Résolution des problèmes liés à AD FS - Certificats
Les services de fédération Active Directory (AD FS) nécessitent des certificats spécifiques pour fonctionner correctement. Des problèmes peuvent se produire si l’un de ces certificats n’est pas installé ou configuré correctement.
Certificats nécessaires
Chacun des certificats AD FS nécessaires a ses propres impératifs :
- Approbation de fédération : L’approbation de fédération nécessite l’un des éléments suivants :
- Un certificat chaîné à une autorité de certification racine Internet faisant l’objet d’une approbation mutuelle est présent dans le magasin racine approuvé du fournisseur de revendications et des serveurs de fédération de parties de confiance.
- Une certification croisée a été implémentée, et chaque partie a échangé son AC racine avec son partenaire.
- Des certificats autosignés ont été importés de chaque côté, le cas échéant.
- Signature de jetons : Chaque ordinateur du service FS (Federation Service) nécessite un certificat de signature de jetons. Le certificat de signature de jetons CP doit être approuvé par le serveur de fédération RP. Le certificat de signature de jetons RP doit être approuvé par toutes les applications qui reçoivent des jetons du serveur de fédération RP.
- SSL (Secure Sockets Layer) : Le certificat SSL du service FS (Federation Service) doit être présent dans un magasin approuvé sur le serveur proxy de fédération, et disposer d’une chaîne valide dans un magasin d’autorité de certification approuvé.
- Liste de révocation des certificats : Pour tout certificat pour lequel une liste de révocation de certificats est publiée, celle-ci doit être accessible à tous les clients et serveurs qui doivent accéder au certificat.
Si l’une des conditions préalables précédentes n’est pas correctement configurée, AD FS ne fonctionnera pas.
Éléments courants à vérifier avec les certificats
La check-list suivante peut vous aider à résoudre un problème de certificat :
- Vérifiez que le certificat est approuvé.
- Vérifiez que les certificats SSL sont approuvés par les clients.
- Les certificats de signature de jetons doivent être approuvés par les parties de confiance.
- Vérifiez la chaîne d’approbation. Chaque certificat de la chaîne doit être valide.
- Vérifiez la date d’expiration du certificat.
- Vérifiez l’accessibilité de la liste de révocation de certificats.
- Vérifiez que le champ du point de distribution de liste de révocation de certificats est renseigné.
- Accédez manuellement au point de distribution de liste de révocation de certificats.
- Vérifiez que le certificat n’a pas été révoqué.
Erreurs de certificat courantes
Le tableau suivant liste les erreurs de certificat courantes et leurs causes possibles.
| Événement | Cause | Résolution |
|---|---|---|
| Événement 249 : Un certificat est introuvable dans le magasin de certificats. Dans les scénarios de substitution de certificat, cela peut éventuellement entraîner un échec quand le service FS (Federation Service) signe ou déchiffre à l’aide de ce certificat. | Le certificat en question n’est pas présent dans le magasin de certificats local, ou le compte de service ne dispose pas de l’autorisation nécessaire pour accéder à la clé privée du certificat. | Vérifiez que le certificat est installé dans LocalMachine\My store sur le serveur AD FS. Vérifiez que le compte de service AD FS dispose d’un accès en lecture à la clé privée du certificat. |
| Événement 315 : Une erreur s’est produite durant une tentative de création de la chaîne de certificats pour le certificat de signature d’approbation du fournisseur de revendications. | Le certificat a été révoqué. La chaîne de certificats ne peut pas être vérifiée. Le certificat a expiré ou n’est pas encore valide. |
Vérifiez que le certificat est valide, et qu’il n’a pas été révoqué. Vérifiez que la liste de révocation de certificats est accessible. |
| Événement 316 : Une erreur s’est produite durant une tentative de création de la chaîne de certificats pour le certificat de signature d’approbation de partie de confiance. | Le certificat a été révoqué. La chaîne de certificats ne peut pas être vérifiée. Le certificat a expiré ou n’est pas encore valide. |
