步骤 3：提交新的子权限证书

自动提交流程

如果您具有代理且一切按计划进行，30 后天所有代理应已签入且开始接收新证书，系统将自动提交新的子颁发机构证书。 有关详细信息，请参阅发布提交后会发生什么？标题下的部分。

手动提交流程

您可以因以下原因而选择手动发布提交命令：

• 如果您不具有代理，则可手动强制提交，无需等待 30 天。
• 如果存在代理，并且系统在 30 天后（或根据维护任务的 Security Controls 内部优化定义）没有自动提交到新证书，请评估为什么没有提交。

Stmgmt.exe -commit_authority 将告知您执行提交时可能失败的计算机的名称。

可能会出现许多异常的问题、错误或警告，因此导致无法自动提交。 最可能的原因是代理相关问题，如一个或多个孤立的代理未签入（且永远不会）。 您可以进行的选择是 (1) 找到一种方法让这些代理签入，(2) 从计算机视图中删除计算机，(3) 标记计算机以卸载其代理（即使计算机从未签入以接卸载命令，事实是 Security Controls 已指示卸载代理应足以解决该计算机的错误/问题），或者 (4) 您可以手动发出提交并永久孤立这些代理计算机。

测试模式

您可以在 commit_authority 命令中使用测试模式以告知执行提交时可能发生的问题。 命令为： stmgmt.exe -commit_authority -test

通过分析此信息，您可以明确决定是否执行提交。 在某些情况下，您可选择强制提交并有意孤立某些问题计算机。

强制提交

使用以下命令：stmgmt.exe -commit_authority -force

如果您强制提交且确实具有想要保留但未签入的代理，则将需要重新在这些计算机上安装代理（代理将无法使用控制台所创建的配置信息且很有可能签入失败）。

发布提交后会发生什么？

发布提交命令时，系统将停止使用原来自签名的证书并开始使用新的子颁发机构证书。 具体会发生以下操作：

• 将从子颁发机构证书自动发布一个新的控制台证书，并保存到控制台计算机上的计算机帐户个人存储中。
• 每当安装新代理或需要重新发布现有代理的证书时，系统都会重新发出新的代理证书。 该过程对网络性能的影响应该很小。