我特指在我们的域控制器(Windows Server 2003 SP2)上自行创build的所有域客户端信任的用于内部使用的根CA,而不是GoDaddy,Verisign等Root CA. 也许他们之间有关系。
我见证了它在去年两次更新。 我想了解什么情况会导致它更新,除了到期…我已经检查过了,在任何情况下都没有到期,这仍然是一年。
我怎么看这个? 此CA也用于LDAPS客户端 – 当证书发生更改时,它们停止工作 – 更具体地说,Apache2 mod_ldap ldaps:// auth在发生这种情况时中断,直到域控制器(也称为根CA)重新启动。 一旦所述服务器重新启动,Java LDAPS://客户端就停止工作,重新获取根CA证书可以解决问题 – 但在重新启动之前,Java客户端非常高兴,只有Apache停止工作。
我只是想了解什么事情可以导致Windows Server 2003根CA证书更新。 这个服务器已经很老了(已经部署了将近7年了),并且在我们说话的时候被逐渐淘汰了(重新启动的时候,这是很伤脑筋的)。 几个服务(RADIUS,打印后台处理程序等)在正常运行2-3个月后停止正常工作,所以我几乎想把它写下来。
更新 :Java失败LDAPS身份validation的实际症状,直到其证书更新(根CA或LDAP证书 – 仍在确定…):
sun.security.validator.ValidatorException:PKIXpath构build失败:sun.security.provider.certpath.SunCertPathBuilderException:无法find有效的证书path到请求的目标
更详细的说明:Java LDAPS客户端位于一个不是域成员的Linux服务器上,而是被传输到我们的专用networking中。 Apache位于域成员的Windows服务器上。
证书是否真的更新? 它是否构build一个新的哈希,新的到期date等新的根证书? 或者只是观察到“打破直到重新启动”的问题?
我对这个问题的直觉是,LDAP / S客户端指向的域控制器没有自动注册。 请记住,用于LDAP / S的证书是Domain Controller或Kerberos Authentication证书 – 这些证书将由每个域控制器自动注册,并且将根据默认续订计划进行续订。 检入域控制器上的“证书”pipe理单元,查看它何时到期,然后进行相应的计划。
注册失败可能是由于许多原因,包括证书模板或CA本身(不允许自动注册)的错误configuration,CRL发布问题,或仅仅是RADIUS和假脱机服务等服务故障。
首先要检查的是企业PKI MMCpipe理单元pkiview.msc。 它会告诉你是否有失败的服务,或者如果CRL没有更新,或者其他任何与信任链有关的问题。
我唯一能想到的就是已经为CA服务器分配了自动注册(和自动重新注册)权限,并且GP已经启用了自动注册。 我不得不看看服务器,但肯定。