Al momento sei offline in attesa che la connessione Internet venga ristabilita

Risoluzione dei problemi di connessione di LDAP su SSL

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

INTRODUZIONE
In questo articolo vengono fornite indicazioni per risolvere i problemi di connessione di LDAP su SSL (LDAPS).
Informazioni
Per risolvere i problemi di connessione di LDAPS, attenersi alla seguente procedura.

Passaggio 1: Verificare il certificato di autenticazione server

Verificare che il certificato di autenticazione server in uso soddisfi i seguenti requisiti:
  • Il nome di dominio completo Active Directory del controller di dominio viene visualizzato in una delle seguenti posizioni:
    • Il nome comune (CN) presente nel campo Oggetto
    • L'estensione Nome alternativo oggetto (SAN) presente nella voce DNS
  • L'estensione di utilizzo chiavi avanzato include l'identificatore di oggetto Autenticazione server (1.3.6.1.5.5.7.3.1).
  • La chiave privata associata è disponibile sul controller di dominio. Per verificare che la chiave sia disponibile, utilizzare il comando certutil -verifykeys.
  • La catena di certificati è valida sul computer client. Per determinare se il certificato è valido, attenersi alla seguente procedura:
    1. Sul controller di dominio utilizzare lo snap-in Certificati per esportare il certificato SSL in un file denominato Serverssl.cer.
    2. Copiare il file Serverssl.cer sul computer client.
    3. Sul computer client aprire una finestra del prompt dei comandi.
    4. Al prompt dei comandi digitare il comando seguente per inviare l'output del comando a un file denominato Output.txt:
      certutil -v -urlfetch -verify serverssl.cer > output.txt
      Nota Per eseguire questo passaggio, è necessario che sia installato lo strumento della riga di comando Certutil. Per ulteriori informazioni su come ottenere e utilizzare Certutil, visitare i seguenti siti Web Microsoft (informazioni in lingua inglese):
    5. Aprire il file Output.txt, quindi cercare gli errori.

Passaggio 2: Verificare il certificato di autenticazione client

In alcuni casi, LDAPS utilizza un certificato di autenticazione client se è disponibile sul computer client. Se tale certificato è disponibile, verificare che soddisfi i seguenti requisiti:
  • L'estensione di utilizzo chiavi avanzato include l'identificatore di oggetto Autenticazione client (1.3.6.1.5.5.7.3.2).
  • La chiave privata associata è disponibile sul computer client. Per verificare che la chiave sia disponibile, utilizzare il comando certutil -verifykeys.
  • La catena di certificati è valida sul controller di dominio. Per determinare se il certificato è valido, attenersi alla seguente procedura:
    1. Sul computer client utilizzare lo snap-in Certificati per esportare il certificato SSL in un file denominato Clientssl.cer.
    2. Copiare il file Clientssl.cer sul server.
    3. Aprire una finestra del prompt dei comandi sul server.
    4. Al prompt dei comandi digitare il comando seguente per inviare l'output del comando a un file denominato Outputclient.txt:
      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
    5. Aprire il file Outputclient.txt, quindi cercare gli errori.

Passaggio 3: Cercare più certificati SSL

Determinare se più certificati SSL soddisfano i requisiti descritti nel passaggio 1. Schannel (il provider SSL Microsoft) seleziona il primo certificato valido trovato nell'archivio del computer locale. Se più certificati validi sono disponibili nell'archivio del computer locale, è possibile che Schannel non selezioni il certificato corretto. Potrebbe verificarsi un conflitto con un certificato dell'Autorità di certificazione (CA) se la CA è installata in un controller di dominio a cui si sta tentando di accedere tramite LDAPS.

Passaggio 4: Verificare la connessione LDAPS sul server

Utilizzare lo strumento Ldp.exe sul controller di dominio per cercare di connettersi al server utilizzando la porta 636. Se non è possibile connettersi al server utilizzando la porta 636, vedere gli errori generati da Ldp.exe. Visualizzare inoltre i registri del Visualizzatore eventi per trovare gli errori. Per ulteriori informazioni sull'utilizzo di Ldp.exe per connettersi alla porta 636, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
321051 Attivazione di LDAP su SSL con un'Autorità di certificazione di terze parti

Passaggio 5: Consentire la registrazione Schannel

Consentire la registrazione degli eventi Schannel sul server e sul computer client. Per ulteriori informazioni su come consentire la registrazione Schannel, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
260729 Attivazione della registrazione dell'evento Schannel in IIS
Nota Se è necessario eseguire il debug SSL su un computer su cui è in esecuzione Microsoft Windows NT 4.0, è necessario utilizzare un file Schannel.dll per il service pack di Windows NT 4.0 installato, quindi connettere un debugger al computer. La registrazione Schannel invia l'output a un debugger solo in Windows NT 4.0.
Proprietà

ID articolo: 938703 - Ultima revisione: 12/20/2007 17:51:00 - Revisione: 2.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbhowto kbinfo kbexpertiseadvanced KB938703
Feedback