Risoluzione dei problemi di connessione di LDAP su SSL

Traduzione articoli Traduzione articoli
Identificativo articolo: 938703 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo vengono fornite indicazioni per risolvere i problemi di connessione di LDAP su SSL (LDAPS).

Informazioni

Per risolvere i problemi di connessione di LDAPS, attenersi alla seguente procedura.

Passaggio 1: Verificare il certificato di autenticazione server

Verificare che il certificato di autenticazione server in uso soddisfi i seguenti requisiti:
  • Il nome di dominio completo Active Directory del controller di dominio viene visualizzato in una delle seguenti posizioni:
    • Il nome comune (CN) presente nel campo Oggetto
    • L'estensione Nome alternativo oggetto (SAN) presente nella voce DNS
  • L'estensione di utilizzo chiavi avanzato include l'identificatore di oggetto Autenticazione server (1.3.6.1.5.5.7.3.1).
  • La chiave privata associata Ŕ disponibile sul controller di dominio. Per verificare che la chiave sia disponibile, utilizzare il comando certutil -verifykeys.
  • La catena di certificati Ŕ valida sul computer client. Per determinare se il certificato Ŕ valido, attenersi alla seguente procedura:
    1. Sul controller di dominio utilizzare lo snap-in Certificati per esportare il certificato SSL in un file denominato Serverssl.cer.
    2. Copiare il file Serverssl.cer sul computer client.
    3. Sul computer client aprire una finestra del prompt dei comandi.
    4. Al prompt dei comandi digitare il comando seguente per inviare l'output del comando a un file denominato Output.txt:
      certutil -v -urlfetch -verify serverssl.cer > output.txt
      Nota Per eseguire questo passaggio, Ŕ necessario che sia installato lo strumento della riga di comando Certutil. Per ulteriori informazioni su come ottenere e utilizzare Certutil, visitare i seguenti siti Web Microsoft (informazioni in lingua inglese):
      Understanding user key recovery
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true

      How to use the latest version of Certutil on non-Windows Server 2003 computers
      http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/webenroll.mspx#EBCBG
    5. Aprire il file Output.txt, quindi cercare gli errori.

Passaggio 2: Verificare il certificato di autenticazione client

In alcuni casi, LDAPS utilizza un certificato di autenticazione client se Ŕ disponibile sul computer client. Se tale certificato Ŕ disponibile, verificare che soddisfi i seguenti requisiti:
  • L'estensione di utilizzo chiavi avanzato include l'identificatore di oggetto Autenticazione client (1.3.6.1.5.5.7.3.2).
  • La chiave privata associata Ŕ disponibile sul computer client. Per verificare che la chiave sia disponibile, utilizzare il comando certutil -verifykeys.
  • La catena di certificati Ŕ valida sul controller di dominio. Per determinare se il certificato Ŕ valido, attenersi alla seguente procedura:
    1. Sul computer client utilizzare lo snap-in Certificati per esportare il certificato SSL in un file denominato Clientssl.cer.
    2. Copiare il file Clientssl.cer sul server.
    3. Aprire una finestra del prompt dei comandi sul server.
    4. Al prompt dei comandi digitare il comando seguente per inviare l'output del comando a un file denominato Outputclient.txt:
      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
    5. Aprire il file Outputclient.txt, quindi cercare gli errori.

Passaggio 3: Cercare pi¨ certificati SSL

Determinare se pi¨ certificati SSL soddisfano i requisiti descritti nel passaggio 1. Schannel (il provider SSL Microsoft) seleziona il primo certificato valido trovato nell'archivio del computer locale. Se pi¨ certificati validi sono disponibili nell'archivio del computer locale, Ŕ possibile che Schannel non selezioni il certificato corretto. Potrebbe verificarsi un conflitto con un certificato dell'AutoritÓ di certificazione (CA) se la CA Ŕ installata in un controller di dominio a cui si sta tentando di accedere tramite LDAPS.

Passaggio 4: Verificare la connessione LDAPS sul server

Utilizzare lo strumento Ldp.exe sul controller di dominio per cercare di connettersi al server utilizzando la porta 636. Se non Ŕ possibile connettersi al server utilizzando la porta 636, vedere gli errori generati da Ldp.exe. Visualizzare inoltre i registri del Visualizzatore eventi per trovare gli errori. Per ulteriori informazioni sull'utilizzo di Ldp.exe per connettersi alla porta 636, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
321051 Attivazione di LDAP su SSL con un'AutoritÓ di certificazione di terze parti

Passaggio 5: Consentire la registrazione Schannel

Consentire la registrazione degli eventi Schannel sul server e sul computer client. Per ulteriori informazioni su come consentire la registrazione Schannel, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
260729 Attivazione della registrazione dell'evento Schannel in IIS
Nota Se Ŕ necessario eseguire il debug SSL su un computer su cui Ŕ in esecuzione Microsoft Windows NT 4.0, Ŕ necessario utilizzare un file Schannel.dll per il service pack di Windows NT 4.0 installato, quindi connettere un debugger al computer. La registrazione Schannel invia l'output a un debugger solo in Windows NT 4.0.

ProprietÓ

Identificativo articolo: 938703 - Ultima modifica: giovedý 20 dicembre 2007 - Revisione: 2.1
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Chiavi:á
kbhowto kbinfo kbexpertiseadvanced KB938703
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com