O servidor do AD não está usando o certificado para o Active Directory LDAP + SSL

3

Estou tentando ativar o SSL para o Active Directory em nosso domínio. O problema que estou correndo é que o servidor está falhando em reconhecer o certificado que eu fiz para ele. Sempre que eu tento consultar o servidor usando ssl (usando ldp.exe), recebo o evento 36886, que basicamente afirma que não foi possível encontrar um certificado adequado no servidor.

Eu passei por este artigo do kb para solução de problemas e aqui está o que eu tenho p>

  • Coloquei o certificado no armazenamento de certificados da máquina local, sob o contêiner Pessoal. Eu usei o openssl em uma máquina Linux como CA e coloquei seu certificado no contêiner Autoridades de Certificação Raiz Confiáveis.

  • Meu FQDN dos controladores de domínio está no Assunto do certificado. Um nome alternativo também foi adicionado na seção extendedKeyUsage, e não funciona durante a consulta.

  • Eu tenho serverAuth e clientAuth na seção EnhancedKeyUsage
  • Quando eu clico duas vezes no cert no console mmc, ele afirma na parte inferior que "Você tem uma chave privada que corresponde a este certificado" no entanto, conforme as instruções da KB eu executo o certutil -verifykeys comando e retorna The system cannot find the file specified .

  • Quando clico duas vezes no certificado e vou para o Caminho de Certificação, ele lista minha CA e, em seguida, o certificado e, em seguida, diz: Esse certificado é OK, portanto estou assumindo que a cadeia é válida.

  • É o único certificado no armazenamento Pessoal para o computador

  • Quando eu faço algo como certutil -verifystore MY 0 , ele lista o cert e as únicas reclamações que tem é sobre a lista de revogação, porque eu nunca fiz um crl, mas ainda diz que o certificado é válido no final.

Eu estou supondo que a razão pela qual ele está falhando está ligada a porque certutil -verifykeys está falhando, mas eu não consegui encontrar o que realmente significa quando recebo o erro que eu faço.

Alguém pode me apontar na direção certa?

    
por Safado 29.04.2015 / 16:35

2 respostas

2

Ative o log de eventos CAPI2. Os eventos de erro no log do CAPI2 geralmente fornecem mais informações sobre os problemas com o certificado.

Logs de aplicativos e serviços > Microsoft > Windows > CAPI2

    
por 30.04.2015 / 15:53
1

A CRL é um requisito para SSL. Você tem que consertar isso primeiro. Tudo o mais que estou listando é algo que você pode verificar se isso não resolve.

Como você está recebendo um erro ao verificar a chave, verifique se a ACL na pasta MachineKeys está correta e se a chave privada não usa criptografia de chave privada strong.

Você disse que colocou o certificado da máquina Linux na pasta Raiz Confiável. Você fez isso nos DCs e no cliente?

Referências:

link

Este link é para LDAPS, mas inclui boas informações sobre SSL, já que é necessário: link

    
por 30.04.2015 / 14:54