удалению из домена. Будет добавлен новый сервер. Теперь вопрос - нужно ли поднимать на новом сервере эту службу? Будет ли ее без нее домен функционировать нормально?

Добавлю, что в домене еще есть Exchange 2003 и ISA Server 2004.

Я почитал про службу сертификаци http://www.oszone.net/4022/Certificate_Services , но так и не понял, Для функционирования самого домена (почты, интернета и т.п.) - эта служба необходима или нет?

В самом общем случае - не обязательна. Необходима при:
1. Защита потоков с внешних узлов на публикуемые (https, Outlook Anywhere, ActiveSync etc.)
2. Использование в сети IPSec.
3. Использование систем защиты почты при помощи S\MIME
4. Использование электронной цифровой подписи.
Если этого у вас нет, можно обойтись без CA.
P.S. Мой список можно дополнить\исправить :)

Выяснил, что почта Exchange опубликована в инет по протоколу https, для этого в ИСА указан сертификат, который, видимо, и был создан с помощью СА на этом КД. Я попробовал отключить службу СА на сервере, почта через Интернет не перестала работать. То есть если я правильно понял, то после генерации нужного сертификата эту службу можно остановить или даже удалить безболезненно? Тогда зачем в этой оснастке прописаны сертификаты для серверов-контроллеров домена? Какую роль они выполняют?

По поводу остального из списка - ничего в сети больше не используется.

то после генерации нужного сертификата эту службу можно остановить или даже удалить безболезненно? »
А через пять лет (срок жизни сертификата по умолчанию) выдрать себе все волосы во всех местах :)
На старом CA забэкапьте сертификат корневого СА, с закрытым ключом, разумеется. А после этого разверните на новом с использованием этого сертификата. Тогда все клиенты, которые считали Ваш OWA родным, продолжат его таковым считать.
Вот Вам для самообразования:
По-русски-
http://www.fcenter.ru/online.shtml?articles/software/os/12042
http://www.winblog.ru/2006/11/23/23110606.html
по-нерусски-
http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx
Как освоите - будете БОЛЬШОЙ молодец!

Oleg Krylov,
Ну, во-первых, у меня там сертификаты на два года. Как поменять их срок до 5? Именно их, а не заново создаваемых.

По поводу переноса сервера - тут http://support.microsoft.com/kb/298138 написано, что нужно полностью убрать старый сервер и назвать новый сервер как старый. Но я уже назвал новый сервер и имя старого сервера совсем к нему не приемлимо :(

Получается нужно заново все сертификаты создавать?