Windows Server 2008 비 R2, 64비트. AD 도메인 컨트롤러입니다. Computer\Personal 저장소에서 타사 인증서(AD CS 및 자동 등록 아님)를 사용하여 SSL을 통한 LDAP를 활성화합니다.
만료되는 인증서를 대체하기 위해 새 인증서를 얻었습니다. 컴퓨터\개인 저장소로 가져왔습니다.
이전 인증서를 완전히 삭제하고 보관하지 않았습니다. 이제 새 인증서만 저장소에 남아 있습니다.
좋은 측정을 위해 도메인 컨트롤러를 재부팅했습니다.
다른 컴퓨터의 네트워크 모니터 패킷 캡처를 통해 도메인 컨트롤러가 예를 들어 ldp.exe를 사용하여 LDAP-S 서비스에 연결을 시도하고 SSL을 사용하여 포트 636에 연결할 때 클라이언트에게 이전 인증서를 전달하고 있음을 확인했습니다. .
도대체 어떻게 도메인 컨트롤러가 만료된 인증서를 계속 전달하고 있나요? 컴퓨터\개인 스토어에서 완전히 삭제했어요! 이것은 나를 슬픈 팬더로 만든다.
편집: HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates
새로운 양호한 인증서의 지문과 일치하는 하위 키가 하나만 포함되어 있습니다.
답변1
오직하나LocalMachine\Personal
AD DS가 SSL을 통해 LDAP에 대한 유효한 인증서를 로드하려고 할 때 우선순위를 가질 수 있는 인증서 저장소 - 해당 저장소는 NTDS\Personal
!
자, 이 가게는 어디서 찾을 수 있나요? 쉬운:
- Win+R -> "mmc"
- 스냅인 추가/제거
- "인증서" 스냅인을 선택합니다.
- 대화 상자에서 옵션 2 - "서비스 계정"을 선택합니다.
- 로컬 머신 선택(다음)
- "Active Directory 도메인 서비스"를 강조 표시하고 스냅인을 추가합니다.
첫 번째 저장소는 "NTDS\Personal"이며 아마도 인증서 유령이 포함되어 있을 것입니다. :-)