Вопросы Теги

AD сервер, не используя сертификат для Active Directory LDAP + SSL

Я пытаюсь включить SSL для Active Directory в нашем домене. Проблема, с которой я сталкиваюсь, состоит в том, что серверу не удается распознать сертификат, который я сделал для него. Каждый раз, когда я пытаюсь запросить сервер с помощью ssl (использование ldp.exe), я получаю событие 36886, которое в основном указывает, что подходящий сертификат не мог быть найден на сервере.

Я прошел эту статью Кбита для поиска и устранения неисправностей, и вот то, что я имею

  • Я поместил сертификат в хранилище сертификатов локальной машины под Персональным контейнером. Я использовал openssl на машине Linux как CA и поместил его сертификат под контейнером Доверенных корневых центров сертификации.

  • Мои контроллеры домена FQDN находятся в Предмете сертификата. Альтернативное название было также добавлено в разделе extendedKeyUsage, никакой работы при запросах.

  • У меня есть serverAuth и clientAuth в разделе EnhancedKeyUsage

  • Когда я дважды щелкаю по сертификату в mmc консоли, он указывает внизу, что "У Вас есть закрытый ключ, который соответствует этому сертификату" однако согласно инструкциям КБ, которые я выполняюcertutil -verifykeys команда и это возвращаются The system cannot find the file specified.

  • Когда я дважды щелкаю по сертификату и перехожу к Пути Сертификации, он перечисляет мой CA, и затем в сертификате, затем ниже его говорится, что Этот сертификат в порядке, таким образом, я предполагаю, что означает, что цепочка допустима.

  • Это - единственный сертификат в Персональном хранилище для компьютера

  • Когда я делаю что-то как certutil -verifystore MY 0 это перечисляет сертификат и единственные жалобы, которые это имеет, о списке аннулирования, потому что я никогда не делал crl, но это все еще говорит, что сертификат действителен в конце.

Я предполагаю причину, которую это приводит к сбою, связывается с почему certutil -verifykeys перестал работать, но я не смог найти то, что это на самом деле означает, когда я получаю ошибку, которую я делаю.

Кто-либо может указать на меня в правильном направлении?

3
задан 29 April 2015 в 17:35
2 ответа

Включение журнала событий CAPI2. События ошибок в журнале CAPI2 обычно предоставляют дополнительную информацию о проблемах с сертификатом.

Журналы приложений и служб> Microsoft> Windows> CAPI2

2
ответ дан 3 December 2019 в 06:32

CRL является требованием для SSL. Сначала вы должны это исправить. Все остальное, что я перечисляю, - это то, что вы можете проверить, если это не решит проблему.

Поскольку вы получаете сообщение об ошибке при проверке ключа, убедитесь, что ACL в папке MachineKeys правильный и что закрытый ключ не использует Надежное шифрование закрытого ключа.

Вы сказали, что поместили сертификат машины Linux в папку Trusted Root. Вы сделали это на контроллерах домена и на клиенте?

Ссылки:

http://blogs.technet.com/b/instan/archive/2009/01/05/schannel-36872-or-schannel-36870 -on-a-domain-controller.aspx

Эта ссылка предназначена для LDAPS, но содержит полезную информацию о SSL, поскольку она необходима: https://support2.microsoft.com/default.aspx?scid=kb;en-us;321051

1
ответ дан 3 December 2019 в 06:32

Теги

Похожие вопросы