Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Active Directory Federation Services (AD FS) kräver specifika certifikat för att fungera korrekt. Problem kan uppstå om något av dessa certifikat inte har konfigurerats eller konfigurerats korrekt.
Obligatoriska certifikat
Var och en av de nödvändiga AD FS-certifikaten har sina egna krav:
-
Federationsförtroende: Federationsförtroende kräver något av följande:
- Ett certifikat som är kopplat till en ömsesidigt betrodd rotcertifikatutfärdare (CA) finns i det betrodda rotarkivet för både anspråksprovidern (CP) och förlitande partfederationsservrar (RP).
- En design för korscertifiering implementerades och varje sida utbytte sin rotcertifikatutfärdare med sin partner.
- Självsignerade certifikat importerades på varje sida där det var lämpligt.
- Tokensignering: Varje federationstjänstdator kräver ett tokensigneringscertifikat. Certifikatet för CP-tokensignering måste vara betrott av RP-federationsservern. Certifikatet för RP-tokensignering måste vara betrott av alla program som tar emot token från RP-federationsservern.
- Secure Sockets Layer (SSL): SSL-certifikatet för federationstjänsten måste finnas i ett betrott arkiv på federationsserverproxydatorn och ha en giltig kedja till ett betrott CA-arkiv.
- Lista över återkallade certifikat (CRL): För alla certifikat som har en CRL publicerad måste crl vara tillgänglig för alla klienter och servrar som behöver åtkomst till certifikatet.
Om något av ovanstående krav inte har konfigurerats korrekt fungerar inte AD FS.
Vanliga saker att kontrollera med certifikat
Följande checklista kan hjälpa dig att lösa ett certifikatproblem:
- Kontrollera att certifikatet är betrott.
- Kontrollera att SSL-certifikat är betrodda av klienterna.
- Certifikat för tokensignering måste vara betrodda av de förlitande parterna.
- Kontrollera certifikatkedjan. Alla certifikat i kedjan måste vara giltiga.
- Kontrollera certifikatets förfallodatum.
- Kontrollera tillgängligheten för CRL.
- Kontrollera att fältet för CRL-distributionsplatsen (CDP) är ifyllt.
- Bläddra manuellt till CDP:n.
- Kontrollera att certifikatet inte har återkallats.
Vanliga certifikatfel
I följande tabell visas vanliga certifikatfel och möjliga orsaker.
| Event | Cause | Resolution |
|---|---|---|
| Händelse 249: Det gick inte att hitta något certifikat i certifikatarkivet. I scenarier med certifikatåterställning kan detta potentiellt orsaka ett fel när federationstjänsten signerar eller dekrypterar med det här certifikatet. | Certifikatet i fråga finns inte i det lokala certifikatarkivet, eller så har tjänstkontot inte behörighet till certifikatets privata nyckel. | Kontrollera att certifikatet är installerat i LocalMachine\My Store på AD FS-servern. Kontrollera att AD FS-tjänstkontot har läsbehörighet till certifikatets privata nyckel. |
| Händelse 315: Ett fel uppstod under ett försök att skapa certifikatkedjan för signeringscertifikatet för anspråksproviderns förtroendesignering. | Certifikatet återkallades.
Det går inte att verifiera certifikatkedjan. Certifikatet har upphört att gälla eller är ännu inte giltigt. |
Kontrollera att certifikatet är giltigt och inte har återkallats.
Kontrollera att CRL är tillgänglig. |
| Händelse 316: Ett fel uppstod under ett försök att skapa certifikatkedjan för signeringscertifikatet för förlitande part. | Certifikatet återkallades.
Det går inte att verifiera certifikatkedjan. Certifikatet har upphört att gälla eller är ännu inte giltigt. |
Kontrollera att certifikatet är giltigt och inte har återkallats.
Kontrollera att CRL är tillgänglig. |
| Händelse 317: Ett fel uppstod under ett försök att skapa certifikatkedjan för den förlitande partens betrodda krypteringscertifikat. | Certifikatet återkallades.
Det går inte att verifiera certifikatkedjan. Certifikatet har upphört att gälla eller är ännu inte giltigt. |
Kontrollera att certifikatet är giltigt och inte har återkallats.
Kontrollera att CRL är tillgänglig. |
| Händelse 319: Ett fel uppstod när certifikatkedjan för klientcertifikatet skapades. | Certifikatet återkallades.
Det går inte att verifiera certifikatkedjan. Certifikatet har upphört att gälla eller är ännu inte giltigt. |
Kontrollera att certifikatet är giltigt och inte har återkallats.
Kontrollera att CRL är tillgänglig. |
| Händelse 360: En begäran gjordes till en certifikattransportslutpunkt, men begäran innehöll inte något klientcertifikat. | Den rot-CA som utfärdade klientcertifikatet är inte betrodd.
Klientcertifikatet har upphört att gälla. Klientcertifikatet är självsignerat och är inte pålitligt. |
Kontrollera att rotcertifikatutfärdare som utfärdade klientcertifikatet finns i det betrodda rotarkivet.
Kontrollera att klientcertifikatet inte har upphört att gälla. Om klientcertifikatet är självsignerat kontrollerar du att det har lagts till i listan över betrodda certifikat eller ersätter det självsignerade certifikatet med ett betrott certifikat. |
| Händelse 374: Ett fel uppstod när certifikatkedjan för anspråksproviderns betrodda krypteringscertifikat skapades. | Certifikatet återkallades.
Det går inte att verifiera certifikatkedjan. Certifikatet har upphört att gälla eller är ännu inte giltigt. |
Kontrollera att certifikatet är giltigt och inte har återkallats.
Kontrollera att CRL är tillgänglig. |
| Händelse 381: Ett fel uppstod under ett försök att skapa certifikatkedjan för konfigurationscertifikatet. | Ett av de certifikat som konfigurerats för användning på AD FS-servern har upphört att gälla eller har återkallats. | Kontrollera att alla konfigurerade certifikat inte har återkallats och inte har upphört att gälla. |
| Händelse 385: AD FS upptäckte att ett eller flera certifikat i AD FS-konfigurationsdatabasen måste uppdateras manuellt. | Ett av de certifikat som konfigurerats för användning på AD FS-servern har upphört att gälla eller närmar sig förfallodatumet. | Uppdatera det utgångna eller snart förfallna certifikatet med en ersättning. (Om du använder självsignerade certifikat och automatisk överrullning av certifikat är aktiverat kan du ignorera det här felet eftersom det löser sig själv.) |
| Händelse 387: AD FS upptäckte att ett eller flera av de certifikat som anges i federationstjänsten inte var tillgängliga för tjänstkontot som används av AD FS Windows-tjänsten. | AD FS-tjänstkontot har inte läsbehörighet till den privata nyckeln för ett eller flera konfigurerade certifikat. | Kontrollera att AD FS-tjänstkontot har läsbehörighet till den privata nyckeln för alla konfigurerade certifikat. |
| Händelse 389: AD FS har upptäckt att en eller flera av dina förtroenden kräver att deras certifikat uppdateras manuellt eftersom de har upphört att gälla eller snart upphör att gälla. | Ett av din konfigurerade partners certifikat har upphört att gälla eller håller på att upphöra att gälla. Händelsen kan avse antingen ett anspråksutfördareförtroende eller ett förlitandeförtroende. | Om du skapade det här förtroendet manuellt uppdaterar du certifikatkonfigurationen manuellt. Om du använde federationsmetadata för att skapa förtroendet uppdateras certifikatet automatiskt så snart partnern uppdaterar certifikatet. |