Windows Server 2008 Nicht-R2, 64 Bit. Es handelt sich um einen AD-Domänencontroller. Er verwendet ein Drittanbieterzertifikat (nicht AD CS und Autoenrollment) in seinem Computer\Personal-Speicher, um LDAP über SSL zu aktivieren.
Ich habe ein neues Zertifikat erhalten, um das ablaufende Zertifikat zu ersetzen. Ich habe es in den Computer\Persönlichen Speicher importiert.
Ich habe das alte Zertifikat vollständig gelöscht und nicht archiviert. Jetzt ist nur noch das neue Zertifikat im Speicher vorhanden.
Ich habe den Domänencontroller nur sicherheitshalber neu gestartet.
Ich habe über die Paketerfassung des Netzwerkmonitors von einem anderen Computer aus überprüft, dass der Domänencontroller irgendwie immer noch das alte Zertifikat an Clients ausgibt, wenn diese versuchen, eine Verbindung zum LDAP-S-Dienst herzustellen, indem sie beispielsweise ldp.exe verwenden und eine Verbindung zu Port 636 mit SSL herstellen.
Wie um alles in der Welt kann der Domänencontroller das abgelaufene Zertifikat noch weitergeben? Ich habe es vollständig aus dem Computer\Persönlichen Speicher gelöscht! Das macht mich zu einem traurigen Panda.
Bearbeiten: HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificatesenthält nur einen Unterschlüssel, der mit dem Fingerabdruck des neuen, gültigen Zertifikats übereinstimmt.
Antwort1
Da ist nureinsZertifikatspeicher, der Vorrang haben kann LocalMachine\Personal, wenn AD DS versucht, ein gültiges Zertifikat für LDAP über SSL zu laden – dieser Speicher ist NTDS\Personal!
Nun, wo finden Sie diesen Shop? Ganz einfach:
- Win+R -> "mmc"
- Snap-Ins hinzufügen/entfernen
- Wählen Sie das Snap-In "Zertifikate"
- Wählen Sie im Dialog die Option 2 - "Dienstkonto"
- Wählen Sie den lokalen Computer aus (weiter)
- Markieren Sie "Active Directory Domain Services" und fügen Sie das Snap-In hinzu
Der erste Speicher heißt „NTDS\Personal“ und enthält wahrscheinlich Ihren Zertifikatsgeist :-)