Nedávno jsem řešil problém s SSL certifikátem na Windows Server LDAP serveru. Došlo k výměně certifikátu za novější, import proběhl korektně - nový certifikát byl vidět mezi osobními certifikáty ve správci certifikátů pro počítač. Dále proběhlo odstranění starého certifikátu a restart serveru, problém ovšem nezmizel.

LDAP na portu 636 (SSL verze) naslouchal, ale nedalo se na něj připojit (ani z utility ldp.exe). Dále se v prohlížeči události objevovala při připojení chyba Schannel s ID události 36881 - Certifikát přijatý od vzdáleného serveru buď vypršel, nebo dosud nezačal platit. Žádost o připojení TLS selhala. Připojená data obsahují certifikát serveru. proces klienta SSPI ldp.

Při kontrole certifikátu pomocí OpenSSL: openssl s_client -connect DC01.contoso.com:636 | findstr NotBefore jsem zjistil, že certifikát je stále nezměněný respektive mu vypršela platnost. Provedl jsem smazání nového certifikátu, restart serveru a nový import, ale problém se stále nepodařilo vyřešit.

Nakonec pomohlo vyexportovat nový certifikát (např. pro otisk 4D625A11AE1AF2BEB02630C71DF16DA6A21922D6) z registru - v umístění HKLM\SOFTWARE\Microsoft\SystemCertificates\My\Certificates\4D625A11AE1AF2BEB02630C71DF16DA6A21922D6. Dále tento vyexportovaný klíč upravit tak, aby v souboru byla nová cesta - HKLM\SOFTWARE\Microsoft\Cryptography\Services\NTDS\SystemCertificates\My\Certificates\4D625A11AE1AF2BEB02630C71DF16DA6A21922D6. Následně tento reg soubor importovat do registrů a ten předchozí v nové cestě smazat.

Tímto dojde k úspěšné náhradě certifikátu a LDAPS bude fungovat. Další informace lze nalézt v článku na MSDN.