Windows-Server-2008
Active Directory LDAPS 以某種方式持有過期的證書
Windows Server 2008 非 R2,64 位。它是一個 AD 域控制器。它在其電腦\個人儲存中使用第三方證書(不是 AD CS 和自動註冊)來啟用基於 SSL 的 LDAP。
我獲得了一個新證書來替換即將到期的證書。我將它導入到 Computer\Personal 商店。
我完全刪除了舊證書,我沒有存檔它。現在新證書是商店裡唯一剩下的一張。
我重新啟動域控制器只是為了更好的措施。
我已經通過另一台機器的網路監視器數據包擷取驗證,當他們嘗試使案例如 ldp.exe 連接到 LDAP-S 服務並使用 SSL 連接到埠 636 時,域控制器仍然以某種方式將舊證書分發給客戶端.
域控制器到底怎麼還在傳遞過期的證書?我已將其從電腦\個人商店中完全刪除!這讓我變成了一隻悲傷的Pandas。
編輯:
HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates
僅包含一個子項,它與新的良好證書的指紋匹配。
當 AD DS 嘗試通過 SSL 為 LDAP 載入有效證書時,只有一個證書儲存可以優先使用- 該儲存是!
LocalMachine\Personal``NTDS\Personal
現在,你在哪裡可以找到這家商店?簡單的:
- Win+R -> “mmc”
- 添加/刪除管理單元
- 選擇“證書”管理單元
- 在對話框中,選擇選項 2 - “服務帳戶”
- 選擇本地機器(下一步)
- 突出顯示“Active Directory 域服務”並添加管理單元
第一個商店稱為“NTDS\Personal”,它可能包含您的證書幽靈 :-)