AD FS のトラブルシューティング - 証明書
Active Directory フェデレーション サービス (AD FS) が正しく動作するには、特定の証明書が必要です。 これらの証明書のいずれかが正しく設定または構成されていない場合、問題が発生する可能性があります。
必要な証明書
必要な各 AD FS 証明書には、それぞれ独自の要件があります。
- フェデレーション信頼: フェデレーション信頼には、次のいずれかが必要です。
- 相互に信頼されたインターネット ルート証明機関 (CA) にチェーンされた証明書が、クレーム プロバイダー (CP) と証明書利用者 (RP) フェデレーション サーバーの両方の信頼されたルート ストアに存在する。
- 各側がパートナーとルート CA を交換したクロス証明設計が実装されている。
- 該当する場合は自己署名証明書が各側でインポートされている。
- トークン署名: 各フェデレーション サービス コンピューターには、トークン署名証明書が必要です。 CP のトークン署名証明書は、RP のフェデレーション サーバーによって信頼されている必要があります。 RP のトークン署名証明書は、RP フェデレーション サーバーからトークンを受け取るすべてのアプリケーションによって信頼されている必要があります。
- Secure Sockets Layer (SSL): フェデレーション サービス用の SSL 証明書が、フェデレーション サーバー プロキシ コンピューターの信頼されたストアに存在し、CA ストアへの有効なチェーンを持っている必要があります。
- 証明書失効リスト (CRL): CRL が公開されているすべての証明書について、証明書にアクセスする必要があるすべてのクライアントとサーバーから CRL にアクセスできる必要があります。
前述のいずれかの要件が正しく構成されていない場合、AD FS は機能しません。
証明書に関する一般的な確認事項
次のチェックリストは、証明書の問題を解決するのに役立ちます。
- 証明書が信頼されていることを確認します。
- SSL 証明書がクライアントによって信頼されていることを確認します。
- トークン署名証明書は、証明書利用者によって信頼されている必要があります。
- 信頼チェーンを確認します。 チェーン内のすべての証明書が有効である必要があります。
- 証明書の有効期限を確認します。
- CRL にアクセスできることを確認します。
- 証明書失効リストの配布ポイント (CDP) のフィールドが設定されていることを確認します。
- CDP を手動で参照します。
- 証明書が失効していないことを確認します。
一般的な証明書エラー
次の表に、一般的な証明書エラーと考えられる原因を示します。
| イベント | 原因 | 解像度 |
|---|---|---|
| イベント 249: 証明書が証明書ストアに見つかりませんでした。 証明書のロールオーバーのシナリオでは、フェデレーション サービスがこの証明書を使用して署名または復号化するときに、エラーが発生する可能性があります。 | 問題の証明書がローカル証明書ストアに存在しないか、サービス アカウントに証明書の秘密キーへのアクセス許可がありません。 | 証明書が AD FS サーバーの LocalMachine\My store にインストールされていることを確認します。 AD FS サービス アカウントに、証明書の秘密キーへの読み取りアクセス権があることを確認します。 |
| イベント 315: 要求プロバイダーの信頼署名証明書の証明書チェーンを構築しようとしたときにエラーが発生しました。 | 証明書が失効しました。 証明書チェーンを検証できません。 証明書が期限切れか、まだ有効になっていません。 | 証明書が有効であり、失効していないことを確認します。 CRL にアクセスできることを確認します。 |
| イベント 316: 証明書利用者の信頼署名証明書の証明書チェーンを構築しようとしたときにエラーが発生しました。 | 証明書が失効しました。 証明書チェーンを検証できません。 証明書が期限切れか、まだ有効になっていません。 | 証明書が有効であり、失効していないことを確認します。 CRL にアクセスできることを確認します。 |
| イベント 317: 証明書利用者の信頼署名証明書の証明書チェーンを構築しようとしたときにエラーが発生しました。 | 証明書が失効しました。 証明書チェーンを検証できません。 証明書が期限切れか、まだ有効になっていません。 | 証明書が有効であり、失効していないことを確認します。 CRL にアクセスできることを確認します。 |
| イベント 319: クライアント証明書の証明書チェーンの構築中にエラーが発生しました。 | 証明書が失効しました。 証明書チェーンを検証できません。 証明書が期限切れか、まだ有効になっていません。 | 証明書が有効であり、失効していないことを確認します。 CRL にアクセスできることを確認します。 |
| イベント 360: 証明書トランスポート エンドポイントに対する要求が行われましたが、要求にクライアント証明書が含まれていませんでした。 | クライアント証明書を発行したルート CA が信頼されていません。 クライアント証明書の有効期限が切れています。 クライアント証明書が自己署名されており、信頼されていません。 | クライアント証明書を発行したルート CA が信頼されたルート ストアに存在することを確認します。 クライアント証明書の有効期限が切れていないことを確認します。 クライアント証明書が自己署名されたものである場合、信頼された証明書の一覧に追加されていることを確認するか、自己署名証明書を信頼された証明書に置き換えます。 |
| イベント 374: 要求プロバイダーの信頼暗号化証明書の証明書チェーンの構築中にエラーが発生しました。 | 証明書が失効しました。 証明書チェーンを検証できません。 証明書が期限切れか、まだ有効になっていません。 | 証明書が有効であり、失効していないことを確認します。 CRL にアクセスできることを確認します。 |
| イベント 381: 構成証明書の証明書チェーンを構築しようとしたときにエラーが発生しました。 | AD FS サーバーで使用するように構成された証明書のいずれかの有効期限が切れているか、失効しています。 | 構成されたすべての証明書が失効しておらず、期限切れになっていないことを確認します。 |
| イベント 385: AD FS において、AD FS 構成データベース内の 1 つ以上の証明書を手動で更新する必要があることが検出されました。 | AD FS サーバーで使用するように構成された証明書のいずれかの有効期限が切れているか、有効期限が近づいています。 | 期限が切れたか、間もなく期限が切れる証明書を交換して更新します。 (自己署名証明書を使用していて、証明書の自動ロールオーバーが有効になっている場合、このエラーは自動的に解決されるため、無視してかまいません。) |
| イベント 387: AD FS において、フェデレーション サービスで指定された 1 つ以上の証明書が、AD FS Windows サービスによって使用されるサービス アカウントからアクセスできなかったことが検出されました。 | AD FS サービス アカウントに、1 つ以上の構成済み証明書の秘密キーに対する読み取りアクセス許可がありません。 | AD FS サービス アカウントに、構成されているすべての証明書の秘密キーに対する読み取りアクセス許可があることを確認します。 |
| イベント 389: AD FS において、証明書の有効期限が切れたか、間もなく期限切れになるため、1 つ以上の信頼の証明書を手動で更新する必要があることが検出されました。 | 構成されたパートナーの証明書のいずれかの有効期限が切れているか、間もなく期限切れになります。 このイベントは、クレーム プロバイダーの信頼または証明書利用者の信頼のいずれかに該当します。 | この信頼を手動で作成した場合は、証明書の構成を手動で更新してください。 フェデレーション メタデータを使用して信頼を作成した場合、証明書はパートナーが証明書を更新するとすぐに自動的に更新されます。 |