Delen via

Fout ACS50017 oplossen

  • Artikel

Bijgewerkt: 19 juni 2015

Van toepassing op: Azure

In dit onderwerp vindt u informatie over mogelijke oorzaken en oplossingen voor de ACS50017-fout.

Waarschijnlijke oorzaken van ACS50017

ACS retourneert ACS50017 wanneer er geen certificaatketen kan worden gebouwd voor een handtekeningcertificaat van een vertrouwde id-provider, zoals een vertrouwde ADFS-server. Deze fout treedt op onder de volgende voorwaarden.

  1. ACS kan het certificaat dat wordt gebruikt voor het genereren van de digitale handtekening van een token van de id-provider niet valideren.

  2. Een commercieel certificaat in de certificaatketen beschikt niet over de extensie Access Method=Certification Authority Issuer, die een koppeling naar het directe bovenliggende certificaat bevat. Zie ACS-foutcodes voor meer informatie over ACS-foutcodes.

  3. ACS kan de tussenliggende certificaten niet ophalen van de basiscertificeringsinstantie om de vertrouwensketen te verifiëren.

De ACS50017 wordt doorgaans weergegeven als onderdeel van een uitgebreid foutbericht dat waarschijnlijk het FOUTBERICHT ACS50008 bevat.

ACS20001: An error occurred while processing a WS-Federation sign-in 
Inner message: ACS50008 : SAML token is invalid
ACS50017: Certificate validation failed for certificate '<Certificate subject name>' issued by '<Certificate issuer name>'. StatusInformation: 'A certificate chain could not be built to a trusted root authority.&#xD;&#xA;'. X509ChainStatusFlags: 'PartialChain'

ACS vereist dat commerciële certificaten die zijn verkregen van een vertrouwde certificeringsinstantie een 'Authority Info Access' bevatten met de extensie 'Access Method=Certification Authority Issuer'. De extensiewaarde moet een URL bevatten die is gekoppeld aan een openbaar beschikbare downloadbare kopie van het bovenliggende certificaat (.crt). Deze vereiste is van toepassing op elk certificaat in de certificaatketen, met uitzondering van het basiscertificaat en het onmiddellijke onderliggende certificaat. ACS retourneert de ACS50017-fout als niet aan deze voorwaarden wordt voldaan.

Deze code toont de indeling van de verlener-extensie van de certificeringsinstantie voor een fictief certificaat.

[1]Authority Info Access
     Access Method=Certification Authority Issuer (1.2.3.4.5.6.7.88.9)
     Alternative Name:
          URL=http://pki.fabrikam.org/Certificate/Fabrikam_RCA.crt

ACS downloadt en slaat certificaten op in een tussenliggend certificaatarchief op de virtuele ACS-machines (VM). Het tussenliggende certificaat blijft beschikbaar op de VIRTUELE machine totdat de VM wordt gerecycled. De cache verbetert de prestaties en stelt ACS in staat om toegang te krijgen tot het tussenliggende certificaat, zelfs wanneer netwerkproblemen voorkomen dat er contact wordt opgenomen met de basiscertificeringsinstantie.

ACS retourneert de ACS50017-fout wanneer een vermelding voor het certificaat niet wordt gevonden in het tussenliggende certificaatarchief (cache) op de VIRTUELE machine en een netwerkaanroep naar de basiscertificeringsinstantie mislukt. De ACS50017-fout kan af en toe optreden als de Windows Aure load balancer een ACS-client naar een ACS-VM stuurt die het certificaat nog niet in de cache heeft opgeslagen voor de id-provider.

Mogelijke oplossingen voor ACS50017

Gebruik een van de volgende methoden om het probleem op te lossen en een terugkeerpatroon van de fout te voorkomen.

  • Als er een probleem is met een commercieel certificaat in de certificaatketen, kunt u een zelfondertekend certificaat voor het commerciële certificaat vervangen. Zie Certificaten en sleutels voor meer informatie.

  • Als een certificaat in de certificaatketen niet de vereiste extensie Access Method=Certification Authority Issuer bevat, of als de extensie geen URL bevat of de URL geen koppeling maakt naar een openbaar beschikbare kopie van het bovenliggende certificaat, moet u het certificaat vervangen.

  • Als het certificaat alle vereiste elementen heeft, maar ACS deze niet kan verkrijgen na drie pogingen, kan er een time-out zijn opgetreden vanwege tijdelijke netwerkvoorwaarden of een probleem op de server van de certificeringsinstantie. De certificaatprovider kan mogelijk de prestaties van het verkrijgen van certificaten verbeteren.

  • Probeer de aanvraag opnieuw. Als de load balancer de aanvraag omverwijst naar een VIRTUELE machine met het certificaat in de cache of een connectiviteitsprobleem dat de toegang tot de certificeringsinstantie heeft verhinderd, worden aanvragen die eerder zijn mislukt, voltooid.

Zie ook

Concepten

ACS-foutcodes
Richtlijnen voor opnieuw proberen van ACS
Certificaten en sleutels
Problemen met ACS oplossen
Fout ACS50008 oplossen

Meer informatie

Certificate Chaining Engine (CCE)