Solución de problemas de conexión LDAP a través de SSL

  • Artículo

En este artículo se describen los pasos para solucionar problemas de conexión LDAP a través de SSL (LDAPS).

Se aplica a: Windows Server 2003
Número de KB original: 938703

Paso 1: Comprobar el certificado de autenticación del servidor

Asegúrese de que el certificado de autenticación de servidor que usa cumple los siguientes requisitos:

  • El nombre de dominio completo de Active Directory del controlador de dominio aparece en una de las siguientes ubicaciones:

    • Nombre común (CN) en el campo Asunto .
    • La extensión nombre alternativo del firmante (SAN) en la entrada DNS.

  • La extensión de uso de clave mejorada incluye el identificador de objeto autenticación de servidor (1.3.6.1.5.5.7.3.1).

  • La clave privada asociada está disponible en el controlador de dominio. Para comprobar que la clave está disponible, use el certutil -verifykeys comando .

  • La cadena de certificados es válida en el equipo cliente. Para determinar si el certificado es válido, siga estos pasos:

    1. En el controlador de dominio, use el complemento Certificados para exportar el certificado SSL a un archivo denominado Serverssl.cer.

    2. Copie el archivo Serverssl.cer en el equipo cliente.

    3. En el equipo cliente, abra una ventana del símbolo del sistema.

    4. En el símbolo del sistema, escriba el siguiente comando para enviar la salida del comando a un archivo denominado Output.txt:

      certutil -v -urlfetch -verify serverssl.cer > output.txt

      Nota:

      Para seguir este paso, debe tener instalada la herramienta de línea de comandos Certutil.

    5. Abra el archivo Output.txt y, a continuación, busque errores.

Paso 2: Comprobar el certificado de autenticación de cliente

En algunos casos, LDAPS usa un certificado de autenticación de cliente si está disponible en el equipo cliente. Si dicho certificado está disponible, asegúrese de que cumple los siguientes requisitos:

  • La extensión de uso de clave mejorada incluye el identificador de objeto de autenticación de cliente (1.3.6.1.5.5.7.3.2).

  • La clave privada asociada está disponible en el equipo cliente. Para comprobar que la clave está disponible, use el certutil -verifykeys comando .

  • La cadena de certificados es válida en el controlador de dominio. Para determinar si el certificado es válido, siga estos pasos:

    1. En el equipo cliente, use el complemento Certificados para exportar el certificado SSL a un archivo denominado Clientssl.cer.

    2. Copie el archivo Clientssl.cer en el servidor.

    3. En el servidor, abra una ventana del símbolo del sistema.

    4. En el símbolo del sistema, escriba el siguiente comando para enviar la salida del comando a un archivo denominado Outputclient.txt:

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt

    5. Abra el archivo Outputclient.txt y, a continuación, busque errores.

Paso 3: Comprobación de varios certificados SSL

Determine si varios certificados SSL cumplen los requisitos que se describen en el paso 1. Schannel (el proveedor SSL de Microsoft) selecciona el primer certificado válido que Schannel encuentra en el almacén de equipos locales. Si hay varios certificados válidos disponibles en el almacén equipo local, es posible que Schannel no seleccione el certificado correcto. Puede producirse un conflicto con un certificado de entidad de certificación (CA) si la ca está instalada en un controlador de dominio al que intenta acceder a través de LDAPS.

Paso 4: Comprobar la conexión LDAPS en el servidor

Use la herramienta Ldp.exe del controlador de dominio para intentar conectarse al servidor mediante el puerto 636. Si no puede conectarse al servidor mediante el puerto 636, consulte los errores que Ldp.exe genera. Además, vea los registros de Visor de eventos para buscar errores. Para obtener más información sobre cómo usar Ldp.exe para conectarse al puerto 636, consulte Habilitación de LDAP a través de SSL con una entidad de certificación de terceros.

Paso 5: Habilitar el registro de Schannel

Habilite el registro de eventos Schannel en el servidor y en el equipo cliente. Para obtener más información sobre cómo habilitar el registro de eventos Schannel, vea How to enable Schannel event logging in Windows and Windows Server (Cómo habilitar el registro de eventos Schannel en Windows y Windows Server).

Nota:

Si tiene que realizar la depuración SSL en un equipo que ejecuta Microsoft Windows NT 4.0, debe usar un archivo Schannel.dll para el Service Pack de Windows NT 4.0 instalado y, a continuación, conectar un depurador al equipo. El registro Schannel solo envía la salida a un depurador en Windows NT 4.0.