Como resolver problemas LDAP sobre problemas de ligação de SSL

Artigo: 938703 - Ver produtos para os quais este artigo se aplica.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve como resolver LDAP sobre problemas de ligação de SSL (LDAPS).
Voltar ao topo | Submeter comentários

Mais Informação

Para resolver problemas de ligação LDAPS, siga estes passos.

Passo 1: Verificar o certificado de autenticação de servidor

Certifique-se que o certificado de autenticação de servidor que utiliza cumpre os seguintes requisitos:
  • O nome de domínio totalmente qualificado do Active Directory do controlador de domínio aparece das seguintes localizações:
    • O nome comum (CN) no campo Assunto
    • A extensão de nome de alternativo de assunto (SAN) na entrada DNS
  • A extensão de utilização avançada de chaves inclui o identificador de objecto autenticação de servidor (1.3.6.1.5.5.7.3.1).
  • A chave privada associada está disponível no controlador de domínio. Para verificar se está disponível a chave, utilize o comando certutil - verifykeys .
  • A cadeia de certificados é válida no computador cliente. Para determinar se o certificado é válido, siga estes passos:
    1. No controlador de domínio, utilize o snap-in Certificados para exportar o certificado de SSL para um ficheiro denominado Serverssl.cer.
    2. Copie o ficheiro Serverssl.cer para o computador cliente.
    3. No computador cliente, abra uma janela da linha de comandos.
    4. Na linha de comandos, escreva o seguinte comando para enviar a saída do comando para um ficheiro denominado Output.txt:
      certutil - v - urlfetch - verificar serverssl.cer > output.txt
      Nota Para seguir este passo, tem de ter a ferramenta da linha de comandos Certutil instalada. Para mais informações sobre como obter o Certutil e sobre como utilizar Certutil, visite o seguinte Web site da Microsoft:
      Noções sobre recuperação de chaves de utilizador
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true
      (http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true)


    5. Abra o ficheiro Output.txt e, em seguida, procure erros.

Passo 2: Verificar o certificado de autenticação de cliente

Em alguns casos, LDAPS utiliza um certificado de autenticação de cliente se estiver disponível no computador cliente. Se um certificado deste tipo estiver disponível, certifique-se que o certificado cumpre os seguintes requisitos:
  • A extensão de utilização avançada de chaves inclui o identificador de objecto (1.3.6.1.5.5.7.3.2) de autenticação de cliente.
  • A chave privada associada está disponível no computador cliente. Para verificar se está disponível a chave, utilize o comando certutil - verifykeys .
  • A cadeia de certificados é válida no controlador de domínio. Para determinar se o certificado é válido, siga estes passos:
    1. No computador cliente, utilize o snap-in Certificados para exportar o certificado de SSL para um ficheiro denominado Clientssl.cer.
    2. Copie o ficheiro Clientssl.cer ao servidor.
    3. No servidor, abra uma janela da linha de comandos.
    4. Na linha de comandos, escreva o seguinte comando para enviar a saída do comando para um ficheiro denominado Outputclient.txt:
      certutil - v - urlfetch - verificar serverssl.cer > outputclient.txt
    5. Abra o ficheiro Outputclient.txt e, em seguida, procure erros.

Passo 3: Verificar existência de vários certificados SSL

Determine se múltiplos certificados SSL cumprem os requisitos descritos no passo 1. Schannel (o fornecedor de SSL da Microsoft) selecciona o primeiro certificado válido que localiza Schannel no arquivo de computador local. Se estiverem disponíveis vários certificados válidos no arquivo de computador local, Schannel não pode seleccionar o certificado correcto. Um conflito com um certificado de autoridade de certificação (AC) de certificação poderá ocorrer se a AC está instalada num controlador de domínio que está a tentar aceder através de LDAPS.

Passo 4: Verifique se a ligação LDAPS o servidor

Utilize a ferramenta Ldp.exe no controlador de domínio para tentar ligar ao servidor através da porta 636. Se não conseguir ligar ao servidor através da porta 636, consulte os erros que gera o Ldp.exe. Também, ver os registos do Visualizador de eventos para encontrar erros. Para obter mais informações sobre como utilizar o Ldp.exe para ligar a porta 636, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
321051
(http://support.microsoft.com/kb/321051/ )
Como activar LDAP sobre SSL com uma autoridade de certificação de terceiros

Passo 5: Activar registo Schannel

Active o Schannel registo de eventos no servidor e no computador cliente. Para obter mais informações sobre como activar o registo de eventos Schannel, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
260729
(http://support.microsoft.com/kb/260729/ )
Como activar o registo no IIS de eventos Schannel
Nota Se tiver de efectuar a depuração de SSL num computador com o Microsoft Windows NT 4.0, tem de utilizar um ficheiro Schannel.dll para o Windows NT 4.0 service pack instalado e, em seguida, ligar um depurador ao computador. Registo de Schannel só envia a saída para um depurador do Windows NT 4.0.
Voltar ao topo | Submeter comentários

Propriedades

Artigo: 938703 - Última revisão: segunda-feira, 13 de Agosto de 2007 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB938703 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 938703
(http://support.microsoft.com/kb/938703/en-us/ )
Voltar ao topo | Submeter comentários

Submeter comentários

 
Voltar ao topoVoltar ao topo