Active Directory LDAPS 以某種方式持有過期的證書

Windows Server 2008 非 R2，64 位。它是一個 AD 域控制器。它在其電腦\個人儲存中使用第三方證書（不是 AD CS 和自動註冊）來啟用基於 SSL 的 LDAP。

我獲得了一個新證書來替換即將到期的證書。我將它導入到 Computer\Personal 商店。

我完全刪除了舊證書，我沒有存檔它。現在新證書是商店裡唯一剩下的一張。

我重新啟動域控制器只是為了更好的措施。

我已經通過另一台機器的網路監視器數據包擷取驗證，當他們嘗試使案例如 ldp.exe 連接到 LDAP-S 服務並使用 SSL 連接到埠 636 時，域控制器仍然以某種方式將舊證書分發給客戶端.

域控制器到底怎麼還在傳遞過期的證書？我已將其從電腦\個人商店中完全刪除！這讓我變成了一隻悲傷的Pandas。

編輯：HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates僅包含一個子項，它與新的良好證書的指紋匹配。

當 AD DS 嘗試通過 SSL 為 LDAP 載入有效證書時，只有一個證書儲存可以優先使用- 該儲存是！LocalMachine\Personal``NTDS\Personal

現在，你在哪裡可以找到這家商店？簡單的：

1. Win+R -> “mmc”
2. 添加/刪除管理單元
3. 選擇“證書”管理單元
4. 在對話框中，選擇選項 2 - “服務帳戶”
5. 選擇本地機器（下一步）
6. 突出顯示“Active Directory 域服務”並添加管理單元

第一個商店稱為“NTDS\Personal”，它可能包含您的證書幽靈 :-)

引用自：https://serverfault.com/questions/562279