Windows Server 2008 非 R2,64 位。它是 AD 域控制器。它在其 Computer\Personal 存储中使用第三方证书(不是 AD CS 和自动注册)来启用 LDAP over SSL。
我获得了新证书来替换即将过期的证书。我将其导入到 Computer\Personal 存储中。
我彻底删除了旧证书,没有将其存档。现在新证书是存储中唯一剩下的证书。
为了确保万无一失,我重新启动了域控制器。
我已经通过另一台机器的网络监视器数据包捕获进行了验证,当客户端尝试使用例如 ldp.exe 连接到 LDAP-S 服务并使用 SSL 连接到端口 636 时,域控制器仍以某种方式将旧证书分发给客户端。
域控制器怎么还在传递过期的证书?我已经从 Computer\Personal 存储中彻底删除了它!这让我很伤心。
编辑:HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates仅包含一个子项,它与新的、好的证书的指纹匹配。
答案1
只有一LocalMachine\Personal当 AD DS 尝试通过 SSL 加载 LDAP 的有效证书时,可以优先于该证书存储NTDS\Personal!
现在,你可以在哪里找到这家商店?很简单:
- Win+R->“mmc”
- 添加/删除管理单元
- 选择“证书”管理单元
- 在对话框中,选择选项 2 - “服务帐号”
- 选择本地机器(下一步)
- 突出显示“Active Directory 域服务”并添加管理单元
第一个存储名为“NTDS\Personal”,它可能包含您的证书幽灵:-)