Windows Server 2008 非 R2、64 ビット。これは AD ドメイン コントローラーです。Computer\Personal ストアでサード パーティの証明書 (AD CS および自動登録ではない) を使用して、LDAP over SSL を有効にします。
期限切れの証明書を置き換える新しい証明書を取得しました。それを Computer\Personal ストアにインポートしました。
古い証明書は完全に削除しましたが、アーカイブはしませんでした。現在、ストアに残っているのは新しい証明書だけです。
念のためドメイン コントローラーを再起動しました。
別のマシンからのネットワーク モニターのパケット キャプチャを使用して、クライアントが ldp.exe などを使用してポート 636 に SSL で接続し、LDAP-S サービスに接続しようとすると、ドメイン コントローラーが何らかの方法で古い証明書をクライアントに配布していることを確認しました。
いったいどうしてドメイン コントローラーは期限切れの証明書をまだ配布しているのでしょうか? Computer\Personal ストアから完全に削除しました! 悲しい気持ちになります。
編集:HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates新しい有効な証明書の拇印と一致するサブキーが 1 つだけ含まれています。
答え1
唯一の1つLocalMachine\PersonalAD DS が SSL 経由で LDAP の有効な証明書をロードしようとするときに、よりも優先される証明書ストア- そのストアは ですNTDS\Personal。
さて、この店はどこにありますか? 簡単です:
- Win+R -> 「mmc」
- スナップインの追加/削除
- 「証明書」スナップインを選択します
- ダイアログでオプション2「サービスアカウント」を選択します
- ローカルマシンを選択(次へ)
- 「Active Directoryドメインサービス」を強調表示し、スナップインを追加します
最初のストアは「NTDS\Personal」と呼ばれ、おそらく証明書ゴーストが含まれています:-)