Risolvere i problemi di connessione LDAP su SSL

  • Articolo

Questo articolo illustra i passaggi per risolvere i problemi di connessione LDAP over SSL (LDAPS).

Si applica a: Windows Server 2003
Numero KB originale: 938703

Passaggio 1: Verificare il certificato di autenticazione server

Assicurarsi che il certificato di autenticazione server usato soddisfi i requisiti seguenti:

  • Il nome di dominio completo di Active Directory del controller di dominio viene visualizzato in una delle posizioni seguenti:

    • Nome comune (CN) nel campo Oggetto .
    • Estensione SAN (Subject Alternative Name) nella voce DNS.

  • L'estensione di utilizzo della chiave avanzata include l'identificatore dell'oggetto Autenticazione server (1.3.6.1.5.5.7.3.1).

  • La chiave privata associata è disponibile nel controller di dominio. Per verificare che la chiave sia disponibile, usare il certutil -verifykeys comando .

  • La catena di certificati è valida nel computer client. Per determinare se il certificato è valido, seguire questa procedura:

    1. Nel controller di dominio usare lo snap-in Certificati per esportare il certificato SSL in un file denominato Serverssl.cer.

    2. Copiare il file Serverssl.cer nel computer client.

    3. Nel computer client aprire una finestra del prompt dei comandi.

    4. Al prompt dei comandi digitare il comando seguente per inviare l'output del comando a un file denominato Output.txt:

      certutil -v -urlfetch -verify serverssl.cer > output.txt

      Nota

      Per eseguire questo passaggio, è necessario che sia installato lo strumento da riga di comando Certutil.

    5. Aprire il file Output.txt e quindi cercare gli errori.

Passaggio 2: Verificare il certificato di autenticazione client

In alcuni casi, LDAPS usa un certificato di autenticazione client se è disponibile nel computer client. Se tale certificato è disponibile, assicurarsi che il certificato soddisfi i requisiti seguenti:

  • L'estensione di utilizzo della chiave avanzata include l'identificatore dell'oggetto Autenticazione client (1.3.6.1.5.5.7.3.2).

  • La chiave privata associata è disponibile nel computer client. Per verificare che la chiave sia disponibile, usare il certutil -verifykeys comando .

  • La catena di certificati è valida nel controller di dominio. Per determinare se il certificato è valido, seguire questa procedura:

    1. Nel computer client usare lo snap-in Certificati per esportare il certificato SSL in un file denominato Clientssl.cer.

    2. Copiare il file Clientssl.cer nel server.

    3. Nel server aprire una finestra del prompt dei comandi.

    4. Al prompt dei comandi digitare il comando seguente per inviare l'output del comando a un file denominato Outputclient.txt:

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt

    5. Aprire il file Outputclient.txt e quindi cercare gli errori.

Passaggio 3: Verificare la presenza di più certificati SSL

Determinare se più certificati SSL soddisfano i requisiti descritti nel passaggio 1. Schannel (il provider SSL Microsoft) seleziona il primo certificato valido trovato da Schannel nell'archivio computer locale. Se nell'archivio computer locale sono disponibili più certificati validi, Schannel potrebbe non selezionare il certificato corretto. Può verificarsi un conflitto con un certificato dell'autorità di certificazione (CA) se la CA è installata in un controller di dominio a cui si sta tentando di accedere tramite LDAPS.

Passaggio 4: Verificare la connessione LDAPS nel server

Usare lo strumento Ldp.exe nel controller di dominio per provare a connettersi al server usando la porta 636. Se non è possibile connettersi al server usando la porta 636, vedere gli errori generati Ldp.exe. Visualizzare anche i log Visualizzatore eventi per individuare gli errori. Per altre informazioni su come usare Ldp.exe per connettersi alla porta 636, vedere Come abilitare LDAP tramite SSL con un'autorità di certificazione di terze parti.

Passaggio 5: Abilitare la registrazione Schannel

Abilitare la registrazione degli eventi Schannel nel server e nel computer client. Per altre informazioni su come abilitare la registrazione eventi Schannel, vedere Come abilitare la registrazione degli eventi Schannel in Windows e Windows Server.

Nota

Se è necessario eseguire il debug SSL in un computer che esegue Microsoft Windows NT 4.0, è necessario usare un file Schannel.dll per il Service Pack di Windows NT 4.0 installato e quindi connettere un debugger al computer. La registrazione Schannel invia solo l'output a un debugger in Windows NT 4.0.