Solucionar problemas de LDAP sobre problemas de conexão SSL

  • Artigo

Este artigo discute etapas sobre como solucionar problemas de conexão LDAP sobre LDAPS (SSL).

Aplica-se a: Windows Server 2003
Número de KB original: 938703

Etapa 1: verificar o certificado de Autenticação do Servidor

Verifique se o certificado de Autenticação do Servidor que você usa atende aos seguintes requisitos:

  • O nome de domínio totalmente qualificado do Active Directory do controlador de domínio é exibido em um dos seguintes locais:

    • O CN (nome comum) no campo Assunto .
    • A extensão SAN (Nome Alternativo do Assunto) na entrada DNS.

  • A extensão de uso de chave aprimorada inclui o identificador de objeto autenticação do servidor (1.3.6.1.5.5.7.3.1).

  • A chave privada associada está disponível no controlador de domínio. Para verificar se a chave está disponível, use o certutil -verifykeys comando.

  • A cadeia de certificados é válida no computador cliente. Para determinar se o certificado é válido, siga estas etapas:

    1. No controlador de domínio, use o snap-in Certificados para exportar o certificado SSL para um arquivo chamado Serverssl.cer.

    2. Copie o arquivo Serverssl.cer para o computador cliente.

    3. No computador cliente, abra uma janela prompt de comando.

    4. No prompt de comando, digite o comando a seguir para enviar a saída de comando para um arquivo chamado Output.txt:

      certutil -v -urlfetch -verify serverssl.cer > output.txt

      Observação

      Para seguir esta etapa, você deve ter a ferramenta de linha de comando do Certutil instalada.

    5. Abra o arquivo Output.txt e pesquise por erros.

Etapa 2: verificar o certificado de autenticação do cliente

Em alguns casos, o LDAPS usa um certificado de Autenticação do Cliente se estiver disponível no computador cliente. Se esse certificado estiver disponível, verifique se o certificado atende aos seguintes requisitos:

  • A extensão de uso de chave aprimorada inclui o identificador de objeto autenticação do cliente (1.3.6.1.5.5.7.3.2).

  • A chave privada associada está disponível no computador cliente. Para verificar se a chave está disponível, use o certutil -verifykeys comando.

  • A cadeia de certificados é válida no controlador de domínio. Para determinar se o certificado é válido, siga estas etapas:

    1. No computador cliente, use o snap-in Certificados para exportar o certificado SSL para um arquivo chamado Clientssl.cer.

    2. Copie o arquivo Clientssl.cer para o servidor.

    3. No servidor, abra uma janela prompt de comando.

    4. No prompt de comando, digite o comando a seguir para enviar a saída de comando para um arquivo chamado Outputclient.txt:

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt

    5. Abra o arquivo Outputclient.txt e pesquise por erros.

Etapa 3: verificar vários certificados SSL

Determine se vários certificados SSL atendem aos requisitos descritos na etapa 1. O Schannel (provedor do Microsoft SSL) seleciona o primeiro certificado válido que o Schannel encontra no repositório de computadores local. Se vários certificados válidos estiverem disponíveis no repositório de computadores local, o Schannel poderá não selecionar o certificado correto. Um conflito com um certificado de autoridade de certificação (AC) pode ocorrer se a AC estiver instalada em um controlador de domínio que você está tentando acessar por meio do LDAPS.

Etapa 4: verificar a conexão LDAPS no servidor

Use a ferramenta Ldp.exe no controlador de domínio para tentar se conectar ao servidor usando a porta 636. Se você não puder se conectar ao servidor usando a porta 636, consulte os erros gerados Ldp.exe. Além disso, exiba os logs de Visualizador de Eventos para encontrar erros. Para obter mais informações sobre como usar Ldp.exe para se conectar à porta 636, confira Como habilitar o LDAP por SSL com uma autoridade de certificação de terceiros.

Etapa 5: habilitar o registro em log do Schannel

Habilite o log de eventos do Schannel no servidor e no computador cliente. Para obter mais informações sobre como habilitar o log de eventos do Schannel, confira Como habilitar o log de eventos do Schannel no Windows e no Windows Server.

Observação

Se você precisar executar a depuração de SSL em um computador que está executando o Microsoft Windows NT 4.0, você deve usar um arquivo Schannel.dll para o pacote de serviços instalado Windows NT 4.0 e conectar um depurador ao computador. O registro em log do Schannel envia apenas a saída para um depurador no Windows NT 4.0.