我正在尝试为我们的域中的Active Directory启用SSL。 我遇到的问题是,服务器无法识别我为它所做的证书。 每当我尝试使用ssl(使用ldp.exe)来查询服务器,我得到事件36886,基本上说,在服务器上找不到合适的证书。
我已经通过这篇文章进行故障排除,这里是我得到的
我已将证书放在本地计算机的证书存储区的“个人”容器下。 我在Linux机器上使用openssl作为CA,并将其证书放置在“受信任的根证书颁发机构”容器下。
我的域控制器FQDN位于证书的主题中。 在extendedKeyUsage部分中也添加了一个备用名称,查询时也不起作用。
当我双击mmc控制台中的证书时,它在底部指出“你有一个对应于这个证书的私钥”, 然而,按照KB指令,我运行certutil -verifykeys命令并返回The system cannot find the file specified 。
当我双击证书并去authenticationpath,它列出我的CA,然后证书,然后下面说这个证书是好的,所以我假设这意味着链是有效的。
这是电脑个人存储中的唯一证书
当我做了类似certutil -verifystore MY 0事情时,它列出了证书,唯一的抱怨是关于撤销列表,因为我从来没有做过crl,但是仍然认为证书在最后是有效的。
我猜测它失败的原因与certutil -verifykeys失败的原因certutil -verifykeys ,但是当我得到我所做的错误时,我一直无法find它的实际含义。
任何人都可以指向正确的方向吗?
启用CAPI2事件日志。 CAPI2日志中的错误事件通常提供有关证书问题的更多信息。
应用程序和服务日志> Microsoft> Windows> CAPI2
CRL是SSL的一项要求。 你必须先解决这个问题。 我所列出的其他东西是你可以检查是否不能解决的东西。
由于validation密钥时出错,请确保MachineKeys文件夹中的ACL正确,并且私钥不使用强私钥encryption。
你说你把Linux机器的证书放在Trusted Root文件夹里。 你是否在区议会和客户那里做到这一点?
参考文献:
此链接适用于LDAPS,但包含有关SSL的良好信息,因为它是必需的: https : //support2.microsoft.com/default.aspx? scid = kb; en-us; 321051