Active Directory LDAPS 以某种方式保留过期证书

Active Directory LDAPS 以某种方式保留过期证书

Windows Server 2008 非 R2,64 位。它是 AD 域控制器。它在其 Computer\Personal 存储中使用第三方证书(不是 AD CS 和自动注册)来启用 LDAP over SSL。

我获得了新证书来替换即将过期的证书。我将其导入到 Computer\Personal 存储中。

我彻底删除了旧证书,没有将其存档。现在新证书是存储中唯一剩下的证书。

为了确保万无一失,我重新启动了域控制器。

我已经通过另一台机器的网络监视器数据包捕获进行了验证,当客户端尝试使用例如 ldp.exe 连接到 LDAP-S 服务并使用 SSL 连接到端口 636 时,域控制器仍以某种方式将旧证书分发给客户端。

域控制器怎么还在传递过期的证书?我已经从 Computer\Personal 存储中彻底删除了它!这让我很伤心。

编辑:HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates仅包含一个子项,它与新的、好的证书的指纹匹配。

答案1

只有LocalMachine\Personal当 AD DS 尝试通过 SSL 加载 LDAP 的有效证书时,可以优先于该证书存储NTDS\Personal

现在,你可以在哪里找到这家商店?很简单:

  1. Win+R->“mmc”
  2. 添加/删除管理单元
  3. 选择“证书”管理单元
  4. 在对话框中,选择选项 2 - “服务帐号”
  5. 选择本地机器(下一步)
  6. 突出显示“Active Directory 域服务”并添加管理单元

第一个存储名为“NTDS\Personal”,它可能包含您的证书幽灵:-)

相关内容