Windows Server 2008 Non-R2, 64bit. Это контроллер домена AD. Он использует сторонний сертификат (не AD CS и авторегистрацию) в своем хранилище Computer\Personal для включения LDAP через SSL.
Я получил новый сертификат для замены истекающего сертификата. Я импортировал его в хранилище Computer\Personal.
Я полностью удалил старый сертификат, не архивировал его. Теперь в хранилище остался только новый сертификат.
Я перезагрузил контроллер домена на всякий случай.
Я проверил с помощью захвата пакетов Network Monitor с другого компьютера, что контроллер домена по-прежнему каким-то образом выдает старый сертификат клиентам, когда они пытаются подключиться к службе LDAP-S, например, с помощью ldp.exe и подключения к порту 636 с помощью SSL.
Какого черта контроллер домена все еще раздает просроченный сертификат? Я полностью удалил его из хранилища Computer\Personal! Это делает меня грустной пандой.
Редактировать: HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificatesсодержит только один подключ, который соответствует отпечатку нового, хорошего сертификата.
решение1
Есть толькоодинхранилище сертификатов, которое может иметь приоритет LocalMachine\Personal, когда AD DS пытается загрузить действительный сертификат для LDAP через SSL - это хранилище NTDS\Personal!
А где же найти этот магазин? Легко:
- Win+R -> "ммс"
- Добавить/удалить оснастки
- Выберите оснастку «Сертификаты».
- В диалоговом окне выберите опцию 2 - «Учетная запись службы».
- Выберите локальную машину (далее)
- Выделите «Службы домена Active Directory» и добавьте оснастку.
Первое хранилище называется «NTDS\Personal» и, вероятно, содержит призрак вашего сертификата :-)