Windows Server 2008 非 R2,64 位。它是一个 AD 域控制器。它在其计算机\个人存储中使用第三方证书(不是 AD CS 和自动注册)来启用基于 SSL 的 LDAP。
我获得了一个新证书来替换即将到期的证书。我将它导入到 Computer\Personal 商店。
我完全删除了旧证书,我没有存档它。现在新证书是商店里唯一剩下的一张。
我重新启动域控制器只是为了更好的措施。
我已经通过另一台机器的网络监视器数据包捕获验证,当他们尝试使用例如 ldp.exe 连接到 LDAP-S 服务并使用 SSL 连接到端口 636 时,域控制器仍然以某种方式将旧证书分发给客户端.
域控制器到底怎么还在传递过期的证书?我已将其从计算机\个人商店中完全删除!这让我变成了一只悲伤的熊猫。
编辑:HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates仅包含一个子项,它与新的良好证书的指纹匹配。
当 AD DS 尝试通过 SSL 为 LDAP 加载有效证书时,只有一个证书存储可以优先使用- 该存储是!
LocalMachine\PersonalNTDS\Personal现在,你在哪里可以找到这家商店?简单的:
第一个商店称为“NTDS\Personal”,它可能包含您的证书幽灵 :-)