Résoudre les problèmes de connexion LDAP sur SSL

  • Article

Cet article décrit les étapes à suivre pour résoudre les problèmes de connexion LDAP sur SSL (LDAPS).

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 938703

Étape 1 : Vérifier le certificat d’authentification du serveur

Assurez-vous que le certificat d’authentification du serveur que vous utilisez répond aux exigences suivantes :

  • Le nom de domaine complet Active Directory du contrôleur de domaine apparaît à l’un des emplacements suivants :

    • Nom commun (CN) dans le champ Objet .
    • Extension SAN (Subject Alternative Name) dans l’entrée DNS.

  • L’extension d’utilisation améliorée de la clé inclut l’identificateur d’objet Authentification du serveur (1.3.6.1.5.5.7.3.1).

  • La clé privée associée est disponible sur le contrôleur de domaine. Pour vérifier que la clé est disponible, utilisez la certutil -verifykeys commande .

  • La chaîne de certificats est valide sur l’ordinateur client. Pour déterminer si le certificat est valide, procédez comme suit :

    1. Sur le contrôleur de domaine, utilisez le composant logiciel enfichable Certificats pour exporter le certificat SSL vers un fichier nommé Serverssl.cer.

    2. Copiez le fichier Serverssl.cer sur l’ordinateur client.

    3. Sur l’ordinateur client, ouvrez une fenêtre d’invite de commandes.

    4. À l’invite de commandes, tapez la commande suivante pour envoyer la sortie de commande à un fichier nommé Output.txt:

      certutil -v -urlfetch -verify serverssl.cer > output.txt

      Remarque

      Pour suivre cette étape, l’outil en ligne de commande Certutil doit être installé.

    5. Ouvrez le fichier Output.txt, puis recherchez les erreurs.

Étape 2 : Vérifier le certificat d’authentification client

Dans certains cas, LDAPS utilise un certificat d’authentification client s’il est disponible sur l’ordinateur client. Si un tel certificat est disponible, assurez-vous que le certificat répond aux exigences suivantes :

  • L’extension d’utilisation améliorée de la clé inclut l’identificateur d’objet Authentification du client (1.3.6.1.5.5.7.3.2).

  • La clé privée associée est disponible sur l’ordinateur client. Pour vérifier que la clé est disponible, utilisez la certutil -verifykeys commande .

  • La chaîne de certificats est valide sur le contrôleur de domaine. Pour déterminer si le certificat est valide, procédez comme suit :

    1. Sur l’ordinateur client, utilisez le composant logiciel enfichable Certificats pour exporter le certificat SSL vers un fichier nommé Clientssl.cer.

    2. Copiez le fichier Clientssl.cer sur le serveur.

    3. Sur le serveur, ouvrez une fenêtre d’invite de commandes.

    4. À l’invite de commandes, tapez la commande suivante pour envoyer la sortie de commande à un fichier nommé Outputclient.txt:

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt

    5. Ouvrez le fichier Outputclient.txt, puis recherchez les erreurs.

Étape 3 : Rechercher plusieurs certificats SSL

Déterminez si plusieurs certificats SSL répondent aux exigences décrites à l’étape 1. Schannel (le fournisseur Microsoft SSL) sélectionne le premier certificat valide trouvé par Schannel dans le magasin Ordinateur local. Si plusieurs certificats valides sont disponibles dans le magasin Ordinateur local, Schannel peut ne pas sélectionner le certificat approprié. Un conflit avec un certificat d’autorité de certification peut se produire si l’autorité de certification est installée sur un contrôleur de domaine auquel vous essayez d’accéder via LDAPS.

Étape 4 : Vérifier la connexion LDAPS sur le serveur

Utilisez l’outil Ldp.exe sur le contrôleur de domaine pour essayer de vous connecter au serveur à l’aide du port 636. Si vous ne pouvez pas vous connecter au serveur à l’aide du port 636, consultez les erreurs générées par Ldp.exe. Consultez également les journaux observateur d'événements pour rechercher les erreurs. Pour plus d’informations sur l’utilisation de Ldp.exe pour se connecter au port 636, consultez Comment activer LDAP sur SSL avec une autorité de certification tierce.

Étape 5 : Activer la journalisation Schannel

Activez la journalisation des événements Schannel sur le serveur et sur l’ordinateur client. Pour plus d’informations sur l’activation de la journalisation des événements Schannel, consultez Comment activer la journalisation des événements Schannel dans Windows et Windows Server.

Remarque

Si vous devez effectuer un débogage SSL sur un ordinateur exécutant Microsoft Windows NT 4.0, vous devez utiliser un fichier Schannel.dll pour le Service Pack Windows NT 4.0 installé, puis connecter un débogueur à l’ordinateur. La journalisation Schannel envoie uniquement la sortie à un débogueur dans Windows NT 4.0.