Articles

Troubleshoot LDAP over SSL connection problems

  • 09/08/2020
  • 3 minuti per leggere
    • D
    • s

Questo articolo discute i passi su come risolvere i problemi di connessione LDAP over SSL (LDAPS).

Versione originale del prodotto: Windows Server 2003
Numero originale della KB: 938703

Passo 1: Verificare il certificato di autenticazione del server

Assicurati che il certificato di autenticazione del server che usi soddisfi i seguenti requisiti:

  • Il nome di dominio pienamente qualificato di Active Directory del controller di dominio appare in una delle seguenti posizioni:

    • Il nome comune (CN) nel campo Oggetto.
    • L’estensione Subject Alternative Name (SAN) nella voce DNS.
  • L’estensione di utilizzo della chiave migliorata include l’identificatore dell’oggetto Server Authentication (1.3.6.1.5.5.7.3.1).

  • La chiave privata associata è disponibile sul controller di dominio. Per verificare che la chiave sia disponibile, usa il comando certutil -verifykeys.

  • La catena del certificato è valida sul computer client. Per determinare se il certificato è valido, segui questi passi:

    1. Sul controller di dominio, usa lo snap-in Certificati per esportare il certificato SSL in un file chiamato Serverssl.cer.

    2. Copia il file Serverssl.cer sul computer client.

    3. Sul computer client, apri una finestra del prompt dei comandi.

    4. Al prompt dei comandi, digita il seguente comando per inviare l’output del comando a un file chiamato Output.txt:

      certutil -v -urlfetch -verify serverssl.cer > output.txt

      Nota

      Per seguire questo passo, devi avere installato lo strumento a riga di comando Certutil.

    5. Apri il file Output.txt, e poi cerca gli errori.

Step 2: Verificare il certificato di autenticazione del client

In alcuni casi, LDAPS usa un certificato di autenticazione del client se è disponibile sul computer client. Se tale certificato è disponibile, assicurati che il certificato soddisfi i seguenti requisiti:

  • L’estensione d’uso della chiave avanzata include l’identificatore dell’oggetto Autenticazione client (1.3.6.1.5.5.7.3.2).

  • La chiave privata associata è disponibile sul computer client. Per verificare che la chiave sia disponibile, usa il comando certutil -verifykeys.

  • La catena del certificato è valida sul controller di dominio. Per determinare se il certificato è valido, segui questi passi:

    1. Sul computer client, usa lo snap-in Certificati per esportare il certificato SSL in un file chiamato Clientssl.cer.

    2. Copia il file Clientssl.cer sul server.

    3. Sul server, apri una finestra Prompt dei comandi.

    4. Al prompt dei comandi, digita il seguente comando per inviare l’output del comando a un file chiamato Outputclient.txt:

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
    5. Apri il file Outputclient.txt, e poi cerca gli errori.

Passo 3: Verificare la presenza di più certificati SSL

Determinare se più certificati SSL soddisfano i requisiti descritti nel passo 1. Schannel (il provider SSL di Microsoft) seleziona il primo certificato valido che Schannel trova nel negozio Local Computer. Se più certificati validi sono disponibili nel negozio del computer locale, Schannel potrebbe non selezionare il certificato corretto. Un conflitto con un certificato dell’autorità di certificazione (CA) può accadere se la CA è installata su un controller di dominio che stai provando ad accedere attraverso LDAPS.

Passo 4: Verifica la connessione LDAPS sul server

Usa lo strumento Ldp.exe sul controller di dominio per provare a connettersi al server usando la porta 636. Se non puoi connetterti al server usando la porta 636, guarda gli errori che Ldp.exe genera. Inoltre, visualizza i log di Event Viewer per trovare gli errori. Per maggiori informazioni su come usare Ldp.exe per connettersi alla porta 636, vedi Come abilitare LDAP su SSL con un’autorità di certificazione di terze parti.

Passo 5: Abilita la registrazione di Schannel

Abilita la registrazione di eventi Schannel sul server e sul computer client. Per maggiori informazioni su come abilitare la registrazione degli eventi Schannel, vedi Come abilitare la registrazione degli eventi Schannel in Windows e Windows Server.

Nota

Se devi eseguire il debug SSL su un computer che sta eseguendo Microsoft Windows NT 4.0, devi usare un file Schannel.dll per il service pack Windows NT 4.0 installato e poi collegare un debugger al computer. La registrazione Schannel invia l’output a un debugger solo in Windows NT 4.0.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *