AD FS 문제 해결 - 인증서
AD FS(Active Directory Federation Services)가 제대로 작동하려면 특정 인증서가 필요합니다. 이러한 인증서가 제대로 설정되거나 구성되지 않은 경우 문제가 발생할 수 있습니다.
필수 인증서
필요한 각 AD FS 인증서에는 고유한 요구 사항이 있습니다.
- 페더레이션 트러스트: 페더레이션 트러스트에는 다음 중 하나가 필요합니다.
- 상호 신뢰할 수 있는 CA(인터넷 루트 인증 기관)에 연결된 인증서는 클레임 공급자(CP) 및 RP(신뢰 당사자) 페더레이션 서버의 신뢰할 수 있는 루트 저장소에 있습니다.
- 인증 간 디자인이 구현되었고 각 쪽이 루트 CA를 파트너와 교환했습니다.
- 해당하는 경우 각 쪽에서 자체 서명된 인증서를 가져왔습니다.
- 토큰 서명: 각 페더레이션 서비스 컴퓨터에는 토큰 서명 인증서가 필요합니다. CP 토큰 서명 인증서는 RP 페더레이션 서버에서 신뢰할 수 있어야 합니다. RP 토큰 서명 인증서는 RP 페더레이션 서버에서 토큰을 받는 모든 애플리케이션에서 신뢰할 수 있어야 합니다.
- SSL(Secure Sockets Layer) : 페더레이션 서비스에 대한 SSL 인증서는 페더레이션 서버 프록시 컴퓨터의 신뢰할 수 있는 저장소에 있어야 하며 신뢰할 수 있는 CA 저장소에 유효한 체인이 있어야 합니다.
- CRL(인증서 해지 목록) : CRL이 게시된 인증서의 경우 인증서에 액세스해야 하는 모든 클라이언트 및 서버에서 CRL에 액세스할 수 있어야 합니다.
이전 요구 사항 중 하나라도 올바르게 구성되지 않으면 AD FS가 작동하지 않습니다.
인증서를 사용하여 검사 일반적인 사항
다음 검사 목록은 인증서 문제를 해결하는 데 도움이 될 수 있습니다.
- 인증서를 신뢰할 수 있는지 확인합니다.
- 클라이언트에서 SSL 인증서를 신뢰할 수 있는지 확인합니다.
- 토큰 서명 인증서는 신뢰 당사자가 신뢰해야 합니다.
- 신뢰 체인을 확인합니다. 체인의 모든 인증서는 유효해야 합니다.
- 인증서의 만료 날짜를 확인합니다.
- CRL 접근성을 확인합니다.
- CRL 배포 지점(CDP)에 대한 필드가 채워져 있는지 확인합니다.
- 수동으로 CDP로 찾습니다.
- 인증서가 해지되지 않았는지 확인합니다.
일반적인 인증서 오류
다음 표에서는 일반적인 인증서 오류 및 가능한 원인을 나열합니다.
| 이벤트 | 원인 | 해결 방법 |
|---|---|---|
| 이벤트 249: 인증서 저장소에서 인증서를 찾을 수 없습니다. 인증서 롤오버 시나리오에서는 페더레이션 서비스가 이 인증서를 사용하여 서명하거나 암호를 해독할 때 오류가 발생할 수 있습니다. | 문제의 인증서가 로컬 인증서 저장소에 없거나 서비스 계정에 인증서의 프라이빗 키에 대한 권한이 없습니다. | 인증서가 AD FS 서버의 LocalMachine\My 저장소 에 설치되어 있는지 확인합니다. AD FS 서비스 계정에 인증서의 프라이빗 키에 대한 읽기 권한이 있는지 확인합니다. |
| 이벤트 315: 클레임 공급자 트러스트 서명 인증서에 대한 인증서 체인을 빌드하는 동안 오류가 발생했습니다. | 인증서가 해지되었습니다. 인증서 체인을 확인할 수 없습니다. 인증서가 만료되었거나 아직 유효하지 않습니다. | 인증서가 유효하고 해지되지 않았는지 확인합니다. CRL에 액세스할 수 있는지 확인합니다. |
| 이벤트 316: 신뢰 당사자 트러스트 서명 인증서에 대한 인증서 체인을 빌드하는 동안 오류가 발생했습니다. | 인증서가 해지되었습니다. 인증서 체인을 확인할 수 없습니다. 인증서가 만료되었거나 아직 유효하지 않습니다. | 인증서가 유효하고 해지되지 않았는지 확인합니다. CRL에 액세스할 수 있는지 확인합니다. |
