Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Active Directory-Verbunddienste (AD FS) erfordert bestimmte Zertifikate, um ordnungsgemäß zu funktionieren. Probleme können auftreten, wenn eines dieser Zertifikate nicht ordnungsgemäß eingerichtet oder konfiguriert ist.
Erforderliche Zertifikate
Jedes der erforderlichen AD FS-Zertifikate hat eigene Anforderungen:
- Verbundvertrauensstellung: Verbundvertrauensstellung erfordert eine der folgenden:
- Ein Zertifikat, das mit einer gegenseitig vertrauenswürdigen Internetstammzertifizierungsstelle (CA) verkettet ist, befindet sich im vertrauenswürdigen Stammspeicher der Verbundserver des Anspruchsanbieters (CP) und der vertrauenden Seite (RP).
- Ein zertifizierungsübergreifendes Design wurde implementiert, und jede Seite hat ihre Stammzertifizierungsstelle mit ihrem Partner ausgetauscht.
- Selbstsignierte Zertifikate wurden ggf. auf jeder Seite importiert.
- Tokensignierung: Jeder Verbunddienstcomputer erfordert ein Tokensignaturzertifikat. Das CP-Tokensignaturzertifikat muss vom RP-Verbundserver als vertrauenswürdig eingestuft werden. Das RP-Tokensignaturzertifikat muss von allen Anwendungen vertrauenswürdig sein, die Token vom RP-Verbundserver empfangen.
- Secure Sockets Layer (SSL): Das SSL-Zertifikat für den Verbunddienst muss in einem vertrauenswürdigen Speicher auf dem Verbundserverproxycomputer vorhanden sein und über eine gültige Kette zu einem vertrauenswürdigen Zertifizierungsstellenspeicher verfügen.
- Zertifikatsperrliste (CRL): Für jedes Zertifikat, das eine CRL veröffentlicht hat, muss die CRL für alle Clients und Server zugänglich sein, die auf das Zertifikat zugreifen müssen.
Wenn eine der vorstehenden Anforderungen nicht ordnungsgemäß konfiguriert ist, funktioniert AD FS nicht.
Allgemeine Informationen zum Überprüfen von Zertifikaten
Die folgende Checkliste kann Ihnen beim Beheben eines Zertifikatproblems helfen:
- Stellen Sie sicher, dass das Zertifikat vertrauenswürdig ist.
- Stellen Sie sicher, dass SSL-Zertifikate von den Clients als vertrauenswürdig eingestuft werden.
- Tokensignaturzertifikate müssen von den vertrauenden Parteien als vertrauenswürdig eingestuft werden.
- Überprüfen Sie die Vertrauenskette. Jedes Zertifikat in der Kette muss gültig sein.
- Überprüfen Sie das Ablaufdatum des Zertifikats.
- Überprüfen Sie die Erreichbarkeit der CRL.
- Stellen Sie sicher, dass das Feld für CRL-Verteilungspunkt (CDP) aufgefüllt ist.
- Navigieren Sie manuell zum CDP.
- Stellen Sie sicher, dass das Zertifikat nicht widerrufen wurde.
Häufige Zertifikatsfehler
In der folgenden Tabelle sind allgemeine Zertifikatfehler und mögliche Ursachen aufgeführt.
Ereignis | Ursache | Beschluss |
---|---|---|
Ereignis 249: Ein Zertifikat konnte im Zertifikatspeicher nicht gefunden werden. In Zertifikat-Rollover-Szenarien kann möglicherweise dies zu einem Fehler führen, wenn der Verbunddienst mit diesem Zertifikat signiert oder entschlüsselt. | Das fragliche Zertifikat ist nicht im lokalen Zertifikatspeicher vorhanden, oder das Dienstkonto verfügt nicht über die Berechtigung für den privaten Schlüssel des Zertifikats. | Stellen Sie sicher, dass das Zertifikat auf dem AD FS-Server in LocalMachine\My store installiert ist. Stellen Sie sicher, dass das AD FS-Dienstkonto Lesezugriff auf den privaten Schlüssel des Zertifikats hat. |
Ereignis 315: Ein Fehler trat auf beim Versuch, die Zertifikatkette für das Signaturzertifikat des Anspruchsanbieter-Vertrauensstelle zu erstellen. | Das Zertifikat wurde widerrufen. Die Zertifikatkette kann nicht überprüft werden. Das Zertifikat ist abgelaufen oder noch nicht gültig. |
Stellen Sie sicher, dass das Zertifikat gültig ist und nicht widerrufen wurde. Stellen Sie sicher, dass auf die CRL zugegriffen werden kann. |
Ereignis 316: Fehler beim Versuch, die Zertifikatkette für das Signaturzertifikat der vertrauenden Seite zu erstellen. | Das Zertifikat wurde widerrufen. Die Zertifikatkette kann nicht überprüft werden. Das Zertifikat ist abgelaufen oder noch nicht gültig. |
Stellen Sie sicher, dass das Zertifikat gültig ist und nicht widerrufen wurde. Stellen Sie sicher, dass auf die CRL zugegriffen werden kann. |
