我最近尝试根据以下说明为 clmAgent 用户帐户续订证书:
http://technet.microsoft.com/en-us/library/hh149034%28v=ws.10%29.aspx
我使用 clmAgent 帐户登录,转到 Certificates MMC,在当前用户 -> 个人存储中右键单击 clmAgent 证书,然后选择“使用新密钥更新证书...”
证书更新成功。然后我用新证书指纹/哈希更新了 web.config。我还将新指纹添加到 CA 策略模块下的签名证书选项卡中。然后我执行了 iisreset 并重新启动了 FIM CM 更新服务。
现在 FIM 能够发行新的智能卡,但无法淘汰现有的智能卡。当我尝试退出操作时,出现错误“根级别的数据无效。第 1 行。位置 1。 ”CNG 密钥隔离服务正在运行。证书模板版本为 2003 且未更改。此外,它使智能卡看起来无法使用,因为它会擦除卡上的数据,但 FIM 坚持认为该卡仍在使用中,因此我无法重新注册它。
回答我自己的问题。
由于我使用新的私钥更新了代理证书,这意味着我必须将新证书的哈希作为 Clm 放入 web.config 文件中。Encryption .Certificate.Hash 用于未来的新智能卡,但我不得不离开 Clm。解密.Certificate.Hash 作为以前(现在已存档)证书的指纹,以便使用旧证书部署的智能卡可以被解密并因此退役。