Vérifiez que le certificat est valide, et qu’il n’a pas été révoqué. Vérifiez que la liste de révocation de certificats est accessible. |
| Événement 317 : Une erreur s’est produite durant une tentative de création de la chaîne de certificats pour le certificat de chiffrement d’approbation de partie de confiance. | Le certificat a été révoqué. La chaîne de certificats ne peut pas être vérifiée. Le certificat a expiré ou n’est pas encore valide. |
Vérifiez que le certificat est valide, et qu’il n’a pas été révoqué. Vérifiez que la liste de révocation de certificats est accessible. |
| Événement 319 : Une erreur s’est produite durant la création de la chaîne de certificats pour le certificat client. | Le certificat a été révoqué. La chaîne de certificats ne peut pas être vérifiée. Le certificat a expiré ou n’est pas encore valide. |
Vérifiez que le certificat est valide, et qu’il n’a pas été révoqué. Vérifiez que la liste de révocation de certificats est accessible. |
| Événement 360 : Une requête a été effectuée à destination d’un point de terminaison de transport de certificats, mais elle n’a pas inclus de certificat client. | L’AC racine qui a émis le certificat client n’est pas approuvée. Le certificat client a expiré. Le certificat client est autosigné et n’est pas approuvé. |
Vérifiez que l’AC racine qui a émis le certificat client est présente dans le magasin racine approuvé. Vérifiez que le certificat client n’a pas expiré. Si le certificat client est autosigné, vérifiez qu’il a été ajouté à la liste des certificats approuvés, ou remplacez le certificat autosigné par un certificat approuvé. |
| Événement 374 : Une erreur s’est produite durant la création de la chaîne de certificats pour le certificat de chiffrement d’approbation du fournisseur de revendications. | Le certificat a été révoqué. La chaîne de certificats ne peut pas être vérifiée. Le certificat a expiré ou n’est pas encore valide. |
Vérifiez que le certificat est valide, et qu’il n’a pas été révoqué. Vérifiez que la liste de révocation de certificats est accessible. |
| Événement 381 : Une erreur s’est produite durant une tentative de création de la chaîne de certificats pour le certificat de configuration. | L’un des certificats configurés pour être utilisés sur le serveur AD FS a expiré ou a été révoqué. | Vérifiez que parmi tous les certificats configurés, aucun n’a été révoqué et n’a expiré. |
| Événement 385 : AD FS a détecté qu’un ou plusieurs certificats dans la base de données de configuration AD FS doivent être mis à jour manuellement. | L’un des certificats configurés pour être utilisés sur le serveur AD FS a expiré ou est proche de sa date d’expiration. | Mettez à jour le certificat expiré ou sur le point d’expirer en le remplaçant. (Si vous utilisez des certificats autosignés et si la substitution automatique de certificat est activé, vous pouvez ignorer cette erreur, car elle sera résolue automatiquement.) |
| Événement 387 : AD FS a détecté qu’un ou plusieurs certificats spécifiés dans le service FS (Federation Service) n’étaient pas accessibles pour le compte de service utilisé par le service Windows AD FS. | Le compte de service AD FS ne dispose pas d’autorisations d’accès en lecture sur la clé privée d’un ou de plusieurs certificats configurés. | Vérifiez que le compte de service AD FS dispose d’une autorisation d’accès en lecture sur la clé privée de tous les certificats configurés. |
| Événement 389 : AD FS a détecté qu’une ou plusieurs de vos approbations nécessitent la mise à jour manuelle de leurs certificats, car ils ont expiré ou vont bientôt expirer. | L’un des certificats de votre partenaire configuré a expiré ou est sur le point d’expirer. L’événement peut s’appliquer à une approbation de fournisseur de revendications ou à une approbation de partie de confiance. | Si vous avez créé manuellement cette approbation, mettez à jour la configuration du certificat manuellement. Si vous avez utilisé des métadonnées de fédération pour créer l’approbation, le certificat est mis à jour automatiquement dès que le partenaire met à jour le certificat. |