Ative o log de eventos CAPI2. Os eventos de erro no log do CAPI2 geralmente fornecem mais informações sobre os problemas com o certificado.
Logs de aplicativos e serviços > Microsoft > Windows > CAPI2
Estou tentando ativar o SSL para o Active Directory em nosso domínio. O problema que estou correndo é que o servidor está falhando em reconhecer o certificado que eu fiz para ele. Sempre que eu tento consultar o servidor usando ssl (usando ldp.exe), recebo o evento 36886, que basicamente afirma que não foi possível encontrar um certificado adequado no servidor.
Eu passei por este artigo do kb para solução de problemas e aqui está o que eu tenho p>
Coloquei o certificado no armazenamento de certificados da máquina local, sob o contêiner Pessoal. Eu usei o openssl em uma máquina Linux como CA e coloquei seu certificado no contêiner Autoridades de Certificação Raiz Confiáveis.
Meu FQDN dos controladores de domínio está no Assunto do certificado. Um nome alternativo também foi adicionado na seção extendedKeyUsage, e não funciona durante a consulta.
Quando eu clico duas vezes no cert no console mmc, ele afirma na parte inferior que "Você tem uma chave privada que corresponde a este certificado" no entanto, conforme as instruções da KB eu executo o certutil -verifykeys
comando e retorna The system cannot find the file specified
.
Quando clico duas vezes no certificado e vou para o Caminho de Certificação, ele lista minha CA e, em seguida, o certificado e, em seguida, diz: Esse certificado é OK, portanto estou assumindo que a cadeia é válida.
É o único certificado no armazenamento Pessoal para o computador
Quando eu faço algo como certutil -verifystore MY 0
, ele lista o cert e as únicas reclamações que tem é sobre a lista de revogação, porque eu nunca fiz um crl, mas ainda diz que o certificado é válido no final.
Eu estou supondo que a razão pela qual ele está falhando está ligada a porque certutil -verifykeys
está falhando, mas eu não consegui encontrar o que realmente significa quando recebo o erro que eu faço.
Alguém pode me apontar na direção certa?
A CRL é um requisito para SSL. Você tem que consertar isso primeiro. Tudo o mais que estou listando é algo que você pode verificar se isso não resolve.
Como você está recebendo um erro ao verificar a chave, verifique se a ACL na pasta MachineKeys está correta e se a chave privada não usa criptografia de chave privada strong.
Você disse que colocou o certificado da máquina Linux na pasta Raiz Confiável. Você fez isso nos DCs e no cliente?
Referências:
Este link é para LDAPS, mas inclui boas informações sobre SSL, já que é necessário: link
Tags ssl ldap active-directory