Articles

Resolver problemas de conexión LDAP sobre SSL

  • 09/08/2020
  • 3 minutos para leer
    • D
    • s
  • Este artículo analiza los pasos sobre cómo solucionar problemas de conexión LDAP sobre SSL (LDAPS).

    Versión original del producto: Windows Server 2003
    Número de KB original: 938703

    Paso 1: Verificar el certificado de autenticación del servidor

    Asegúrese de que el certificado de autenticación del servidor que utiliza cumple los siguientes requisitos:

    • El nombre de dominio completamente cualificado de Active Directory del controlador de dominio aparece en una de las siguientes ubicaciones:

      • El nombre común (CN) en el campo Asunto.
      • La extensión del nombre alternativo del sujeto (SAN) en la entrada DNS.
    • La extensión de uso de la clave mejorada incluye el identificador del objeto de autenticación del servidor (1.3.6.1.5.5.7.3.1).

    • La clave privada asociada está disponible en el controlador de dominio. Para verificar que la clave está disponible, utilice el comando certutil -verifykeys.

    • La cadena del certificado es válida en el equipo cliente. Para determinar si el certificado es válido, siga estos pasos:

  1. En el controlador de dominio, utilice el complemento Certificados para exportar el certificado SSL a un archivo llamado Serverssl.cer.

  2. Copie el archivo Serverssl.cer al equipo cliente.

  3. En el equipo cliente, abra una ventana de símbolo del sistema.

  4. En el símbolo del sistema, escriba el siguiente comando para enviar la salida del comando a un archivo llamado Output.txt:

    certutil -v -urlfetch -verify serverssl.cer > output.txt
    Nota

    Para seguir este paso, debe tener instalada la herramienta de línea de comandos Certutil.

  5. Abra el archivo Output.txt y, a continuación, busque errores.

  6. Paso 2: Verificar el certificado de autenticación de cliente

    En algunos casos, LDAPS utiliza un certificado de autenticación de cliente si está disponible en el equipo cliente. Si dicho certificado está disponible, asegúrese de que el certificado cumple los siguientes requisitos:

    • La extensión de uso de clave mejorada incluye el identificador de objeto de Autenticación de cliente (1.3.6.1.5.7.3.2).

    • La clave privada asociada está disponible en el equipo cliente. Para verificar que la clave está disponible, utilice el comando certutil -verifykeys.

    • La cadena del certificado es válida en el controlador de dominio. Para determinar si el certificado es válido, siga estos pasos:

    1. En el equipo cliente, utilice el complemento Certificados para exportar el certificado SSL a un archivo que se denomine Clientssl.cer.

    2. Copie el archivo Clientssl.cer en el servidor.

    3. En el servidor, abra una ventana de símbolo del sistema.

    4. En el símbolo del sistema, escriba el siguiente comando para enviar la salida del comando a un archivo llamado Outputclient.txt:
      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
    5. Abra el archivo Outputclient.txt y, a continuación, busque errores.

  7. Paso 3: Compruebe si hay varios certificados SSL

    Determine si varios certificados SSL cumplen los requisitos que se describen en el paso 1. Schannel (el proveedor de SSL de Microsoft) selecciona el primer certificado válido que Schannel encuentra en el almacén de Local Computer. Si hay varios certificados válidos en el almacén de Equipo Local, es posible que Schannel no seleccione el certificado correcto. Puede producirse un conflicto con un certificado de autoridad de certificación (CA) si la CA está instalada en un controlador de dominio al que está intentando acceder a través de LDAPS.

    Paso 4: Verificar la conexión LDAPS en el servidor

    Utilice la herramienta Ldp.exe en el controlador de dominio para intentar conectarse al servidor utilizando el puerto 636. Si no puede conectarse al servidor utilizando el puerto 636, consulte los errores que genera Ldp.exe. También, vea los registros del Visor de Eventos para encontrar errores. Para obtener más información sobre cómo utilizar Ldp.exe para conectarse al puerto 636, consulte Cómo habilitar LDAP sobre SSL con una autoridad de certificación de terceros.

    Paso 5: Habilitar el registro de Schannel

    Habilite el registro de eventos de Schannel en el servidor y en el equipo cliente. Para obtener más información sobre cómo habilitar el registro de eventos de Schannel, consulte Cómo habilitar el registro de eventos de Schannel en Windows y Windows Server.

    Nota

    Si tiene que realizar la depuración SSL en un equipo que ejecuta Microsoft Windows NT 4.0, debe utilizar un archivo Schannel.dll para el paquete de servicios de Windows NT 4.0 instalado y, a continuación, conectar un depurador al equipo. El registro de Schannel sólo envía la salida a un depurador en Windows NT 4.0.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *