如何配置LDAP over SSL

今天碰到一个关于IIS不能访问域服务器的问题。经过调查，发现是域控制器上的证书出了问题。

 

网络环境：

IIS服务器：

• IIS 6.0
• Windows Server 2003 SP2

域控制器：

• Windows Server 2003 SP2

域中只有一台域控制器，IIS服务器没有在域中。IIS通过LDAP over SSL和域控制器交互。

 

问题定位：

由于是第一次诊断AD相关问题，所以按着常规进行如下检查：

• Event Viewer中有Schannel的相关错误；
• 使用非SSL的LDAP可以访问AD。 

所以问题应该是和SSL相关的，于是开始Google，找到下面文章：

http://support.microsoft.com/kb/321051/en-us/
http://support.microsoft.com/?scid=kb;en-us;938703&x=6&y=7
http://technet.microsoft.com/en-us/library/cc725767(WS.10).aspx

http://www.verisign.com/ssl/ssl-information-center/how-ssl-security-works/

由于这里的通信只发生在IIS和AD之间，所以这里使用的证书可以直接由AD服务器颁发。在制作证书的时候关键就是CN一定要设置成AD服务器的CN，别的参数都无所谓。