客户希望在 Windows Server 2012 R2 域控制器上为 LDAPS 使用 COMODO 签名的 TLS 证书。
证书已购买但域控制器上未创建 CSR(按照https://support.microsoft.com/en-us/kb/321051)。
该证书满足用于 ADDS 的要求:
- 通用名称是 DC 的 FQDN
- 该证书可用于客户端和服务器身份验证
- 该证书具有多个用于域控制器的备用 DNS 名称的 SAN 条目
我现在已将证书、私钥和所有中间证书导入到本地计算机证书存储和 NTDS\Personal 证书存储中。
但是,使用证书 MMC 管理单元导入证书后,该证书不用于 ADDS 中的 LDAPS:
Schannel,36869:SSL 服务器凭据的证书没有附加私钥信息属性。这种情况最常发生在证书备份不正确,然后又恢复时。此消息也可能表示证书注册失败。
我可以看到域控制器尝试使用此证书,因为如果删除该证书,消息会发生变化:
此系统上不存在合适的默认服务器凭据。这将阻止期望使用系统默认凭据的服务器应用程序接受 SSL 连接。目录服务器就是此类应用程序的一个示例。管理其自身凭据的应用程序(例如 Internet 信息服务器)不受此影响。
有没有办法添加此证书以便 schannel 可以使用它(我有私钥、csr、证书和所有中间证书)?