Я пытаюсь включить SSL для Active Directory в нашем домене. Проблема, с которой я столкнулся, заключается в том, что сервер не может распознать сертификат, который я сделал для него. Всякий раз, когда я пытаюсь запросить сервер с помощью ssl (используя ldp.exe), я получаю событие 36886, которое в основном заявляет, что подходящий сертификат не может быть найден на сервере.
Я прошел через эта статья в kb для устранения неполадок и вот что у меня есть
Я разместил сертификат в хранилище сертификатов локального компьютера в контейнере Personal. Я использовал openssl на Linux-машине в качестве центра сертификации и поместил его сертификат в контейнер Trusted Root Certification Authorities.
Полное доменное имя моих контроллеров домена указано в теме сертификата. В раздел extendedKeyUsage было добавлено альтернативное имя, которое не работает при запросах.
Когда я дважды щелкаю сертификат в консоли mmc, внизу указывается, что «У вас есть закрытый ключ, соответствующий этому сертификату» однако в соответствии с инструкциями KB я запускаюcertutil -verifykeys команда, и она возвращает The system cannot find the file specified.
Когда я дважды щелкаю сертификат и перехожу в раздел «Путь сертификации», в нем отображается мой ЦС, а затем сертификат, а ниже - «Этот сертификат в порядке», поэтому я предполагаю, что это означает, что цепочка действительна.
Это единственный сертификат в личном хранилище для компьютера.
Когда я делаю что-то вроде certutil -verifystore MY 0 он перечисляет сертификат, и единственные жалобы, которые у него есть, касаются списка отзыва, потому что я никогда не делал crl, но он все равно говорит, что сертификат действителен в конце.
Я предполагаю, что причина его неудачи связана с тем, почему certutil -verifykeys не работает, но я не смог найти, что это на самом деле означает, когда я получаю сообщение об ошибке.
Может кто-то указать мне верное направление?
Включите журнал событий CAPI2. События ошибок в журнале CAPI2 обычно предоставляют дополнительную информацию о проблемах с сертификатом.
Журналы приложений и служб> Microsoft> Windows> CAPI2
CRL является требованием для SSL. Сначала вы должны это исправить. Все остальное, что я перечисляю, вы можете проверить, если это не решит проблему.
Поскольку при проверке ключа вы получаете сообщение об ошибке, убедитесь, что ACL в папке MachineKeys правильный и что закрытый ключ не использует надежное шифрование закрытого ключа.
Вы сказали, что поместили сертификат машины Linux в папку Trusted Root. Вы сделали это на контроллерах домена и на клиенте?
Ссылки:
Эта ссылка предназначена для LDAPS, но содержит полезную информацию о SSL, поскольку она необходима: https://support2.microsoft.com/default.aspx?scid=kb;en-us;321051