Windows Server 2008, отличная от R2, 64-разрядная. Это контроллер домена AD. Он использует сторонний сертификат (не AD CS и автоматическую регистрацию) в своем хранилище Computer \ Personal, чтобы включить LDAP через SSL.
Я получил новый сертификат взамен сертификата с истекающим сроком действия. Импортировал в магазин Компьютер \ Персональный.
Старый сертификат полностью удалил, архивировать не стал. Теперь в магазине остался только новый сертификат.
Я перезагрузил контроллер домена на всякий случай.
Я проверил с помощью захвата пакетов сетевого монитора с другого компьютера, что контроллер домена все еще каким-то образом выдает старый сертификат клиентам, когда они пытаются подключиться к службе LDAP-S, например, ldp.exe и подключаются к порту 636 с помощью SSL. .
Каким образом контроллер домена все еще выдает просроченный сертификат? Полностью удалил из магазина Компьютер \ Личный! Это делает меня грустной пандой.
Редактировать: HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates содержит только один подключ, соответствующий отпечатку нового исправного сертификата.
Есть только один хранилище сертификатов, которое может иметь приоритет над LocalMachine\Personal, когда AD DS пытается загрузить действительный сертификат для LDAP через SSL - это хранилище NTDS\Personal!
Итак, где вы можете найти этот магазин? Легко:
Первое хранилище называется "NTDS \ Personal" и, вероятно, содержит ваш призрак сертификата :-)