Устранение неполадок с подключением LDAP через SSL

  • Статья

В этой статье рассматриваются действия по устранению неполадок с подключением LDAP через SSL (LDAPS).

Применяется к: Windows Server 2003
Исходный номер базы знаний: 938703

Шаг 1. Проверка сертификата проверки подлинности сервера

Убедитесь, что используемый сертификат проверки подлинности сервера соответствует следующим требованиям:

  • Полное доменное имя контроллера домена Active Directory отображается в одном из следующих расположений:

    • Общее имя (CN) в поле Subject .
    • Расширение "Альтернативное имя субъекта" (SAN) в записи DNS.

  • Расширение расширенного использования ключа включает идентификатор объекта проверки подлинности сервера (1.3.6.1.5.5.7.3.1).

  • Связанный закрытый ключ доступен на контроллере домена. Чтобы убедиться, что ключ доступен, используйте certutil -verifykeys команду .

  • Цепочка сертификатов действительна на клиентском компьютере. Чтобы определить, действителен ли сертификат, выполните следующие действия.

    1. На контроллере домена используйте оснастку Сертификаты, чтобы экспортировать SSL-сертификат в файл с именем Serverssl.cer.

    2. Скопируйте файл Serverssl.cer на клиентский компьютер.

    3. На клиентском компьютере откройте окно командной строки.

    4. В командной строке введите следующую команду, чтобы отправить выходные данные команды в файл с именемOutput.txt:

      certutil -v -urlfetch -verify serverssl.cer > output.txt

      Примечание.

      Для выполнения этого шага необходимо установить программу командной строки Certutil.

    5. Откройте файл Output.txt и найдите ошибки.

Шаг 2. Проверка сертификата проверки подлинности клиента

В некоторых случаях LDAPS использует сертификат проверки подлинности клиента, если он доступен на клиентском компьютере. Если такой сертификат доступен, убедитесь, что он соответствует следующим требованиям:

  • Расширение расширенного использования ключа включает идентификатор объекта проверки подлинности клиента (1.3.6.1.5.5.7.3.2).

  • Связанный закрытый ключ доступен на клиентском компьютере. Чтобы убедиться, что ключ доступен, используйте certutil -verifykeys команду .

  • Цепочка сертификатов действительна на контроллере домена. Чтобы определить, действителен ли сертификат, выполните следующие действия.

    1. На клиентском компьютере используйте оснастку Сертификаты, чтобы экспортировать SSL-сертификат в файл с именем Clientssl.cer.

    2. Скопируйте файл Clientssl.cer на сервер.

    3. На сервере откройте окно командной строки.

    4. В командной строке введите следующую команду, чтобы отправить выходные данные команды в файл с именемOutputclient.txt:

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt

    5. Откройте файл Outputclient.txt и найдите ошибки.

Шаг 3. Проверка наличия нескольких SSL-сертификатов

Определите, соответствуют ли несколько SSL-сертификатов требованиям, описанным на шаге 1. Schannel (поставщик Microsoft SSL) выбирает первый допустимый сертификат, который Schannel находит в хранилище локального компьютера. Если в хранилище локального компьютера доступно несколько допустимых сертификатов, Schannel может не выбрать правильный сертификат. Конфликт с сертификатом центра сертификации (ЦС) может возникнуть, если ЦС установлен на контроллере домена, к которому вы пытаетесь получить доступ через LDAPS.

Шаг 4. Проверка подключения LDAPS на сервере

Используйте средство Ldp.exe на контроллере домена, чтобы попытаться подключиться к серверу с помощью порта 636. Если не удается подключиться к серверу с помощью порта 636, ознакомьтесь с ошибками, которые Ldp.exe возникают. Кроме того, просмотрите журналы Просмотр событий, чтобы найти ошибки. Дополнительные сведения об использовании Ldp.exe для подключения к порту 636 см. в статье Включение протокола LDAP по протоколу SSL с помощью стороннего центра сертификации.

Шаг 5. Включение ведения журнала Schannel

Включите ведение журнала событий Schannel на сервере и на клиентском компьютере. Дополнительные сведения о том, как включить ведение журнала событий Schannel, см. в статье Включение ведения журнала событий Schannel в Windows и Windows Server.

Примечание.

Если необходимо выполнить отладку SSL на компьютере под управлением Microsoft Windows NT 4.0, необходимо использовать файл Schannel.dll для установленного пакета обновления Windows NT 4.0, а затем подключить отладчик к компьютеру. Ведение журнала Schannel отправляет выходные данные только в отладчик в Windows NT 4.0.