Problemas de resolução de problemas de ligação LDAP sobre SSL
- 09/08/2020
- 3 minutos para ler
- ul>
- D
- s
/li> /ul>
Este artigo discute passos sobre como resolver problemas de ligação LDAP sobre SSL (LDAPS).
Versão do produto original: Windows Server 2003
Número original KB: 938703
Passo 1: Verificar o certificado de autenticação do servidor
Certifique-se de que o certificado de autenticação do servidor que utiliza cumpre os seguintes requisitos:
-
O Active Directory nome de domínio totalmente qualificado do controlador de domínio aparece num dos seguintes locais:
- O nome comum (CN) no campo Assunto.
- A extensão Subject Alternative Name (SAN) na entrada DNS.
- p>> A extensão de utilização da chave melhorada inclui o identificador de objecto Server Authentication (1.3.6.1.5.5.7.3.1).
- p> A chave privada associada está disponível no controlador de domínio. Para verificar se a chave está disponível, utilizar o
certutil -verifykeys
command. -
A cadeia de certificados é válida no computador cliente. Para determinar se o certificado é válido, siga estes passos:
- p> No controlador de domínio, use o snap-in Certificados para exportar o certificado SSL para um ficheiro chamado Serverssl.cer.
- p>p>Copiar o Serverssl.cer ficheiro para o computador cliente.
- p> No computador cliente, abra uma janela de Prompt de Comando.
- p> No prompt de comando, digite o seguinte comando para enviar o comando de saída para um ficheiro que se chama Output.txt:
certutil -v -urlfetch -verify serverssl.cer > output.txt
Nota
Para seguir este passo, é necessário ter instalada a ferramenta de linha de comando Certutil.
-
Abrir o ficheiro Output.txt, e depois procurar por erros.
Passo 2: Verificar o certificado de Autenticação do Cliente
Em alguns casos, o LDAPS utiliza um certificado de Autenticação do Cliente se este estiver disponível no computador cliente. Se tal certificado estiver disponível, certifique-se de que o certificado cumpre os seguintes requisitos:
-
A extensão de utilização da chave melhorada inclui o identificador do objecto Client Authentication (1.3.6.1.5.5.7.3.2).
-
A chave privada associada está disponível no computador cliente. Para verificar se a chave está disponível, utilizar o
certutil -verifykeys
command. -
A cadeia de certificados é válida no controlador de domínio. Para determinar se o certificado é válido, siga estes passos:
-
No computador cliente, use o snap-in Certificados para exportar o certificado SSL para um ficheiro chamado Clientssl.cer.
- p>Copiar o ficheiro Clientssl.cer para o servidor.
- p> No servidor, abra uma janela de Prompt de Comando.
-
No prompt de comando, digite o seguinte comando para enviar a saída do comando para um ficheiro que se chama Outputclient.txt:
certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
- p>>Abrir o Outputclient.txt, e depois procurar por erros.
-
Passo 3: Verificar vários certificados SSL
Determinar se vários certificados SSL cumprem os requisitos que são descritos no passo 1. Schannel (o fornecedor de Microsoft SSL) selecciona o primeiro certificado válido que Schannel encontra na loja Local Computer. Se vários certificados válidos estiverem disponíveis na loja Local Computer, a Schannel pode não seleccionar o certificado correcto. Pode ocorrer um conflito com um certificado de autoridade de certificação (CA) se a CA estiver instalada num controlador de domínio que esteja a tentar aceder através de LDAPS.
Step 4: Verificar a ligação LDAPS no servidor
Utilizar a ferramenta Ldp.exe no controlador de domínio para tentar ligar-se ao servidor usando a porta 636. Se não se conseguir ligar ao servidor utilizando a porta 636, ver os erros que o Ldp.exe gera. Além disso, veja os registos do Event Viewer para encontrar erros. Para mais informações sobre como utilizar Ldp.exe para se ligar à porta 636, ver Como activar o LDAP sobre SSL com uma autoridade de certificação de terceiros.
Passo 5: Activar o registo de eventos Schannel
Activar o registo de eventos Schannel no servidor e no computador cliente. Para mais informações sobre como activar o registo de eventos Schannel, ver Como activar o registo de eventos Schannel no Windows e no Windows Server.
Nota
Se tiver de efectuar a depuração SSL num computador que esteja a executar o Microsoft Windows NT 4.0, deve utilizar um ficheiro Schannel.dll para o pacote de serviço Windows NT 4.0 instalado e depois ligar um depurador ao computador. O registo Schannel apenas envia a saída para um depurador no Windows NT 4.0.