Я пытаюсь включить SSL для Active Directory в нашем домене. Проблема, с которой я сталкиваюсь, состоит в том, что серверу не удается распознать сертификат, который я сделал для него. Каждый раз, когда я пытаюсь запросить сервер с помощью ssl (использование ldp.exe), я получаю событие 36886, которое в основном указывает, что подходящий сертификат не мог быть найден на сервере.
Я прошел эту статью Кбита для поиска и устранения неисправностей, и вот то, что я имею
Я поместил сертификат в хранилище сертификатов локальной машины под Персональным контейнером. Я использовал openssl на машине Linux как CA и поместил его сертификат под контейнером Доверенных корневых центров сертификации.
Мои контроллеры домена FQDN находятся в Предмете сертификата. Альтернативное название было также добавлено в разделе extendedKeyUsage, никакой работы при запросах.
Когда я дважды щелкаю по сертификату в mmc консоли, он указывает внизу, что "У Вас есть закрытый ключ, который соответствует этому сертификату" однако согласно инструкциям КБ, которые я выполняюcertutil -verifykeys
команда и это возвращаются The system cannot find the file specified
.
Когда я дважды щелкаю по сертификату и перехожу к Пути Сертификации, он перечисляет мой CA, и затем в сертификате, затем ниже его говорится, что Этот сертификат в порядке, таким образом, я предполагаю, что означает, что цепочка допустима.
Это - единственный сертификат в Персональном хранилище для компьютера
Когда я делаю что-то как certutil -verifystore MY 0
это перечисляет сертификат и единственные жалобы, которые это имеет, о списке аннулирования, потому что я никогда не делал crl, но это все еще говорит, что сертификат действителен в конце.
Я предполагаю причину, которую это приводит к сбою, связывается с почему certutil -verifykeys
перестал работать, но я не смог найти то, что это на самом деле означает, когда я получаю ошибку, которую я делаю.
Кто-либо может указать на меня в правильном направлении?
Включение журнала событий CAPI2. События ошибок в журнале CAPI2 обычно предоставляют дополнительную информацию о проблемах с сертификатом.
Журналы приложений и служб> Microsoft> Windows> CAPI2
CRL является требованием для SSL. Сначала вы должны это исправить. Все остальное, что я перечисляю, - это то, что вы можете проверить, если это не решит проблему.
Поскольку вы получаете сообщение об ошибке при проверке ключа, убедитесь, что ACL в папке MachineKeys правильный и что закрытый ключ не использует Надежное шифрование закрытого ключа.
Вы сказали, что поместили сертификат машины Linux в папку Trusted Root. Вы сделали это на контроллерах домена и на клиенте?
Ссылки:
Эта ссылка предназначена для LDAPS, но содержит полезную информацию о SSL, поскольку она необходима: https://support2.microsoft.com/default.aspx?scid=kb;en-us;321051