Windows Server 2008 no R2, 64 bits. Es un controlador de dominio AD. Utiliza un certificado de terceros (no AD CS ni inscripción automática) en su almacén Computadora\Personal para habilitar LDAP sobre SSL.
Obtuve un nuevo certificado para reemplazar el certificado que vencía. Lo importé a la tienda Computadora\Personal.
Eliminé el certificado antiguo por completo, no lo archive. Ahora el nuevo certificado es el único que queda en la tienda.
Reinicié el controlador de dominio solo por si acaso.
He verificado a través de la captura de paquetes de Network Monitor desde otra máquina, que el controlador de dominio todavía está entregando de alguna manera el certificado antiguo a los clientes cuando intentan conectarse al servicio LDAP-S usando, por ejemplo, ldp.exe y conectándose al puerto 636 con SSL. .
¿Cómo diablos el controlador de dominio sigue entregando el certificado caducado? ¡Lo eliminé por completo de la tienda Computadora\Personal! Esto me convierte en un panda triste.
Editar: HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificatescontiene solo una subclave, que coincide con la huella digital del certificado nuevo y en buen estado.
Respuesta1
Solo hayunoalmacén de certificados que puede tener prioridad LocalMachine\Personalcuando AD DS intenta cargar un certificado válido para LDAP sobre SSL; ¡ese almacén es NTDS\Personal!
Ahora bien, ¿dónde puedes encontrar esta tienda? Fácil:
- Win+R -> "mmc"
- Agregar o quitar complementos
- Seleccione el complemento "Certificados"
- En el cuadro de diálogo, seleccione la opción 2: "Cuenta de servicio"
- Seleccione la máquina local (siguiente)
- Resalte "Servicios de dominio de Active Directory" y agregue el complemento
La primera tienda se llama "NTDS\Personal" y probablemente contenga el fantasma de su certificado :-)