이 문서에서는 CBA(인증서 기반 인증)를 사용하여 애플리케이션 또는 리소스에 액세스할 때 발생하는 Microsoft Entra 인증 AADSTS50017 오류에 대한 솔루션을 제공합니다.
증상
CBA를 사용하여 애플리케이션 또는 리소스에 액세스하려고 하면 로그인 프로세스가 실패하고 다음 오류 메시지가 표시됩니다.
AADSTS50017: 인증서 기반 인증에 대해 지정된 인증서의 유효성 검사에 실패했습니다.
원인 1: 인증서 체인 오류 또는 유효성 검사 실패
AADSTS50017 오류는 다음과 같은 문제로 인해 발생할 수 있습니다.
저장소에 CA(인증 기관) 인증서가 없어 인증서 체인 오류가 발생했습니다.
SKI(주체 키 식별자) 및 AKI(기관 키 식별자) 값의 유효성 검사 실패
PKI(공개 키 인프라)에서 인증서 체인 유효성 검사 프로세스는 인증서 체인의 무결성과 신뢰성을 보장합니다. SKI와 AKI는 이 프로세스에서 중요한 역할을 합니다. SKI는 인증서가 보유한 공개 키에 대한 고유 식별자를 제공합니다. AKI는 인증서를 발급하는 CA를 식별하는 데 사용됩니다.
이 문제를 해결하려면 다음 단계를 수행합니다.
인증서 발급이 신뢰할 수 있는 인증서 목록에 올바르게 업로드되었는지 확인합니다.
인증서 체인은 함께 연결된 여러 인증서로 구성됩니다. 최종 사용자의 인증서는 루트 CA 또는 루트가 아닌 CA(중간 CA)에서 발급할 수 있습니다. 루트가 아닌 CA(중간 CA)가 있는 경우 중간 및 루트 CA 인증서를 Microsoft Entra CA 신뢰할 수 있는 저장소에 업로드해야 합니다.
인증서의 SKI 값을 확인하고 AKI 값이 신뢰할 수 있는 저장소에 업로드된 중간 또는 루트 CA 인증서와 일치하는지 확인합니다.
일치하는 항목이 없으면 인증서 또는 누락된 CA 인증서를 그에 따라 변경해야 합니다. 이렇게 하려면 Microsoft Entra 관리 센터를 사용하여 인증 기관을 구성합니다.
SKI 및 AKI 값을 얻으려면 인증서의 세부 정보와 업로드된 발급 CA 인증서를 확인합니다.
인증서 형식 특성 루트 CA 인증서 자체 스키가 있습니다. 해당하는 경우 중간 인증서를 발급할 수 있습니다. AKI 필드가 없습니다. 발급 또는 중간 CA 인증서(해당하는 경우) AKI는 루트 CA 인증서의 SKI를 가리킵니다. 사용자 인증서의 AKI와 일치하는 자체 SKI가 있습니다. 사용자 인증서를 발급하고 해당하는 경우 중간 인증서를 발급할 수 있습니다. 여러 중간 CA 인증서가 있을 수 있습니다. 최종 엔터티(사용자 또는 클라이언트) 인증서 자체 스키가 있습니다. AKI는 발급 CA 인증서의 SKI를 가리킵니다.
원인 2: 잘못된 인증서
인증서 체인의 인증서에 인증서 정책 확장과 같은 유효한 확장 식별자가 누락된 경우 AADSTS50017 오류가 발생할 수 있습니다.
이 오류를 해결하려면 사용자 인증서, 중간 CA 인증서 및 루트 CA 인증서를 포함하여 인증서 체인 내의 모든 인증서에 대한 인증서 정책 확장의 유효성을 검사합니다. 인증서 정책 확장과 OID(개체 식별자)가 전체 체인에서 일관되고 유효한지 확인합니다.
일관성 및 유효성에 대한 정책 OID를 확인하려면 체인에서 관련 인증서를 검색하고 다음과 같이 유효성을 검사합니다.
인증서에 인증서 정책 확장이 누락된 경우 적절한 인증서 정책 확장이 포함된 CA 인증서 또는 최종 사용자 인증서를 다시 실행합니다.
정책 확장 및 기타 지원되는 확장에 대한 자세한 내용은 지원되는 확장을 참조 하세요.
AADSTS 오류 코드 참조
인증 및 권한 부여 오류 코드의 전체 목록은 Microsoft Entra 인증 및 권한 부여 오류 코드를 참조 하세요. 개별 오류를 조사하려면 .를 검색합니다 https://login.microsoftonline.com/error.
도움을 요청하십시오.
질문이 있거나 도움이 필요한 경우 지원 요청을 생성하거나Azure 커뮤니티 지원에 문의하세요. Azure 피드백 커뮤니티에 제품 피드백을 제출할 수도 있습니다.