Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Active Directory Federation Services (AD FS) richiede certificati specifici per funzionare correttamente. I problemi possono verificarsi se uno di questi certificati non è configurato o configurato correttamente.
Certificati obbligatori
Ognuno dei certificati AD FS necessari ha i propri requisiti:
-
Trust federativo: l'attendibilità federativa richiede uno dei seguenti elementi:
- Un certificato concatenato a un'autorità di certificazione radice (CA) internet attendibile è presente nell'archivio radice attendibile sia del fornitore di attestazioni (CP) che dei server federativi della relying party (RP).
- È stato implementato uno schema di certificazione incrociata ed entrambe le parti hanno scambiato le rispettive CA radici con il partner.
- I certificati autofirmati sono stati importati da ciascuna parte, se appropriato.
- Firma del token: ogni computer del servizio federativo richiede un certificato di firma del token. Il certificato di firma del token CP deve essere considerato attendibile dal server federativo rp. Il certificato di firma del token RP deve essere considerato attendibile da tutte le applicazioni che ricevono token dal server federativo rp.
- Secure Sockets Layer (SSL): il certificato SSL per il servizio federativo deve essere presente in un archivio attendibile nel computer proxy server federativo e avere una catena valida per un archivio CA attendibile.
- Elenco di revoche di certificati (CRL): per qualsiasi certificato con un CRL pubblicato, il CRL deve essere accessibile a tutti i client e i server che devono accedere al certificato.
Se uno dei requisiti precedenti non è configurato correttamente, AD FS non funzionerà.
Aspetti comuni da controllare con i certificati
L'elenco di controllo seguente consente di risolvere un problema di certificato:
- Assicurarsi che il certificato sia attendibile.
- Assicurarsi che i certificati SSL siano considerati attendibili dai client.
- I certificati di firma dei token devono essere considerati attendibili dalle parti affidabili.
- Verificare la catena di fiducia. Ogni certificato nella catena deve essere valido.
- Verificare la data di scadenza del certificato.
- Controllare l'accessibilità del CRL.
- Assicurarsi che il campo per il punto di distribuzione CRL (CDP) sia popolato.
- Passare manualmente al CDP.
- Assicurarsi che il certificato non sia stato revocato.
Comuni errori relativi ai certificati
Nella tabella seguente sono elencati gli errori comuni dei certificati e le possibili cause.
| Evento | Motivo | Risoluzione |
|---|---|---|
| Evento 249: non è stato possibile trovare un certificato nell'archivio certificati. Negli scenari di rollover dei certificati, questo può causare un errore quando il servizio federativo firma o decrittografa usando questo certificato. | Il certificato in questione non è presente nell'archivio certificati locale o l'account del servizio non dispone dell'autorizzazione per la chiave privata del certificato. | Verificare che il certificato sia installato in LocalMachine\My store nel server AD FS. Verificare che l'account del servizio AD FS abbia accesso in lettura alla chiave privata del certificato. |
| Evento 315: si è verificato un errore durante un tentativo di compilazione della catena di certificati per il certificato di firma trust del provider di attestazioni. | Il certificato è stato revocato.
Non è possibile verificare la catena di certificati. Il certificato è scaduto o non è ancora valido. |
Verificare che il certificato sia valido e non sia stato revocato.
Assicurarsi che il CRL sia accessibile. |
| Evento 316: si è verificato un errore durante un tentativo di costruzione della catena di certificati per il certificato di firma del trust della relying party. | Il certificato è stato revocato.
Non è possibile verificare la catena di certificati. Il certificato è scaduto o non è ancora valido. |
Verificare che il certificato sia valido e non sia stato revocato.
Assicurarsi che il CRL sia accessibile. |
| Evento 317: si è verificato un errore durante un tentativo di compilazione della catena di certificati per il certificato di crittografia dell'attendibilità della relying party. | Il certificato è stato revocato.
Non è possibile verificare la catena di certificati. Il certificato è scaduto o non è ancora valido. |
Verificare che il certificato sia valido e non sia stato revocato.
Assicurarsi che il CRL sia accessibile. |
| Evento 319: si è verificato un errore durante la compilazione della catena di certificati per il certificato client. | Il certificato è stato revocato.
Non è possibile verificare la catena di certificati. Il certificato è scaduto o non è ancora valido. |
Verificare che il certificato sia valido e non sia stato revocato.
Assicurarsi che il CRL sia accessibile. |
| Evento 360: è stata effettuata una richiesta a un endpoint di trasporto del certificato, ma la richiesta non includeva un certificato client. | La CA radice che ha emesso il certificato client non è attendibile.
Il certificato client è scaduto. Il certificato client è autofirmato e non è attendibile. |
Assicurati che la CA radice che ha emesso il certificato client sia presente nell'archivio radice attendibile.
Assicurarsi che il certificato client non sia scaduto. Se il certificato client è autofirmato, assicurarsi che sia stato aggiunto all'elenco di certificati attendibili o sostituire il certificato autofirmato con un certificato attendibile. |
| Evento 374: si è verificato un errore durante la costruzione della catena di certificati per il certificato di crittografia dell'affidabilità del provider. | Il certificato è stato revocato.
Non è possibile verificare la catena di certificati. Il certificato è scaduto o non è ancora valido. |
Verificare che il certificato sia valido e non sia stato revocato.
Assicurarsi che il CRL sia accessibile. |
| Evento 381: si è verificato un errore durante un tentativo di compilazione della catena di certificati per il certificato di configurazione. | Uno dei certificati configurati per l'utilizzo nel server AD FS è scaduto o è stato revocato. | Assicurarsi che tutti i certificati configurati non siano stati revocati e non siano scaduti. |
| Evento 385: AD FS ha rilevato che uno o più certificati nel database di configurazione di AD FS devono essere aggiornati manualmente. | Uno dei certificati configurati per l'utilizzo nel server AD FS è scaduto o sta per scadere. | Aggiornare il certificato scaduto o in scadenza con un certificato di sostituzione. Se si usano certificati autofirmato e il rollover automatico del certificato è abilitato, è possibile ignorare questo errore perché verrà risolto automaticamente. |
| Evento 387: AD FS ha rilevato che uno o più certificati specificati nel servizio federativo non sono stati accessibili all'account del servizio usato dal servizio Windows AD FS. | L'account del servizio AD FS non dispone delle autorizzazioni di lettura per la chiave privata di uno o più certificati configurati. | Verificare che l'account del servizio AD FS disponga dell'autorizzazione di lettura per la chiave privata di tutti i certificati configurati. |
| Evento 389: AD FS ha rilevato che uno o più trust richiedono l'aggiornamento manuale dei certificati perché sono scaduti o scadranno presto. | Uno dei certificati del partner configurato è scaduto o sta per scadere. L'evento può essere applicato a un trust del provider di attestazioni o a un trust per le parti fiduciarie. | Se questa fiducia è stata creata manualmente, aggiornare manualmente la configurazione del certificato. Se sono stati usati i metadati della federazione per creare l'attendibilità, il certificato verrà aggiornato automaticamente non appena il partner aggiorna il certificato. |