Solución de problemas de AD FS: Certificados
Servicios de federación de Active Directory (AD FS) requiere certificados específicos para funcionar correctamente. Pueden producirse problemas si alguno de estos certificados no está configurado correctamente.
Certificados necesarios
Cada uno de los certificados de AD FS necesarios tiene sus propios requisitos:
- Confianza de federación: la confianza de federación requiere una de las siguientes opciones:
- Un certificado que esté encadenado a una entidad de certificación raíz de Internet de confianza mutua debe estar presente en el almacén raíz de confianza de los servidores de federación del proveedor de notificaciones (CP) y del usuario de confianza (RP).
- Se implementó un diseño de certificación cruzada y cada lado intercambió su CA raíz con su asociado.
- Se importaron los certificados autofirmados en cada lado cuando procedía.
- Firma de tokens: cada equipo del servicio de federación requiere un certificado de firma de tokens. El servidor de federación del RP debe confiar en el certificado de firma de tokens del CP. El certificado de firma de tokens del RP debe ser de confianza para todas las aplicaciones que reciben tokens del servidor de federación del mismo.
- Capa de sockets seguros (SSL): el certificado SSL para el servicio de federación debe estar presente en un almacén de confianza en el equipo del servidor proxy de federación y tener una cadena válida a un almacén de entidad de certificación (CA) de confianza.
- Lista de revocación de certificados (CRL): para cualquier certificado que tenga una CRL publicada, esta debe ser accesible para todos los clientes y servidores que necesiten acceder al certificado.
Si alguno de los requisitos anteriores no está configurado correctamente, AD FS no funcionará.
Aspectos comunes que se deben comprobar con certificados
La siguiente lista de comprobación puede ayudarle a resolver un problema de certificado:
- Asegúrese de que el certificado es de confianza.
- Asegúrese de que los clientes confían en los certificados SSL.
- Los usuarios de confianza deben confiar en los certificados de firma de tokens.
- Compruebe la cadena de confianza. Todos los certificados de la cadena deben ser válidos.
- Compruebe la fecha de expiración del certificado.
- Compruebe la accesibilidad de CRL.
- Asegúrese de que el campo del punto de distribución de CRL (CDP) esté relleno.
- Vaya manualmente al CDP.
- Asegúrese de que el certificado no se ha revocado.
Errores de certificados comunes
En la siguiente lista se muestran algunos errores frecuentes de los certificados y sus posibles causas.
Evento | Causa | Resolución |
---|---|---|
Evento 249: no se encontró un certificado en el almacén de certificados. En escenarios de sustitución de certificados, esto puede provocar un error cuando el servicio de federación firma o descifra mediante este certificado. | El certificado en cuestión no está presente en el almacén de certificados local o la cuenta de servicio no tiene permiso para la clave privada del certificado. | Asegúrese de que el certificado esté instalado en LocalMachine\My store en el servidor de AD FS. Asegúrese de que la cuenta de servicio de AD FS tenga acceso a la clave privada del certificado. |
Evento 315: se ha producido un error durante un intento de crear la cadena de certificados con el certificado de firma de confianza del proveedor de notificaciones. | Se ha revocado el certificado. No se puede comprobar la cadena de certificados. El certificado ha expirado o aún no es válido. |
Asegúrese de que el certificado sea válido y no se haya revocado. Asegúrese de que la CRL sea accesible. |
Evento 316: se ha producido un error al intentar crear la cadena de certificados con el certificado de cifrado de la confianza del usuario de confianza. | Se ha revocado el certificado. No se puede comprobar la cadena de certificados. El certificado ha expirado o aún no es válido. |
Asegúrese de que el certificado sea válido y no se haya revocado. Asegúrese de que la CRL sea accesible. |
Evento 317: se ha producido un error al intentar crear la cadena de certificados con el certificado de cifrado de la relación de confianza para usuario autenticado. | Se ha revocado el certificado. No se puede comprobar la cadena de certificados. El certificado ha expirado o aún no es válido. |
Asegúrese de que el certificado sea válido y no se haya revocado. Asegúrese de que la CRL sea accesible. |
Evento 319: se ha producido un error cuando se estaba creando la cadena de certificados con el certificado de cliente. | Se ha revocado el certificado. No se puede comprobar la cadena de certificados. El certificado ha expirado o aún no es válido. |
Asegúrese de que el certificado sea válido y no se haya revocado. Asegúrese de que la CRL sea accesible. |
Evento 360: se realizó una solicitud a un punto de conexión de transporte de certificados, pero la solicitud no incluía un certificado de cliente. | La CA raíz que emitió el certificado de cliente no es de confianza. El certificado de cliente ha expirado. El certificado de cliente está autofirmado y no es de confianza. |
Asegúrese de que la CA raíz que emitió el certificado de cliente está presente en el almacén raíz de confianza. Asegúrese de que el certificado de cliente no ha expirado. Si el certificado del cliente es autofirmado, asegúrese de que se ha agregado a la lista de certificados de confianza, o sustituya el certificado autofirmado por un certificado de confianza. |
Evento 374: se ha producido un error al crear la cadena de certificados con el certificado de cifrado de confianza del proveedor de notificaciones. | Se ha revocado el certificado. No se puede comprobar la cadena de certificados. El certificado ha expirado o aún no es válido. |
Asegúrese de que el certificado sea válido y no se haya revocado. Asegúrese de que la CRL sea accesible. |
Evento 381: se ha producido un error al intentar crear la cadena de certificados con el certificado de configuración. | Uno de los certificados configurados para su uso en el servidor de AD FS ha expirado o se ha revocado. | Asegúrese de que no se hayan revocado todos los certificados configurados y que no hayan expirado. |
Evento 385: AD FS detectó que uno o varios certificados de la base de datos de configuración de AD FS deben actualizarse manualmente. | Uno de los certificados configurados para su uso en el servidor de AD FS ha expirado o está cerca de su fecha de expiración. | Actualice el certificado expirado o cercano a expirar con un reemplazo. (Si usa certificados autofirmados y la sustitución automática de certificados está habilitada, este error se puede omitir, ya que se resolverá automáticamente). |
Evento 387: AD FS ha detectado que uno o varios de los certificados especificados en el Servicio de federación no eran accesibles para la cuenta de servicio que usa el servicio de Windows de AD FS. | La cuenta de servicio de AD FS no tiene permisos de lectura para las claves privadas de uno o varios certificados configurados. | Asegúrese de que la cuenta de servicio de AD FS tenga permiso de lectura para la clave privada de todos los certificados configurados. |
Evento 389: AD FS ha detectado que una o más relaciones de confianza requieren que sus certificados se actualicen de forma manual debido a que han caducado o lo harán pronto. | Uno de los certificados del asociado configurado ha expirado o está a punto de expirar. Este evento puede aplicarse a una relación de confianza del proveedor de notificaciones o a una relación de confianza para usuario autenticado. | Si ha creado manualmente esta relación de confianza, actualice la configuración del certificado manualmente. Si usó metadatos de federación para crear la relación de confianza, el certificado se actualizará automáticamente en cuanto el asociado actualice el certificado. |