MIM 2016 - 如何升级 MIM CM 使用的证书颁发机构

信息

公司可能需要定期更换或升级证书颁发机构， (CA) 。 这通常与从 Forefront Identity Manager 2010 R2 (FIM 2010 R2) 或 Microsoft Identity Manager 2016 (MIM 2016/MIM 2016 SP1) 到 MIM 2016 SP2 的升级/迁移一起完成。 执行此操作的一种常见方法是建立新的服务器/VM 来托管 CA，将 CA 数据库移动到新服务器，然后开始使用新升级的 CA。 如果新服务器/VM 的名称与原始 CA 服务器的名称不同，则配置文件模板中的证书模板信息将中断，因为它引用了原始 CA 名称。

升级 MIM CM 解决方案使用的证书颁发机构时，为托管新/升级的证书颁发机构的服务器以及证书颁发机构名称本身保持相同的服务器/计算机名称至关重要。   如果使用其他 CA 服务器名称或 CA 名称，它将中断 MIM CM 解决方案。

• 有多个文档链接和文章，你可以在其中了解如何将 CA 还原到具有不同服务器名称的服务器，但这样做会破坏 MIM CM 解决方案。

• 保持相同的 CA 名称是直接的，因为按照说明将 CA 还原到新服务器时，将执行此操作。

如果服务器名称已更改，则可能会发生以下错误：

• 尝试的所有配置文件模板工作流都将导致 RPC 错误、找不到 CA 错误或 CA 已停用错误。

• MIM CM 不会吊销颁发给原始 CA 的证书。 它们似乎在门户中以无提示方式失败，但会在 MIM CM 事件日志中引发异常，指出 CA 已解除授权。

可以记录以下 (，但不仅可以记录这些) 错误消息：

• CA 的指定名称或服务器名称无效。

• 无法联系证书颁发机构<CA-Name>，因为它被标记为已停用。

解决方案

如果将 CA 迁移到具有新 CA 服务器名称的服务器，该名称显示在 clmutil.exe -listCa 命令中返回了其他 CA 服务器，请执行下列操作：

1. 更新 CA 以将 CA 服务器名称更改为原始名称。

2. 将 MIM CM 数据库还原到 CA 服务器升级之前备份的版本。  

参考  

Microsoft Identity Manager发布历史记录  

部署 MIM 证书管理器 Windows 应用程序 |Microsoft Learn

如何将证书颁发机构移动到另一台服务器 - Windows Server |Microsoft Learn