Solución de problemas de LDAP

Localización de averías LDAP Los problemas pueden parecer complejos, y este blog te ayudará a solucionarlos. Analizaremos dos escenarios que deberían resolver tus errores LDAP.

Escenario 1

Este escenario tiene en cuenta que su certificado no fue publicado en Active DirectoryPara resolver este problema, ejecute los comandos:

Para resolver problemas de AIA: certutil -dspublish -f RootCA

Para resolver problemas de CDP: certutil -dspublish -f

Si el problema existe para la CA emisora, debe reemplazar RootCA con SubCA y usar el nombre de host de la CA emisora.

Después de esto, puedes comprobar si el certificado está presente en Active Directory o no.

Para ello, inicie sesión en el controlador de dominio, abra adsiedit.msc, acceda a Configuración y, a continuación, vaya a Servicios > Servicios de clave pública > AIA y compruebe los certificados presentes. Si los certificados están presentes y sigue recibiendo el error, siga el escenario 2.

Escenario 2

Si el escenario 1 no soluciona el problema, es posible que la URL LDAP se haya configurado incorrectamente al configurar el Puntos AIA en su CA raíz.

Para resolver esto, primero abra PKIView.msc para verificar qué URL LDAP tiene su PKI En este escenario, mi PKI busca:

ldap:///CN=Encon%20Root%20CA,CN=AIA,CN=ServiciosDeClavePública,CN=Servicios,CN=ROOTCAOCS,CN=Configuración,DC=Encon,DC=com?cACertificate?base?objectClass=AutoridadDeCertificación

Pero el certificado se publica el:

CN=Encon Root CA,CN=AIA,CN=Servicios de clave pública,CN=Servicios,CN=Configuración,DC=encon,DC=com

Puede comprobar el nombre distinguido del objeto presente en ADSIedit.msc.

Para solucionar esto seguiríamos los pasos:

1. Cree una nueva estructura de contenedor en su partición de dominio

   CN=Encon%20Root%20CA,CN=AIA,CN=ServiciosDeClavePública,CN=Servicios,CN=ROOTCAOCS,CN=Configuración,DC=Encon,DC=com

2. Crear un objeto en Configuración

   

3. Elija la clase de objeto “contenedor”

   

4. Proporcione el valor exacto ROOTCAOCS como se resalta arriba

   

5. Haga clic en Finalizar

   

6. Siga los pasos 2 a 5 para crear más contenedores en ROOTCAOCS > Servicios > Servicios de clave pública > AIA

   

7. Ejecute el comando en el controlador de dominio para extraer el objeto publicado

   LDIFDE -d ” CN=Encon Root CA,CN=AIA,CN=Servicios de clave pública,CN=Servicios,CN=Configuración,DC=encon,DC=com” -fc:\export.txt

   

8. Realice cambios en export.txt donde reemplace el dn existente con la URL LDAP que su PKI está buscando

   CN=Encon Root CA,CN=AIA,CN=Servicios de clave pública,CN=Servicios,CN=ROOTCAOCS,CN=Configuración,DC=encon,DC=com

   También debe eliminar GUID, información USN y otros detalles.

   

9. Publicar el u ldifde -i -fc:\export.txt

   

10. El objeto ahora debería estar en el nuevo lugar

    

11. La vista PKI no debería mostrar errores

    

Conclusión

Los problemas con las ubicaciones LDAP de CDP y AIA pueden ser complejos. Una configuración incorrecta suele causar problemas, que pueden ser más difíciles de rastrear. Esto debería resolver todos los problemas de URL LDAP que pueda encontrar en su entorno PKI. Los problemas de LDAP pueden ser complejos a veces, pero si el escenario 1 no lo soluciona, el escenario 2 sin duda lo hará.