Dépannage des problèmes de connexion LDAP sur SSL
- 09/08/2020
- 3 minutes de lecture
-
- D
- s
Cet article présente les étapes à suivre pour résoudre les problèmes de connexion LDAP sur SSL (LDAPS).
Version du produit d’origine : Windows Server 2003
Numéro de KB original : 938703
Etape 1 : Vérifier le certificat d’authentification du serveur
Vérifiez que le certificat d’authentification du serveur que vous utilisez répond aux exigences suivantes :
-
Le nom de domaine entièrement qualifié Active Directory du contrôleur de domaine apparaît à l’un des emplacements suivants :
- Le nom commun (CN) dans le champ Sujet.
- L’extension Subject Alternative Name (SAN) dans l’entrée DNS.
-
L’extension d’utilisation de la clé améliorée inclut l’identifiant de l’objet Server Authentication (1.3.6.1.5.5.7.3.1).
-
La clé privée associée est disponible sur le contrôleur de domaine. Pour vérifier que la clé est disponible, utilisez la commande
certutil -verifykeys
.
La chaîne de certificats est valide sur l’ordinateur client. Pour déterminer si le certificat est valide, procédez comme suit :
-
Sur le contrôleur de domaine, utilisez le snap-in Certificats pour exporter le certificat SSL vers un fichier nommé Serverssl.cer.
-
Copier le fichier Serverssl.cer sur l’ordinateur client.
-
Sur l’ordinateur client, ouvrez une fenêtre d’invite de commande.
-
À l’invite de commande, tapez la commande suivante pour envoyer la sortie de la commande dans un fichier qui est nommé Output.txt:
certutil -v -urlfetch -verify serverssl.cer > output.txt
NotePour suivre cette étape, vous devez avoir installé l’outil de ligne de commande Certutil.
-
Ouvrir le fichier Output.txt, puis rechercher les erreurs.
Étape 2 : Vérifier le certificat d’authentification du client
Dans certains cas, LDAPS utilise un certificat d’authentification du client s’il est disponible sur l’ordinateur client. Si un tel certificat est disponible, assurez-vous que le certificat répond aux exigences suivantes :
-
L’extension d’utilisation de clé améliorée inclut l’identifiant d’objet d’authentification du client (1.3.6.1.5.5.7.3.2).
-
La clé privée associée est disponible sur l’ordinateur client. Pour vérifier que la clé est disponible, utilisez la commande
certutil -verifykeys
.
La chaîne de certificats est valide sur le contrôleur de domaine. Pour déterminer si le certificat est valide, procédez comme suit :
-
Sur l’ordinateur client, utilisez le snap-in Certificats pour exporter le certificat SSL vers un fichier nommé Clientssl.cer.
-
Copier le fichier Clientssl.cer sur le serveur.
-
Sur le serveur, ouvrez une fenêtre d’invite de commande.
- A l’invite de commande, tapez la commande suivante pour envoyer la sortie de la commande dans un fichier nommé Outputclient.txt:
certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
-
Ouvrir le fichier Outputclient.txt, puis recherchez les erreurs.
Étape 3 : vérifier la présence de plusieurs certificats SSL
Déterminer si plusieurs certificats SSL répondent aux exigences qui sont décrites à l’étape 1. Schannel (le fournisseur SSL de Microsoft) sélectionne le premier certificat valide que Schannel trouve dans le magasin de l’ordinateur local. Si plusieurs certificats valides sont disponibles dans le magasin de l’ordinateur local, Schannel peut ne pas sélectionner le bon certificat. Un conflit avec un certificat d’autorité de certification (CA) peut se produire si la CA est installée sur un contrôleur de domaine auquel vous essayez d’accéder par LDAPS.
Etape 4 : Vérifier la connexion LDAPS sur le serveur
Utiliser l’outil Ldp.exe sur le contrôleur de domaine pour essayer de se connecter au serveur en utilisant le port 636. Si vous ne pouvez pas vous connecter au serveur en utilisant le port 636, consultez les erreurs que Ldp.exe génère. Consultez également les journaux de l’Observateur d’événements pour trouver les erreurs. Pour plus d’informations sur l’utilisation de Ldp.exe pour se connecter au port 636, voir Comment activer LDAP sur SSL avec une autorité de certification tierce.
Étape 5 : Activer la journalisation Schannel
Activer la journalisation des événements Schannel sur le serveur et sur l’ordinateur client. Pour plus d’informations sur l’activation de la journalisation des événements Schannel, consultez la section Comment activer la journalisation des événements Schannel dans Windows et Windows Server.
Note
Si vous devez effectuer un débogage SSL sur un ordinateur qui exécute Microsoft Windows NT 4.0, vous devez utiliser un fichier Schannel.dll pour le service pack Windows NT 4.0 installé, puis connecter un débogueur à l’ordinateur. La journalisation Schannel n’envoie la sortie vers un débogueur que sous Windows NT 4.0.
.