Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os Serviços de Federação do Active Directory (AD FS) exigem certificados específicos para funcionar corretamente. Problemas poderão ocorrer se qualquer um desses certificados não estiver configurado ou configurado corretamente.
Certificados necessários
Cada um dos certificados AD FS necessários tem seus próprios requisitos:
- Confiança de federação: a confiança da federação requer um dos seguintes:
- Um certificado encadeado a uma AC (autoridade de certificação) raiz da Internet mutuamente confiável está presente no repositório raiz confiável dos servidores de federação do CP (provedor de declarações) e da RP (terceira parte confiável).
- Um design de certificação cruzada foi implementado e cada lado trocou sua AC raiz com seu parceiro.
- Os certificados autoassinados foram importados em cada lado, quando apropriado.
- Assinatura de token: cada computador de serviço de federação requer um certificado de assinatura de token. O certificado de assinatura de token de CP deve ser confiável pelo servidor de federação de RP. O certificado de assinatura de token RP deve ser confiável para todos os aplicativos que recebem tokens do servidor de federação rp.
- SSL (Secure Sockets Layer): o certificado SSL para o serviço de federação deve estar presente em um repositório confiável no computador proxy do servidor de federação e ter uma cadeia válida para um repositório de CA confiável.
- CRL (lista de certificados revogados): para qualquer certificado que tenha uma CRL publicada, a CRL deve estar acessível a todos os clientes e servidores que precisam acessar o certificado.
Se qualquer um dos requisitos anteriores não estiver configurado corretamente, o AD FS não funcionará.
Aspectos comuns para verificar em certificados
A lista de verificação a seguir pode ajudá-lo a resolver um problema de certificado:
- Verifique se o certificado é confiável.
- Verifique se os certificados SSL são confiáveis pelos clientes.
- Os certificados de autenticação de tokens precisam ser confiáveis para as terceiras partes confiáveis.
- Verifique a cadeia de confiança. Cada certificado na cadeia precisa ser válido.
- Verifique a data de validade do certificado.
- Verifique a acessibilidade da CRL.
- Verifique se o campo do CDP (ponto de distribuição de CRL) está preenchido.
- Navegue manualmente até o CDP.
- Verifique se o certificado não foi revogado.
Erros comuns de certificado
A tabela a seguir lista erros de certificado comuns e possíveis causas.
| Acontecimento | Motivo | Resolução |
|---|---|---|
| Evento 249: Não foi possível encontrar um certificado no repositório de certificados. Em cenários de substituição de certificado, isso pode causar uma falha quando o Serviço de Federação estiver assinando ou descriptografando usando esse certificado. | O certificado em questão não está presente no repositório de certificados local ou a conta de serviço não tem permissão para a chave privada do certificado. | Verifique se o certificado está instalado em LocalMachine\My store no servidor do AD FS. Verifique se a conta de serviço do AD FS tem acesso de leitura à chave privada do certificado. |
| Evento 315: ocorreu um erro durante uma tentativa de criar a cadeia de certificados para o certificado de autenticação de confiança do provedor de declarações. | O certificado foi revogado. A cadeia de certificados não pode ser verificada. O certificado expirou ou ainda não é válido. |
Verifique se o certificado é válido e não foi revogado. Verifique se a CRL está acessível. |
| Evento 316: correu um erro durante uma tentativa de compilar a cadeia de certificados para o certificado de autenticação do objeto de confiança de terceira parte confiável. | O certificado foi revogado. A cadeia de certificados não pode ser verificada. O certificado expirou ou ainda não é válido. |
Verifique se o certificado é válido e não foi revogado. Verifique se a CRL está acessível. |
| Evento 317: ocorreu um erro durante uma tentativa de criar a cadeia de certificação do certificado de criptografia de parte confiável. | O certificado foi revogado. A cadeia de certificados não pode ser verificada. O certificado expirou ou ainda não é válido. |
Verifique se o certificado é válido e não foi revogado. Verifique se a CRL está acessível. |
| Evento 319: ocorreu um erro enquanto a cadeia de certificados do certificado do cliente estava sendo criada. | O certificado foi revogado. A cadeia de certificados não pode ser verificada. O certificado expirou ou ainda não é válido. |
Verifique se o certificado é válido e não foi revogado. Verifique se a CRL está acessível. |
| Evento 360: Uma solicitação foi feita a um endpoint de transporte de certificado, mas a solicitação não incluiu um certificado de cliente. | A AC raiz que emitiu o certificado do cliente não é confiável. O certificado do cliente expirou. O certificado do cliente é autoassinado e não é confiável. |
Verifique se a AC raiz que emitiu o certificado do cliente está presente no repositório raiz confiável. Verifique se o certificado do cliente não expirou. Se o certificado do cliente for autoassinado, verifique se ele foi adicionado à lista de certificados confiáveis ou substitua o certificado autoassinado por um certificado confiável. |
| Evento 374: ocorreu um erro ao compilar a cadeia de certificados para o certificado de criptografia de confiança do provedor de declarações. | O certificado foi revogado. A cadeia de certificados não pode ser verificada. O certificado expirou ou ainda não é válido. |
Verifique se o certificado é válido e não foi revogado. Verifique se a CRL está acessível. |
| Evento 381: ocorreu um erro durante uma tentativa de criar a cadeia de certificados para o certificado de configuração. | Um dos certificados configurados para uso no servidor do AD FS expirou ou foi revogado. | Verifique se todos os certificados configurados não foram revogados e não expiraram. |
| Evento 385: O AD FS detectou que um ou mais certificados no banco de dados de configuração do AD FS precisam ser atualizados manualmente. | Um dos certificados configurados para uso no servidor do AD FS expirou ou está se aproximando da data de validade. | Atualize o certificado expirado ou prestes a expirar com uma substituição. (Se você estiver usando certificados autoassinados e a substituição automática de certificado estiver habilitada, você poderá ignorar esse erro porque ele será auto-resolvido.) |
| Evento 387: O AD FS detectou que um ou mais dos certificados especificados no Serviço de Federação não estavam acessíveis para a conta de serviço usada pelo Serviço Windows do AD FS. | A conta de serviço do AD FS não tem permissões de leitura para a chave privada de um ou mais certificados configurados. | Verifique se a conta de serviço do AD FS tem permissão de leitura para a chave privada de todos os certificados configurados. |
| Evento 389: O AD FS detectou que uma ou mais de suas relações de confiança exigem que seus certificados sejam atualizados manualmente porque expiraram ou expirarão em breve. | Um dos certificados do parceiro configurado expirou ou está prestes a expirar. O evento pode se aplicar a uma relação de confiança do provedor de declarações ou a um objeto de confiança de terceira parte confiável. | Se você criou manualmente essa confiança, atualize a configuração do certificado manualmente. Se você usou metadados de federação para criar a confiança, o certificado será atualizado automaticamente assim que o parceiro atualizar o certificado. |