Windows Server 2008 não R2, 64 bits. É um controlador de domínio AD. Ele usa um certificado de terceiros (não AD CS e registro automático) em seu armazenamento Computador\Personal para habilitar LDAP por SSL.
Obtive um novo certificado para substituir o certificado expirado. Importei-o para a loja Computer\Personal.
Excluí totalmente o certificado antigo, não o arquivei. Agora o novo certificado é o único que resta na loja.
Reiniciei o controlador de domínio apenas para garantir.
Verifiquei, por meio da captura de pacotes do Network Monitor de outra máquina, que o controlador de domínio ainda está distribuindo o certificado antigo aos clientes quando eles tentam se conectar ao serviço LDAP-S usando, por exemplo, ldp.exe e conectando-se à porta 636 com SSL .
Como diabos o controlador de domínio ainda está distribuindo o certificado expirado? Eu o apaguei completamente da loja Computer\Personal! Isso me torna um panda triste.
Editar: HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificatescontém apenas uma subchave, que corresponde à impressão digital do novo e válido certificado.
Responder1
Existe apenasumarmazenamento de certificados que pode ter precedência LocalMachine\Personalquando o AD DS tenta carregar um certificado válido para LDAP sobre SSL - esse armazenamento é NTDS\Personal!
Agora, onde você pode encontrar essa loja? Fácil:
- Win+R -> "mmc"
- Adicionar/remover snap-ins
- Selecione o snap-in "Certificados"
- Na caixa de diálogo, selecione a opção 2 - "Conta de serviço"
- Selecione a máquina local (próximo)
- Destaque “Serviços de Domínio Active Directory” e adicione o snap-in
A primeira loja é chamada "NTDS\Personal" e provavelmente contém o seu certificado fantasma :-)