Partilhar via

Como corrigir erro ACS50017

  • Artigo

Atualizado: 19 de junho de 2015

Aplica-se a: Azure

Este tópico fornece informações sobre possíveis causas e soluções para o erro ACS50017.

Causas prováveis de ACS50017

A ACS devolve ACS50017 quando não consegue construir uma cadeia de certificados para um certificado de assinatura de um fornecedor de identidade fidedigno, como um servidor ADFS de confiança. Este erro ocorre nas seguintes condições.

  1. A ACS não pode validar o certificado utilizado para gerar a assinatura digital de um símbolo do fornecedor de identidade.

  2. Um certificado comercial na cadeia de certificados não tem a extensão "Access Method=Certification Authority Emiter", que inclui uma ligação ao certificado-mãe imediato. Para obter mais informações sobre códigos de erro ACS, consulte códigos de erro ACS.

  3. A ACS não pode obter os certificados intermédios da autoridade de certificação raiz para verificar a cadeia de confiança.

O ACS50017 aparece tipicamente como parte de uma mensagem de erro abrangente que é suscetível de incluir a mensagem de erro ACS50008.

ACS20001: An error occurred while processing a WS-Federation sign-in 
Inner message: ACS50008 : SAML token is invalid
ACS50017: Certificate validation failed for certificate '<Certificate subject name>' issued by '<Certificate issuer name>'. StatusInformation: 'A certificate chain could not be built to a trusted root authority.&#xD;&#xA;'. X509ChainStatusFlags: 'PartialChain'

A ACS exige que os certificados comerciais adquiridos a uma autoridade de certificação fidedigna incluam uma extensão "Authority Info Access" com extensão "Access Method=Certification Authority Issuer". O valor de extensão deve incluir um URL que se ligue a uma cópia transferível publicamente disponível do seu certificado principal (.crt). Este requisito aplica-se a todos os certificados da cadeia de certificados, com exceção do certificado raiz e do certificado de criança imediato. A ACS devolve o erro ACS50017 se estas condições não forem satisfeitas.

Este código mostra o formato da extensão do Emitente da Autoridade de Certificação para um certificado fictício.

[1]Authority Info Access
     Access Method=Certification Authority Issuer (1.2.3.4.5.6.7.88.9)
     Alternative Name:
          URL=http://pki.fabrikam.org/Certificate/Fabrikam_RCA.crt

AcS descarrega e caches certificados em uma loja de certificados intermédios nas máquinas virtuais ACS (VM). O certificado intermédio permanece disponível no VM até que o VM seja reciclado. A cache melhora o desempenho e permite que a ACS aceda ao certificado intermédio mesmo quando problemas de rede o impedem de contactar a autoridade de certificação raiz.

A ACS devolve o erro ACS50017 quando uma entrada para o certificado não é encontrada na loja de certificados intermédios (cache) no VM e uma chamada de rede para a autoridade de certificação raiz falha. O erro ACS50017 pode ocorrer intermitentemente se o Windows equilibrador de carga Aure dirigir um cliente ACS a um ACS VM que ainda não tenha cached o certificado para o fornecedor de identidade.

Soluções potenciais para ACS50017

Utilize qualquer um dos seguintes métodos para resolver o problema e evitar uma reincidência do erro.

  • Se houver algum problema com um certificado comercial na cadeia de certificados, pode substituir um certificado auto-assinado para o certificado comercial. Para mais informações, consulte Certificados e Chaves.

  • Se um certificado na cadeia de certificados não incluir a extensão necessária "Access Method=Certification Authority Emiter", ou se a extensão não inclui um URL, ou se o URL não ligar a uma cópia publicamente disponível do certificado-mãe, tem de substituir o certificado.

  • Se o certificado tiver todos os elementos necessários, mas a ACS não puder adquiri-lo após três tentativas, a operação pode estar a cronometrar devido a condições temporárias de rede ou a um problema no servidor da autoridade de certificação. O fornecedor de certificados poderá melhorar o desempenho da aquisição de certificados.

  • Repita o pedido. Se o equilibrador de carga dirigir o pedido a um VM que tenha o certificado em cache ou um problema de conectividade que impedisse o acesso à autoridade de certificação, os pedidos que anteriormente falharam serão bem sucedidos.

Consulte também

Conceitos

Códigos de erro ACS
Diretrizes de Retíduo ACS
Certificados e Chaves
Resolução de problemas ACS
Como corrigir erro ACS50008

Outros Recursos

Motor de corrente de certificado (CCE)