ISNCA

Symposium

Articles

Problemas de resolução de problemas de ligação LDAP sobre SSL
admin
No Comments
  • 09/08/2020
  • 3 minutos para ler
  • ul>
  • D
  • s

/li> /ul>

Este artigo discute passos sobre como resolver problemas de ligação LDAP sobre SSL (LDAPS).

Versão do produto original: Windows Server 2003
Número original KB: 938703

Passo 1: Verificar o certificado de autenticação do servidor

Certifique-se de que o certificado de autenticação do servidor que utiliza cumpre os seguintes requisitos:

  • O Active Directory nome de domínio totalmente qualificado do controlador de domínio aparece num dos seguintes locais:

    • O nome comum (CN) no campo Assunto.
    • A extensão Subject Alternative Name (SAN) na entrada DNS.
  • p>> A extensão de utilização da chave melhorada inclui o identificador de objecto Server Authentication (1.3.6.1.5.5.7.3.1).
  • p> A chave privada associada está disponível no controlador de domínio. Para verificar se a chave está disponível, utilizar o certutil -verifykeys command.

  • A cadeia de certificados é válida no computador cliente. Para determinar se o certificado é válido, siga estes passos:

    1. p> No controlador de domínio, use o snap-in Certificados para exportar o certificado SSL para um ficheiro chamado Serverssl.cer.
    2. p>p>Copiar o Serverssl.cer ficheiro para o computador cliente.
    3. p> No computador cliente, abra uma janela de Prompt de Comando.
    5. p> No prompt de comando, digite o seguinte comando para enviar o comando de saída para um ficheiro que se chama Output.txt: 
      certutil -v -urlfetch -verify serverssl.cer > output.txt

      Nota

      Para seguir este passo, é necessário ter instalada a ferramenta de linha de comando Certutil.

    6. Abrir o ficheiro Output.txt, e depois procurar por erros.

Passo 2: Verificar o certificado de Autenticação do Cliente

Em alguns casos, o LDAPS utiliza um certificado de Autenticação do Cliente se este estiver disponível no computador cliente. Se tal certificado estiver disponível, certifique-se de que o certificado cumpre os seguintes requisitos:

  • A extensão de utilização da chave melhorada inclui o identificador do objecto Client Authentication (1.3.6.1.5.5.7.3.2).

  • A chave privada associada está disponível no computador cliente. Para verificar se a chave está disponível, utilizar o certutil -verifykeys command.

  • A cadeia de certificados é válida no controlador de domínio. Para determinar se o certificado é válido, siga estes passos:

    1. No computador cliente, use o snap-in Certificados para exportar o certificado SSL para um ficheiro chamado Clientssl.cer.

    2. p>Copiar o ficheiro Clientssl.cer para o servidor.
    3. p> No servidor, abra uma janela de Prompt de Comando.

    4. No prompt de comando, digite o seguinte comando para enviar a saída do comando para um ficheiro que se chama Outputclient.txt:

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
    5. p>>Abrir o Outputclient.txt, e depois procurar por erros.

Passo 3: Verificar vários certificados SSL

Determinar se vários certificados SSL cumprem os requisitos que são descritos no passo 1. Schannel (o fornecedor de Microsoft SSL) selecciona o primeiro certificado válido que Schannel encontra na loja Local Computer. Se vários certificados válidos estiverem disponíveis na loja Local Computer, a Schannel pode não seleccionar o certificado correcto. Pode ocorrer um conflito com um certificado de autoridade de certificação (CA) se a CA estiver instalada num controlador de domínio que esteja a tentar aceder através de LDAPS.

Step 4: Verificar a ligação LDAPS no servidor

Utilizar a ferramenta Ldp.exe no controlador de domínio para tentar ligar-se ao servidor usando a porta 636. Se não se conseguir ligar ao servidor utilizando a porta 636, ver os erros que o Ldp.exe gera. Além disso, veja os registos do Event Viewer para encontrar erros. Para mais informações sobre como utilizar Ldp.exe para se ligar à porta 636, ver Como activar o LDAP sobre SSL com uma autoridade de certificação de terceiros.

Passo 5: Activar o registo de eventos Schannel

Activar o registo de eventos Schannel no servidor e no computador cliente. Para mais informações sobre como activar o registo de eventos Schannel, ver Como activar o registo de eventos Schannel no Windows e no Windows Server.

Nota

Se tiver de efectuar a depuração SSL num computador que esteja a executar o Microsoft Windows NT 4.0, deve utilizar um ficheiro Schannel.dll para o pacote de serviço Windows NT 4.0 instalado e depois ligar um depurador ao computador. O registo Schannel apenas envia a saída para um depurador no Windows NT 4.0.

Share :

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *