Windows-Server-2008

Active Directory LDAPS 以某種方式持有過期的證書

  • May 14, 2021

Windows Server 2008 非 R2,64 位。它是一個 AD 域控制器。它在其電腦\個人儲存中使用第三方證書(不是 AD CS 和自動註冊)來啟用基於 SSL 的 LDAP。

我獲得了一個新證書來替換即將到期的證書。我將它導入到 Computer\Personal 商店。

我完全刪除了舊證書,我沒有存檔它。現在新證書是商店裡唯一剩下的一張。

我重新啟動域控制器只是為了更好的措施。

我已經通過另一台機器的網路監視器數據包擷取驗證,當他們嘗試使案例如 ldp.exe 連接到 LDAP-S 服務並使用 SSL 連接到埠 636 時,域控制器仍然以某種方式將舊證書分發給客戶端.

域控制器到底怎麼還在傳遞過期的證書?我已將其從電腦\個人商店中完全刪除!這讓我變成了一隻悲傷的Pandas。

編輯:HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates僅包含一個子項,它與新的良好證書的指紋匹配。

當 AD DS 嘗試通過 SSL 為 LDAP 載入有效證書時,只有一個證書儲存可以優先使用- 該儲存是!LocalMachine\Personal``NTDS\Personal

現在,你在哪裡可以找到這家商店?簡單的:

  1. Win+R -> “mmc”
  2. 添加/刪除管理單元
  3. 選擇“證書”管理單元
  4. 在對話框中,選擇選項 2 - “服務帳戶”
  5. 選擇本地機器(下一步)
  6. 突出顯示“Active Directory 域服務”並添加管理單元

第一個商店稱為“NTDS\Personal”,它可能包含您的證書幽靈 :-)

引用自:https://serverfault.com/questions/562279