| 이벤트 317: 신뢰 당사자 트러스트 암호화 인증서에 대한 인증서 체인을 빌드하는 동안 오류가 발생했습니다. | 인증서가 해지되었습니다. 인증서 체인을 확인할 수 없습니다. 인증서가 만료되었거나 아직 유효하지 않습니다. | 인증서가 유효하고 해지되지 않았는지 확인합니다. CRL에 액세스할 수 있는지 확인합니다. |
| 이벤트 319: 클라이언트 인증서의 인증서 체인을 빌드하는 동안 오류가 발생했습니다. | 인증서가 해지되었습니다. 인증서 체인을 확인할 수 없습니다. 인증서가 만료되었거나 아직 유효하지 않습니다. | 인증서가 유효하고 해지되지 않았는지 확인합니다. CRL에 액세스할 수 있는지 확인합니다. |
| 이벤트 360: 인증서 전송 엔드포인트에 대한 요청이 있었지만 요청에 클라이언트 인증서가 포함되지 않았습니다. | 클라이언트 인증서를 발급한 루트 CA는 신뢰할 수 없습니다. 클라이언트 인증서가 만료되었습니다. 클라이언트 인증서는 자체 서명되었으며 신뢰할 수 없습니다. | 클라이언트 인증서를 발급한 루트 CA가 신뢰할 수 있는 루트 저장소에 있는지 확인합니다. 클라이언트 인증서가 만료되지 않았는지 확인합니다. 클라이언트 인증서가 자체 서명된 경우 신뢰할 수 있는 인증서 목록에 추가되었는지 확인하거나 자체 서명된 인증서를 신뢰할 수 있는 인증서로 바꿉니다. |
| 이벤트 374: 클레임 공급자 트러스트 암호화 인증서에 대한 인증서 체인을 빌드하는 동안 오류가 발생했습니다. | 인증서가 해지되었습니다. 인증서 체인을 확인할 수 없습니다. 인증서가 만료되었거나 아직 유효하지 않습니다. | 인증서가 유효하고 해지되지 않았는지 확인합니다. CRL에 액세스할 수 있는지 확인합니다. |
| 이벤트 381: 구성 인증서에 대한 인증서 체인을 빌드하는 동안 오류가 발생했습니다. | AD FS 서버에서 사용하도록 구성된 인증서 중 하나가 만료되었거나 해지되었습니다. | 구성된 모든 인증서가 해지되지 않았고 만료되지 않았는지 확인합니다. |
| 이벤트 385: AD FS 구성 데이터베이스에서 하나 이상의 인증서를 수동으로 업데이트해야 한다는 것을 AD FS에서 감지했습니다. | AD FS 서버에서 사용하도록 구성된 인증서 중 하나가 만료되었거나 만료 날짜가 가까워지고 있습니다. | 만료되었거나 곧 만료될 인증서를 대체 인증서로 업데이트합니다. (자체 서명된 인증서를 사용하고 자동 인증서 롤오버를 사용하는 경우 자체 해결되므로 이 오류를 무시할 수 있습니다.) |
| 이벤트 387: AD FS에서 페더레이션 서비스에 지정된 인증서 중 하나 이상이 AD FS Windows 서비스에서 사용하는 서비스 계정에 액세스할 수 없음을 감지했습니다. | AD FS 서비스 계정에는 하나 이상의 구성된 인증서의 프라이빗 키에 대한 읽기 권한이 없습니다. | AD FS 서비스 계정에 구성된 모든 인증서의 프라이빗 키에 대한 읽기 권한이 있는지 확인합니다. |
| 이벤트 389: AD FS는 하나 이상의 트러스트가 만료되었거나 곧 만료되기 때문에 인증서를 수동으로 업데이트해야 한다는 것을 감지했습니다. | 구성된 파트너의 인증서 중 하나가 만료되었거나 만료됩니다. 이 이벤트는 클레임 공급자 트러스트 또는 신뢰 당사자 트러스트에 적용할 수 있습니다. | 이 트러스트를 수동으로 만든 경우 인증서 구성을 수동으로 업데이트합니다. 페더레이션 메타데이터를 사용하여 트러스트를 만든 경우 파트너가 인증서를 업데이트하는 즉시 인증서가 자동으로 업데이트됩니다. |