Active Directory LDAPS Mantendo o Certificado Expirado

3

Windows Server 2008 Não-R2, 64 bits. É um controlador de domínio do AD. Ele usa um certificado de terceiros (não AD CS e registro automático) em seu armazenamento Computer \ Personal para habilitar o LDAP sobre SSL.

Eu obtive um novo certificado para substituir o certificado de expiração. Eu importei para a loja Computer \ Personal.

Excluí completamente o certificado antigo, não o arquivei. Agora, o novo certificado é o único que resta na loja.

Eu reiniciei o controlador de domínio apenas por precaução.

Verifiquei, por meio da captura de pacotes do Network Monitor de outra máquina, que o controlador de domínio ainda distribui o certificado antigo aos clientes quando eles tentam se conectar ao serviço LDAP-S usando, por exemplo, o ldp.exe e se conectando à porta 636 com SSL.

Como no mundo o controlador de domínio ainda está distribuindo o certificado expirado? Eu o deletei completamente da loja Computer \ Personal! Isso faz de mim um panda triste.

Editar: HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates contém apenas uma subchave, que corresponde à impressão digital do novo e bom certificado.

    
por Ryan Ries 18.12.2013 / 21:18

1 resposta

4

Existe apenas um armazenamento de certificados que pode ter precedência sobre LocalMachine\Personal , quando o AD DS tenta carregar um certificado válido para LDAP sobre SSL - esse armazenamento é NTDS\Personal !

Agora, onde você pode encontrar esta loja? Fácil:

  1. Win + R - > "mmc"
  2. Adicionar / remover snap-ins
  3. Selecione o snap-in "Certificados"
  4. Na caixa de diálogo, selecione a opção 2 - "Conta de serviço"
  5. Selecione a máquina local (próxima)
  6. Realce "Serviços de Domínio do Active Directory" e adicione o snap-in

A primeira loja é chamada "NTDS \ Personal" e provavelmente contém o seu fantasma de certificado: -)

    
por 18.12.2013 / 21:38