你目前正处于脱机状态,正在等待 Internet 重新连接

如何解决通过 SSL 的 LDAP 连接问题

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

简介
本文讨论如何解决通过 SSL 的 LDAP (LDAPS) 连接问题。
更多信息
要解决 LDAPS 连接问题,请按照下列步骤操作:

步骤 1:验证服务器身份验证证书

确保您使用的服务器身份验证证书满足下列要求:
  • 域控制器的 Active Directory 完全限定域名显示在以下任一位置:
    • “使用者”字段中的公用名 (CN)
    • DNS 项中的使用者备用名称 (SAN) 扩展
  • 增强的密钥用法扩展包括服务器身份验证对象标识符 (1.3.6.1.5.5.7.3.1)。
  • 相关联的私钥可用于域控制器。要验证该密钥是否可用,请使用 certutil -verifykeys 命令。
  • 证书链在客户端计算机上有效。要确定证书是否有效,请按照下列步骤操作:
    1. 在域控制器上,使用证书管理单元来将 SSL 证书导出到名为 Serverssl.cer 的文件。
    2. 将 Serverssl.cer 文件复制到客户端计算机。
    3. 在客户端计算机上,打开一个命令提示符窗口。
    4. 在命令提示符处,键入下面的命令以将命令输出发送到名为 Output.txt 的文件:
      certutil -v -urlfetch -verify serverssl.cer > output.txt
      注意:要按照此步骤进行操作,您必须安装 Certutil 命令行工具。有关如何获取 Certutil 及如何使用 Certutil 的更多信息,请访问下面的 Microsoft 网站:
    5. 打开 Output.txt 文件,然后搜索错误。

步骤 2:验证客户端身份验证证书

在某些情况下,如果客户端计算机上提供了客户端身份验证证书,则 LDAPS 会使用该证书。如果存在上述证书,请确保该证书符合以下要求:
  • 增强的密钥用法扩展包括客户端身份验证对象标识符 (1.3.6.1.5.5.7.3.2)。
  • 相关联的私钥可用于该客户端计算机。要验证该密钥是否可用,请使用 certutil -verifykeys 命令。
  • 证书链在域控制器上有效。要确定证书是否有效,请按照下列步骤操作:
    1. 在客户端计算机上,使用证书管理单元将 SSL 证书导出到名为 Clientssl.cer 的文件。
    2. 将 Clientssl.cer 文件复制到服务器。
    3. 在服务器上,打开一个命令提示符窗口。
    4. 在命令提示符处,键入下面的命令以将命令输出发送到名为 Outputclient.txt 的文件:
      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
    5. 打开 Outputclient.txt 文件,然后搜索错误。

步骤 3:检查多个 SSL 证书

确定多个 SSL 证书是否满足步骤 1 中介绍的要求。Schannel(Microsoft SSL 提供程序)会选择 Schannel 在本地计算机存储中找到的第一个有效证书。如果本地计算机存储中提供了多个有效证书,则 Schannel 可能无法选择正确的证书。如果 CA 安装在您正在尝试通过 LDAPS 访问的域控制器上,则可能会与证书颁发机构 (CA) 证书发生冲突。

步骤 4:验证服务器上的 LDAPS 连接

使用域控制器上的 Ldp.exe 工具尝试采用端口 636 连接到服务器。如果无法使用端口 636 连接到服务器,请参见 Ldp.exe 生成的错误。此外,请查看事件查看器来查找错误。 有关如何使用 Ldp.exe 连接到端口 636 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
321051如何通过第三方证书颁发机构启用通过 SSL 的 LDAP

步骤 5:启用 Schannel 日志

在服务器和客户端计算机上启用 Schannel 事件日志。 有关如何启用 Schannel 事件日志的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260729如何在 IIS 中启用 Schannel 事件日志
注意:如果您必须在运行 Microsoft Windows NT 4.0 的计算机上执行 SSL 调试,则必须对安装的 Windows NT 4.0 Service Pack 使用 Schannel.dll 文件,然后将调试程序连接到该计算机。在 Windows NT 4.0 中,Schannel 日志只将输出内容发送到调试程序。
属性

文章 ID:938703 - 上次审阅时间:01/23/2008 02:21:00 - 修订版本: 2.1

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbhowto kbinfo kbexpertiseadvanced KB938703
反馈