Active DirectoryLDAPSはどういうわけか期限切れの証明書を保持しています
Windows Server 2008 Non-R2、64ビット。これはADドメインコントローラーです。 Computer\Personalストアでサードパーティの証明書(AD CSおよび自動登録ではない)を使用して、LDAP overSSLを有効にします。
期限切れの証明書に代わる新しい証明書を取得しました。 Computer\Personalストアにインポートしました。
古い証明書を完全に削除しましたが、アーカイブしませんでした。現在、ストアに残っているのは新しい証明書だけです。
念のため、ドメインコントローラーを再起動しました。
別のマシンからのネットワークモニターパケットキャプチャを介して、クライアントがldp.exeなどを使用してLDAP-Sサービスに接続し、SSLを使用してポート636に接続しようとしたときに、ドメインコントローラーがまだ古い証明書をクライアントに配布していることを確認しました。 。
ドメインコントローラーは、期限切れの証明書をどのように渡していますか? Computer\Personalストアから完全に削除しました!これは私を悲しいパンダにします。
編集:HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificatesには、新しい適切な証明書の拇印と一致するサブキーが1つだけ含まれています。
AD DSがLDAPover SSLの有効な証明書を読み込もうとした場合、LocalMachine\Personalよりも優先できる証明書ストアはoneのみです-そのストアはNTDS\Personal!
さて、このお店はどこにありますか?簡単:
- Win + R-> "mmc"
- スナップインの追加/削除
- 「証明書」スナップインを選択します
- ダイアログで、オプション2-「サービスアカウント」を選択します
- ローカルマシンを選択します(次へ)
- 「ActiveDirectoryドメインサービス」を強調表示し、スナップインを追加します
最初のストアは「NTDS\Personal」と呼ばれ、おそらく証明書ゴーストが含まれています:-)