Windows-Server-2008-R2
手動更新證書後 FIM CM 損壞
我最近嘗試根據以下說明更新 clmAgent 使用者帳戶的證書:
http://technet.microsoft.com/en-us/library/hh149034%28v=ws.10%29.aspx
我使用 clmAgent 帳戶登錄,進入 Certificates MMC,右鍵點擊 Current User -> Personal store 中的 clmAgent 證書,然後選擇“Renew Certificate with New Key…”
證書更新成功。然後我用新證書指紋/雜湊更新了 web.config。我還在 CA 的 Policy Module 下的 Signing Certificates 選項卡中添加了新的指紋。然後我做了一個 iisreset 並重新啟動了 FIM CM 更新服務。
現在 FIM 能夠發行新的智能卡,但無法淘汰現有的智能卡。當我嘗試退出操作時,我收到錯誤“根級別的數據無效。第 1 行。位置 1。 ” CNG 密鑰隔離服務正在執行。證書模板版本為 2003,未更改。此外,它使智能卡看起來無法使用,因為它會擦除卡上的數據,但 FIM 堅持認為該卡仍在使用中,因此我無法重新註冊它。
回答我自己的問題。
由於我使用新的私鑰更新了代理證書,這意味著我必須將新證書的雜湊作為 Clm 放在 web.config 文件中。加密.Certificate.Hash 用於未來的新智能卡,但我不得不離開 Clm。解密.Certificate.Hash 作為以前(現在已存檔)證書的指紋,以便使用舊證書部署的智能卡可以解密並因此退役。