Active Directory LDAP + SSLに証明書を使用していないADサーバー
ドメインでActiveDirectoryのSSLを有効にしようとしています。私が遭遇している問題は、サーバーが私が作成した証明書を認識できないことです。 sslを使用して(ldp.exeを使用して)サーバーにクエリを実行しようとすると、サーバーで適切な証明書が見つからなかったことを基本的に示すイベント36886が発生します。
私はトラブルシューティングのために このkbの記事 を通過しました、そしてこれが私が持っているものです
証明書をローカルマシンの証明書ストアのPersonalコンテナの下に配置しました。 LinuxマシンでopensslをCAとして使用し、その証明書を信頼されたルート証明機関コンテナーの下に配置しました。
私のドメインコントローラーのFQDNは証明書のサブジェクトにあります。代替名もextendedKeyUsageセクションに追加されており、クエリ時にどちらも機能しません。
- EnhancedKeyUsageセクションにserverAuthとclientAuthがあります
Mmcコンソールで証明書をダブルクリックすると、下部に「この証明書に対応する秘密鍵があります」と表示されますが、KBの指示に従って、
certutil -verifykeysコマンドを実行すると、The system cannot find the file specifiedが返されます。証明書をダブルクリックして[CertificationPath]に移動すると、CA、次に証明書が一覧表示され、その下に[この証明書はOK]と表示されるので、チェーンが有効であると想定しています。
これは、パーソナルストアにあるコンピューター用の唯一の証明書です。
certutil -verifystore MY 0のようなことをすると、証明書がリストされ、crlを作成したことがないため、失効リストに関する苦情だけが表示されますが、それでも証明書は最後に有効であると表示されます。
失敗する理由は、certutil -verifykeysが失敗する理由に関係していると思いますが、エラーが発生したときに実際に何を意味するのかを見つけることができませんでした。
誰かが私を正しい方向に向けることができますか?
CAPI2イベントログを有効にします。 CAPI2ログのエラーイベントは通常、証明書の問題に関する詳細情報を提供します。
アプリケーションとサービスのログ> Microsoft> Windows> CAPI2
CRLはSSLの要件です。最初にそれを修正する必要があります。私がリストしている他のすべては、それがそれを解決しないかどうかを確認できるものです。
キーの検証でエラーが発生するため、MachineKeysフォルダーのACLが正しいこと、および秘密キーが強力な秘密キー暗号化を使用していないことを確認してください。
Linuxマシンの証明書を信頼されたルートフォルダーに置くと言いました。 DCとクライアントでそれを行いましたか?
参照:
このリンクはLDAPS用ですが、SSLに関する適切な情報が含まれています。これは必須であるためです: https://support2.Microsoft.com/default.aspx?scid=kb;en-us;321051