Ereignis 317: Fehler beim Versuch, die Zertifikatkette für das Vertrauensverschlüsselungszertifikat der vertrauenden Seite zu erstellen. | Das Zertifikat wurde widerrufen. Die Zertifikatkette kann nicht überprüft werden. Das Zertifikat ist abgelaufen oder noch nicht gültig. |
Stellen Sie sicher, dass das Zertifikat gültig ist und nicht widerrufen wurde. Stellen Sie sicher, dass auf die CRL zugegriffen werden kann. |
Ereignis 319: Fehler beim Erstellen der Zertifikatkette für das Clientzertifikat. | Das Zertifikat wurde widerrufen. Die Zertifikatkette kann nicht überprüft werden. Das Zertifikat ist abgelaufen oder noch nicht gültig. |
Stellen Sie sicher, dass das Zertifikat gültig ist und nicht widerrufen wurde. Stellen Sie sicher, dass auf die CRL zugegriffen werden kann. |
Ereignis 360: Eine Anforderung an einen Zertifikattransportendpunkt wurde gestellt, die Anforderung enthielt jedoch kein Clientzertifikat. | Die Stammzertifizierungsstelle, die das Clientzertifikat ausgestellt hat, ist nicht vertrauenswürdig. Das Clientzertifikat ist abgelaufen. Das Clientzertifikat ist selbstsigniert und nicht vertrauenswürdig. |
Stellen Sie sicher, dass die Stammzertifizierungsstelle, die das Clientzertifikat ausgestellt hat, im vertrauenswürdigen Stammspeicher vorhanden ist. Stellen Sie sicher, dass das Clientzertifikat nicht abgelaufen ist. Wenn das Clientzertifikat selbstsigniert ist, stellen Sie sicher, dass es der Liste der vertrauenswürdigen Zertifikate hinzugefügt wurde, oder ersetzen Sie das selbstsignierte Zertifikat durch ein vertrauenswürdiges Zertifikat. |
Ereignis 374: Fehler beim Erstellen der Zertifikatkette für das Verschlüsselungszertifikat des Anspruchsanbieters. | Das Zertifikat wurde widerrufen. Die Zertifikatkette kann nicht überprüft werden. Das Zertifikat ist abgelaufen oder noch nicht gültig. |
Stellen Sie sicher, dass das Zertifikat gültig ist und nicht widerrufen wurde. Stellen Sie sicher, dass auf die CRL zugegriffen werden kann. |
Ereignis 381: Fehler beim Versuch, die Zertifikatkette für das Konfigurationszertifikat zu erstellen. | Eines der zertifikate, die für die Verwendung auf dem AD FS-Server konfiguriert sind, ist abgelaufen oder wurde widerrufen. | Stellen Sie sicher, dass alle konfigurierten Zertifikate nicht widerrufen wurden und nicht abgelaufen sind. |
Ereignis 385: AD FS hat festgestellt, dass mindestens ein Zertifikat in der AD FS-Konfigurationsdatenbank manuell aktualisiert werden muss. | Eines der zertifikate, die für die Verwendung auf dem AD FS-Server konfiguriert sind, ist abgelaufen oder nähert sich dem Ablaufdatum. | Aktualisieren Sie das abgelaufene oder bald ablaufende Zertifikat mit einem Ersatz. (Wenn Sie selbstsignierte Zertifikate verwenden und der automatische Zertifikatrollover aktiviert ist, können Sie diesen Fehler ignorieren, da er selbst aufgelöst wird.) |
Ereignis 387: AD FS hat festgestellt, dass mindestens ein Zertifikat, das im Verbunddienst angegeben ist, nicht auf das Dienstkonto zugreifen konnte, das vom AD FS-Windows-Dienst verwendet wird. | Das AD FS-Dienstkonto verfügt nicht über Leseberechtigungen für den privaten Schlüssel eines oder mehrerer konfigurierter Zertifikate. | Stellen Sie sicher, dass das AD FS-Dienstkonto leseberechtigung für den privaten Schlüssel aller konfigurierten Zertifikate besitzt. |
Ereignis 389: AD FS hat erkannt, dass für eine oder mehrere Ihrer Vertrauensstellungen die manuelle Aktualisierung der Zertifikate erforderlich ist, da sie abgelaufen sind oder bald ablaufen. | Eines der Zertifikate Ihres konfigurierten Partners ist abgelaufen oder läuft ab. Das Ereignis kann entweder auf eine Vertrauensstellung eines Anspruchsanbieters oder auf eine Vertrauensstellung eines vertrauenswürdigen Partners angewendet werden. | Wenn Sie diese Vertrauensstellung manuell erstellt haben, aktualisieren Sie die Zertifikatkonfiguration manuell. Wenn Sie Verbundmetadaten zum Erstellen der Vertrauensstellung verwendet haben, wird das Zertifikat automatisch aktualisiert, sobald der Partner das Zertifikat aktualisiert. |