Windows Server 2008 非 R2,64 位元。這是一個AD網域控制器。它在其電腦\個人儲存中使用第三方憑證(不是 AD CS 和自動註冊)來啟用基於 SSL 的 LDAP。
我獲得了新證書來替換即將到期的證書。我將其導入到計算機\個人存儲中。
我完全刪除了舊證書,沒有存檔它。現在,新證書是商店中僅存的一張。
我重新啟動網域控制器只是為了更好的措施。
我已經透過網路監視器從另一台電腦擷取封包來驗證,當用戶端嘗試使用例如ldp.exe 連接到LDAP-S 服務並使用SSL 連接到連接埠636 時,網域控制站仍然以某種方式向客戶端分發舊證書。
網域控制器到底是如何仍然傳遞過期的憑證的?我已將其從電腦\個人儲存中完全刪除!這讓我成為一隻悲傷的熊貓。
編輯:HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates僅包含一個子項,該子項與新的良好證書的指紋相符。
答案1
只有一LocalMachine\Personal當 AD DS 嘗試透過 SSL 為 LDAP 載入有效憑證時,憑證儲存可以優先- 該儲存就是NTDS\Personal!
現在,你可以在哪裡找到這家商店?簡單的:
- Win+R -> “mmc”
- 新增/刪除管理單元
- 選擇“證書”管理單元
- 在對話方塊中,選擇選項 2 -“服務帳戶”
- 選擇本機(下一步)
- 反白顯示「Active Directory 網域服務」並新增管理單元
第一個儲存名稱為“NTDS\Personal”,它可能包含您的憑證幽靈:-)