我特别指的是我们域控制器(Windows Server 2003 SP2)上自行创建的根 CA,我们所有的域客户端都信任它以供内部使用,而不是 GoDaddy、Verisign 等根 CA。也许它们之间有关系。
在过去一年左右的时间里,我见证了它两次更新。我想知道除了过期之外,还有什么情况会导致它更新...我检查过了,两次都没有过期,还有一年的时间。
我是如何观察到这一点的?此 CA 也用于 LDAPS 客户端 - 当证书更改时,它们将停止工作 - 更具体地说,当发生这种情况时,Apache2 mod_ldap ldaps:// auth 会中断,直到域控制器(也是根 CA)重新启动。一旦重新启动该服务器,Java LDAPS:// 客户端就会停止工作,重新获取根 CA 证书可以解决问题 - 但在重新启动之前,Java 客户端非常满意,只有 Apache 停止工作。
我只是想了解哪些因素会导致 Windows Server 2003 Root CA 证书更新。此服务器非常老旧(部署近 7 年),并且正在逐步淘汰(重新启动令人心烦意乱!)。几项服务(RADIUS、打印后台处理程序等)在 2-3 个月的正常运行后停止正常工作,所以我几乎想将其归咎于此...
- Windows 更新会导致这种情况吗?
- Windows 受信任 CA 列表的更新是否会导致此证书更新?(有关系吗?)
- 其他原因?
更新:Java 未能通过 LDAPS 身份验证的实际症状,直到其证书更新(根 CA 或 LDAP 证书 - 仍在确定……):
sun.security.validator.ValidatorException:PKIX 路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到请求目标的有效认证路径
进一步说明:Java LDAPS 客户端位于 Linux 服务器上,该服务器不是域成员,但已通过隧道连接到我们的专用网络。Apache 位于 Windows 服务器上,该服务器是域成员。
答案1
证书真的会更新吗?它是否会构建一个全新的根证书,其中包含新的哈希值、新的到期日期等?还是只是观察到“重新启动后才会损坏”的问题?
我对这个问题的直觉是,LDAP/S 客户端指向的域控制器没有自动注册。请记住,用于 LDAP/S 的证书是 或Domain Controller证书Kerberos Authentication- 这些证书将由每个域控制器自动注册,并将按照您的默认续订计划进行续订。检查域控制器上的证书管理单元以查看它何时到期,并进行相应的计划。
注册失败可能有多种原因,包括证书模板或 CA 本身的配置错误(不允许自动注册)、CRL 发布问题,或者仅仅是 RADIUS 和假脱机服务等服务故障。
首先要检查的是企业 PKI MMC 管理单元 pkiview.msc。它会告诉您是否有服务失败,或者 CRL 是否未更新,或者任何其他导致信任链出现问题的情况。
答案2
我唯一能想到的是,CA 服务器已获得自动注册(和自动重新注册)的权限,而 GP 已启用自动注册。不过我必须查看服务器才能确定。