我最近尝试按照以下说明更新 clmAgent 用户帐户的证书:
http://technet.microsoft.com/en-us/library/hh149034%28v=ws.10%29.aspx
我使用 clmAgent 帐户登录,转到证书 MMC,右键单击当前用户->个人存储中的 clmAgent 证书,然后选择“使用新密钥更新证书...”
证书更新成功。然后,我使用新证书指纹/哈希更新了 web.config。我还将新指纹添加到 CA 上策略模块下的签名证书选项卡。然后,我执行了 iisreset 并重新启动了 FIM CM 更新服务。
现在 FIM 可以发行新的智能卡,但无法淘汰现有的智能卡。当我尝试执行淘汰操作时,出现错误“根级别的数据无效。第 1 行。位置 1。“CNG 密钥隔离服务正在运行。证书模板版本为 2003,未发生更改。此外,它使智能卡看似不可用,因为它会擦除卡上的数据,但 FIM 坚持认为该卡仍在使用中,因此我无法重新注册它。
答案1
回答我自己的问题。
由于我使用新的私钥更新了代理证书,这意味着我必须将新证书的哈希值作为 Clm 放在 web.config 文件中。加密.Certificate.Hash 用于未来的新智能卡,但我不得不离开 Clm。解密.Certificate.Hash 作为前一个(现已存档)证书的指纹,以便使用旧证书部署的智能卡可以解密并退役。