Résolution des problèmes AD FS - Certificats

Les services de fédération Active Directory (AD FS) nécessitent des certificats spécifiques pour fonctionner correctement. Des problèmes peuvent se produire si l’un de ces certificats ne sont pas configurés ou configurés correctement.

Certificats requis

Chacun des certificats AD FS requis a ses propres exigences :

• Confiance de fédération : La confiance de fédération nécessite l'une des conditions suivantes :
  • Un certificat chaîné à une autorité de certification racine Internet faisant l’objet d’une approbation mutuelle est présent dans le magasin racine approuvé du fournisseur de revendications et des serveurs de fédération de parties de confiance.
  • Une certification croisée a été implémentée, et chaque partie a échangé son AC racine avec son partenaire.
  • Des certificats auto-signés ont été importés de chaque côté, le cas échéant.
• Signature de jeton : chaque ordinateur de service de fédération nécessite un certificat de signature de jeton. Le certificat de signature de jeton CP doit être approuvé par le serveur de fédération RP. Le certificat de signature de jeton rp doit être approuvé par toutes les applications qui reçoivent des jetons du serveur de fédération rp.
• Ssl (Secure Sockets Layer) : le certificat SSL pour le service de fédération doit être présent dans un magasin approuvé sur l’ordinateur proxy du serveur de fédération et avoir une chaîne valide vers un magasin d’autorité de certification approuvé.
• Liste de révocation de certificats (CRL) : pour tout certificat ayant une liste de révocation de certificats publié, la liste de révocation de certificats doit être accessible à tous les clients et serveurs qui doivent accéder au certificat.

Si l’une des exigences précédentes n’est pas configurée correctement, AD FS ne fonctionne pas.

Éléments courants à vérifier avec les certificats

La liste de contrôle suivante peut vous aider à résoudre un problème de certificat :

• Vérifiez que le certificat est approuvé.
• Vérifiez que les certificats SSL sont approuvés par les clients.
  • Les certificats de signature de jeton doivent être approuvés par les parties prenantes.
• Vérifiez la chaîne d’approbation. Chaque certificat de la chaîne doit être valide.
• Vérifiez la date d’expiration du certificat.
• Vérifiez l’accessibilité de la liste de révocation de certificats.
  • Vérifiez que le champ du point de distribution de liste de révocation de certificats est renseigné.
  • Accédez manuellement au point de distribution de liste de révocation de certificats.
• Vérifiez que le certificat n’a pas été révoqué.

Erreurs de certificat courantes

Le tableau suivant répertorie les erreurs de certificat courantes et les causes possibles.

Événement	La cause	Résolution
Événement 249 : Impossible de trouver un certificat dans le magasin de certificats. Dans les scénarios de substitution de certificat, cela peut entraîner un échec lorsque le service de fédération signe ou déchiffre à l’aide de ce certificat.	Le certificat en question n’est pas présent dans le magasin de certificats local, ou le compte de service n’est pas autorisé à accéder à la clé privée du certificat.	Vérifiez que le certificat est installé dans LocalMachine\My store sur le serveur AD FS. Vérifiez que le compte de service AD FS dispose d’un accès en lecture à la clé privée du certificat.
Événement 315 : Une erreur s’est produite lors d’une tentative de génération de la chaîne de certificats pour le certificat de signature de confiance du fournisseur de revendications.	Le certificat a été révoqué. La chaîne de certificats ne peut pas être vérifiée. Le certificat a expiré ou n’est pas encore valide.	Vérifiez que le certificat est valide et n’a pas été révoqué. Vérifiez que le CRL est accessible.
Événement 316 : Une erreur s’est produite durant une tentative de création de la chaîne de certificats pour le certificat de signature d’approbation de partie de confiance.	Le certificat a été révoqué. La chaîne de certificats ne peut pas être vérifiée. Le certificat a expiré ou n’est pas encore valide.	Vérifiez que le certificat est valide et n’a pas été révoqué. Vérifiez que le CRL est accessible.
Événement 317 : Une erreur s’est produite durant une tentative de création de la chaîne de certificats pour le certificat de chiffrement d’approbation de partie de confiance.	Le certificat a été révoqué. La chaîne de certificats ne peut pas être vérifiée. Le certificat a expiré ou n’est pas encore valide.	Vérifiez que le certificat est valide et n’a pas été révoqué. Vérifiez que le CRL est accessible.
Événement 319 : Une erreur s’est produite pendant la génération de la chaîne de certificats pour le certificat client.	Le certificat a été révoqué. La chaîne de certificats ne peut pas être vérifiée. Le certificat a expiré ou n’est pas encore valide.	Vérifiez que le certificat est valide et n’a pas été révoqué. Vérifiez que le CRL est accessible.
Événement 360 : une demande a été adressée à un point de terminaison de transport de certificat, mais la demande n’a pas inclus un certificat client.	L’autorité de certification racine qui a émis le certificat client n’est pas approuvée. Le certificat client a expiré. Le certificat client est auto-signé et n’est pas approuvé.	Vérifiez que l’AC racine qui a émis le certificat client est présente dans le magasin racine approuvé. Vérifiez que le certificat client n’a pas expiré. Si le certificat client est auto-signé, vérifiez qu’il a été ajouté à la liste des certificats approuvés ou remplacez le certificat auto-signé par un certificat approuvé.
Événement 374 : Une erreur s’est produite lors de la construction de la chaîne de certificats pour le certificat de chiffrement de confiance du fournisseur de revendications.	Le certificat a été révoqué. La chaîne de certificats ne peut pas être vérifiée. Le certificat a expiré ou n’est pas encore valide.	Vérifiez que le certificat est valide et n’a pas été révoqué. Vérifiez que le CRL est accessible.
Événement 381 : une erreur s’est produite lors d’une tentative de génération de la chaîne de certificats pour le certificat de configuration.	L’un des certificats configurés pour une utilisation sur le serveur AD FS a expiré ou a été révoqué.	Vérifiez que tous les certificats configurés n’ont pas été révoqués et qu’ils n’ont pas expiré.
Événement 385 : AD FS a détecté qu’un ou plusieurs certificats dans la base de données de configuration AD FS doivent être mis à jour manuellement.	L’un des certificats configurés pour une utilisation sur le serveur AD FS a expiré ou est proche de sa date d’expiration.	Mettez à jour le certificat expiré ou bientôt à expiration avec un remplacement. (Si vous utilisez des certificats auto-signés et que la substitution de certificat automatique est activée, vous pouvez ignorer cette erreur, car elle se résout automatiquement.)
Événement 387 : AD FS a détecté qu’un ou plusieurs des certificats spécifiés dans le service de fédération n’étaient pas accessibles au compte de service utilisé par le service Windows AD FS.	Le compte de service AD FS n’a pas d’autorisations de lecture sur la clé privée d’un ou plusieurs certificats configurés.	Vérifiez que le compte de service AD FS dispose d’une autorisation de lecture sur la clé privée de tous les certificats configurés.
Événement 389 : AD FS a détecté qu'une ou plusieurs de vos relations de confiance nécessitent que leurs certificats soient mis à jour manuellement, car ils ont expiré ou expireront bientôt.	L’un des certificats de votre partenaire configurés a expiré ou est sur le point d’expirer. L’événement peut s’appliquer à une approbation de fournisseur de revendications ou à une approbation de partie de confiance.	Si vous avez créé manuellement cette approbation, mettez à jour la configuration du certificat manuellement. Si vous avez utilisé des métadonnées de fédération pour créer l’approbation, le certificat est mis à jour automatiquement dès que le partenaire met à jour le certificat.

Liens connexes

• Résolution des problèmes AD FS