使用此資訊對可能的「輕量型目錄存取通訊協定 (LDAP)」伺服器 SSL 憑證相關問題進行疑難排解。
關於此作業
新的 Java™ SDK 安全修補程式包括對已啟用端點識別演算法之 LDAPS (安全 LDAP over TLS) 連線的穩健性的改進。 如果沒有為 LDAP 伺服器正確配置憑證,則 LDAP 連線將不會正常運作,並且會導致錯誤。
程序
- 確定 LDAP 伺服器連線正確。
若要驗證,請按一下 (或按一下 2.3.3.3 或更新版本中的 )。
- 在 LDAP 設定中移入詳細資料。
如果要驗證,請使用
測試 LDAP 鑑別設定。
例如,如果您看到下列錯誤,則可能是由於憑證無效:
CWZIP4684E Unable to retrieve groups for user.
The following error occurred: javax.naming.CommunicationException : simple bind failed
- 執行下列指令以驗證無效的憑證問題。
openssl s_client -CApath <PEM format directory of CA's> -host <hostname> -port <port>
如果憑證有效,則會顯示下列訊息:
Verify return code: 0 (ok)
由於您可以從配置窗格將憑證新增至
信任儲存庫 以建立通訊,因此請忽略任何簽章者驗證錯誤,例如:
Verify return code: 21 (unable to verify the first certificate)
以下是最常識別的憑證相關錯誤:
- certificate has not expired
- 如果要驗證,請下載 LDAP 憑證並執行下列指令:
cat <certificateFileName> | openssl x509 -dates -noout
檢查所示 notBefore 及 notAfter 的日期值。 確定現行日期在 notBefore 及 notAfter 範圍內。附註: 您必須在 notAfter 日期之前更新憑證。
- common name in the certificate matches the Hostname which will be used in the ldaps
configuration
- 如果要驗證,請下載 LDAP 憑證並執行下列指令:
cat dummy.pem | openssl x509 -subject -noout
在輸出中,確定所示 CN= 的值符合主機名稱。附註: 如果您要使用 IP 位址而非主機名稱來連接至 LDAP 伺服器,請確保您的憑證包含 主體替代名稱中的 IP 位址。