Cómo solucionar problemas de LDAP sobre los problemas de conexión de SSL

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 938703
INTRODUCCIÓN
En este artículo se describe cómo solucionar problemas de LDAP sobre los problemas de conexión de SSL (LDAPS).
Más información
Para solucionar problemas de conexión LDAPS, siga estos pasos.

Paso 1: Compruebe el certificado de autenticación de servidor

Asegúrese de que el certificado de autenticación del servidor que utiliza cumple los siguientes requisitos:
  • El nombre de dominio completo de Active Directory del controlador de dominio aparece en una de las siguientes ubicaciones:
    • El nombre común (CN) en el campo Asunto
    • La extensión de nombre alternativo de asunto (SAN) en la entrada DNS
  • La extensión de uso mejorado de clave incluye el identificador de objeto de autenticación del servidor (1.3.6.1.5.5.7.3.1).
  • La clave privada asociada está disponible en el controlador de dominio. Para comprobar que la clave está disponible, utilice el certutil - verifykeys comando.
  • La cadena de certificados es válida en el equipo cliente. Para determinar si el certificado es válido, siga estos pasos:
    1. En el controlador de dominio, utilice el complemento certificados para exportar el certificado SSL en un archivo denominado Serverssl.cer.
    2. Copie el archivo Serverssl.cer en el equipo cliente.
    3. En el equipo cliente, abra una ventana de símbolo del sistema.
    4. En el símbolo del sistema, escriba el siguiente comando para enviar la salida del comando a un archivo denominado Output.txt:
      certutil - v - urlfetch-comprobar serverssl.cer > salida.txt
      Nota: Para seguir este paso, debe tener instalada la herramienta de línea de comandos Certutil. Para obtener más información acerca de cómo obtener Certutil y cómo utilizar Certutil, visite el siguiente sitio Web de Microsoft:
    5. Abra el archivo Output.txt y, a continuación, buscar errores.

Paso 2: Comprobar el certificado de autenticación del cliente

En algunos casos, LDAPS utiliza un certificado de autenticación de cliente si está disponible en el equipo cliente. Si dicho certificado está disponible, asegúrese de que el certificado cumple los siguientes requisitos:
  • La extensión de uso mejorado de clave incluye el identificador de objeto de autenticación del cliente (1.3.6.1.5.5.7.3.2).
  • La clave privada asociada está disponible en el equipo cliente. Para comprobar que la clave está disponible, utilice el certutil - verifykeys comando.
  • La cadena de certificados es válida en el controlador de dominio. Para determinar si el certificado es válido, siga estos pasos:
    1. En el equipo cliente, utilice el complemento certificados para exportar el certificado SSL en un archivo denominado Clientssl.cer.
    2. Copie el archivo Clientssl.cer en el servidor.
    3. En el servidor, abra una ventana de símbolo del sistema.
    4. En el símbolo del sistema, escriba el siguiente comando para enviar la salida del comando a un archivo denominado Outputclient.txt:
      certutil - v - urlfetch-comprobar serverssl.cer > outputclient.txt
    5. Abra el archivo Outputclient.txt y, a continuación, buscar errores.

Paso 3: Comprobar varios certificados SSL

Determinar si varios certificados SSL cumplen los requisitos que se describen en el paso 1. Schannel (el proveedor de SSL de Microsoft), selecciona el primer certificado válido que Schannel se encuentra en el almacén del equipo Local. Si hay varios certificados válidos disponibles en el almacén del equipo Local, Schannel no puede seleccionar el certificado correcto. Si la CA se instala en un controlador de dominio que está intentando obtener acceso a través de LDAPS, puede producirse un conflicto con un certificado de entidad emisora (CA).

Paso 4: Compruebe las conexiones LDAPS se inician en el servidor

Utilice la herramienta Ldp.exe del controlador de dominio para intentar conectar con el servidor mediante el puerto 636. Si no puede conectarse al servidor mediante el puerto 636, ver los errores que genera Ldp.exe. Además, ver los registros del Visor de sucesos para buscar errores. Para obtener más información acerca de cómo utilizar Ldp.exe para conectar con el puerto 636, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
321051 Cómo habilitar LDAP sobre SSL con una autoridad de certificación de terceros

Paso 5: Habilitar el registro de Schannel

Habilitar el registro de eventos de Schannel en el servidor y en el equipo cliente. Para obtener más información acerca de cómo habilitar el registro de sucesos Schannel, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260729 Cómo habilitar el registro en IIS de sucesos Schannel
Nota: Si tiene que realizar la depuración de SSL en un equipo que está ejecutando Microsoft Windows NT 4.0, debe usar un archivo Schannel.dll para Windows NT 4.0 service pack instalado y, a continuación, conecte a un depurador en el equipo. Registro de Schannel sólo envía los resultados a un depurador de Windows NT 4.0.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 938703 - Última revisión: 01/11/2015 07:30:00 - Revisión: 3.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtes
Comentarios