SSL 연결 문제를 통해 LDAP 문제 해결

  • 아티클

이 문서에서는 LDAPS(SSL) 연결 문제를 통해 LDAP를 해결하는 방법에 대해 설명합니다.

적용 대상: Windows Server 2003
원래 KB 번호: 938703

1단계: 서버 인증 인증서 확인

사용하는 서버 인증 인증서가 다음 요구 사항을 충족하는지 확인합니다.

  • 도메인 컨트롤러의 Active Directory 정규화된 도메인 이름은 다음 위치 중 하나에 표시됩니다.

    • 제목 필드의 CN(일반 이름)입니다.
    • DNS 항목의 SAN(주체 대체 이름) 확장입니다.

  • 향상된 키 사용 확장에는 서버 인증 개체 식별자(1.3.6.1.5.5.7.3.1)가 포함됩니다.

  • 연결된 프라이빗 키는 도메인 컨트롤러에서 사용할 수 있습니다. 키를 사용할 수 있는지 확인하려면 명령을 사용합니다 certutil -verifykeys .

  • 인증서 체인은 클라이언트 컴퓨터에서 유효합니다. 인증서가 유효한지 확인하려면 다음 단계를 수행합니다.

    1. 도메인 컨트롤러에서 인증서 스냅인을 사용하여 SSL 인증서를 Serverssl.cer 파일로 내보냅니다.

    2. Serverssl.cer 파일을 클라이언트 컴퓨터에 복사합니다.

    3. 클라이언트 컴퓨터에서 명령 프롬프트 창을 엽니다.

    4. 명령 프롬프트에서 다음 명령을 입력하여 명령 출력을 Output.txt파일로 보냅니다.

      certutil -v -urlfetch -verify serverssl.cer > output.txt

      참고

      이 단계를 수행하려면 Certutil 명령줄 도구가 설치되어 있어야 합니다.

    5. Output.txt 파일을 열고 오류를 검색합니다.

2단계: 클라이언트 인증 인증서 확인

경우에 따라 LDAPS는 클라이언트 컴퓨터에서 사용할 수 있는 경우 클라이언트 인증 인증서를 사용합니다. 이러한 인증서를 사용할 수 있는 경우 인증서가 다음 요구 사항을 충족하는지 확인합니다.

  • 향상된 키 사용 확장에는 클라이언트 인증 개체 식별자(1.3.6.1.5.5.7.3.2)가 포함됩니다.

  • 연결된 프라이빗 키는 클라이언트 컴퓨터에서 사용할 수 있습니다. 키를 사용할 수 있는지 확인하려면 명령을 사용합니다 certutil -verifykeys .

  • 인증서 체인은 도메인 컨트롤러에서 유효합니다. 인증서가 유효한지 확인하려면 다음 단계를 수행합니다.

    1. 클라이언트 컴퓨터에서 인증서 스냅인을 사용하여 SSL 인증서를 Clientssl.cer 파일로 내보냅니다.

    2. Clientssl.cer 파일을 서버에 복사합니다.

    3. 서버에서 명령 프롬프트 창을 엽니다.

    4. 명령 프롬프트에서 다음 명령을 입력하여 명령 출력을 Outputclient.txt파일로 보냅니다.

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt

    5. Outputclient.txt 파일을 열고 오류를 검색합니다.

3단계: 여러 SSL 인증서 확인

여러 SSL 인증서가 1단계에서 설명하는 요구 사항을 충족하는지 확인합니다. Schannel(Microsoft SSL 공급자)은 Schannel이 로컬 컴퓨터 저장소에서 찾은 첫 번째 유효한 인증서를 선택합니다. 로컬 컴퓨터 저장소에서 여러 개의 유효한 인증서를 사용할 수 있는 경우 Schannel은 올바른 인증서를 선택하지 않을 수 있습니다. CA가 LDAPS를 통해 액세스하려는 도메인 컨트롤러에 설치된 경우 CA(인증 기관) 인증서와의 충돌이 발생할 수 있습니다.

4단계: 서버에서 LDAPS 연결 확인

도메인 컨트롤러의 Ldp.exe 도구를 사용하여 포트 636을 사용하여 서버에 연결합니다. 포트 636을 사용하여 서버에 연결할 수 없는 경우 Ldp.exe 생성하는 오류를 참조하세요. 또한 이벤트 뷰어 로그를 확인하여 오류를 찾습니다. Ldp.exe 사용하여 포트 636에 연결하는 방법에 대한 자세한 내용은 타사 인증 기관에서 SSL을 통해 LDAP를 사용하도록 설정하는 방법을 참조하세요.

5단계: Schannel 로깅 사용

서버 및 클라이언트 컴퓨터에서 Schannel 이벤트 로깅을 사용하도록 설정합니다. Schannel 이벤트 로깅을 사용하도록 설정하는 방법에 대한 자세한 내용은 Windows 및 Windows Server에서 Schannel 이벤트 로깅을 사용하도록 설정하는 방법을 참조하세요.

참고

Microsoft Windows NT 4.0을 실행하는 컴퓨터에서 SSL 디버깅을 수행해야 하는 경우 설치된 Windows NT 4.0 서비스 팩에 대한 Schannel.dll 파일을 사용한 다음, 디버거를 컴퓨터에 연결해야 합니다. Schannel 로깅은 Windows NT 4.0의 디버거에만 출력을 보냅니다.