Я конкретно имею в виду самостоятельно созданный корневой ЦС на нашем контроллере домена (Windows Server 2003 SP2), которому все наши клиенты домена доверяют для внутреннего использования, а не корневой ЦС GoDaddy, Verisign и т. Д. Может между ними есть какая-то связь.
Я был свидетелем его обновления дважды за последний год или около того. Я хотел бы понять, какие обстоятельства вызывают его обновление, кроме истечения срока ... Я проверил, и ни в том, ни в другом случае он не истек, это еще год.
Как я это заметил? Этот CA также используется для клиентов LDAPS - при изменении сертификата они перестают работать - в частности, Apache2 mod_ldap ldaps: // auth прерывается, когда это происходит, до тех пор, пока контроллер домена (также корневой CA) не будет перезагружен. После перезагрузки указанного сервера клиенты Java LDAPS: // перестают работать, и повторная выборка сертификата корневого CA решает проблему, но до перезагрузки клиенты Java полностью довольны, и только Apache перестает работать.
Я просто хочу понять, что может привести к обновлению сертификата корневого центра сертификации Windows Server 2003. Этот сервер очень старый (развернут почти 7 лет) и, как мы говорим, постепенно выводится из эксплуатации (перезагрузка - это нервная нагрузка!). Некоторые службы (RADIUS, Print Spooler и т. Д.) Перестают правильно работать после 2-3 месяцев безотказной работы, поэтому я почти соблазняюсь списать это на это ...
ОБНОВИТЬ: Фактический признак того, что Java не выполняет аутентификацию LDAPS до тех пор, пока его сертификат не будет обновлен (либо корневой CA, либо сертификат LDAP - все еще определяется ...):
sun.security.validator.ValidatorException: сбой построения пути PKIX: sun.security.provider.certpath.SunCertPathBuilderException: невозможно найти действительный путь сертификации для запрошенной цели
Дополнительные пояснения: Java-клиент LDAPS находится на сервере Linux, который НЕ является членом домена, но туннелируется в нашу частную сеть. Apache находится на сервере Windows, который является членом домена.
Сертификат действительно .. обновляется? Создает ли он новый корневой сертификат с новым хешем, новой датой истечения срока действия и т. Д.? Или просто наблюдаемая проблема «сломан до перезагрузки»?
Я подозреваю, что автоматическая регистрация не выполняется для контроллера домена, на который указывают клиенты LDAP / S. Помните, что сертификат, используемый для LDAP / S, является либо Domain Controller или Kerberos Authentication сертификат - они будут автоматически зарегистрированы каждым контроллером домена и будут обновлены в соответствии с вашим графиком продления по умолчанию. Проверьте оснастку «Сертификаты» на контроллере домена, чтобы узнать, когда истечет срок ее действия, и спланируйте ее соответствующим образом.
Эта неудача регистрации может быть вызвана рядом причин, включая неправильную конфигурацию в шаблоне сертификата или самом CA (не разрешающую автоматическую регистрацию), проблемы с публикацией CRL или просто отказ службы, такой как RADIUS и службы буферизации.
Первое, что нужно проверить, - это оснастка Enterprise PKI MMC, pkiview.msc. Он сообщит вам, есть ли сбой в обслуживании, не обновлен ли CRL или что-то еще, что вызывает проблему с цепочкой доверия.
Единственное, что я могу придумать, это то, что серверу CA было назначено разрешение на автоматическую регистрацию (и автоматическую повторную регистрацию), а GP включила автоматическую регистрацию. Однако, чтобы убедиться, мне нужно посмотреть на сервер.