Поделиться через

Устранение неполадок AD FS — сертификаты

  • Статья

для правильной работы службы федерации Active Directory (AD FS) (AD FS) требуются определенные сертификаты. Проблемы могут возникнуть, если какие-либо из этих сертификатов не настроены или настроены должным образом.

Обязательные сертификаты

Каждый из необходимых сертификатов AD FS имеет собственные требования:

  • Доверие федерации: для доверия федерации требуется одно из следующих действий:
    • Сертификат, подключенный к доверенному корневому центру сертификации Интернета ( ЦС), присутствует в доверенном корневом хранилище поставщиков утверждений (CP) и серверов федерации проверяющей стороны (RP).
    • Была реализована кросс-сертификация, и каждая сторона обменялась корневым ЦС с партнером.
    • Самозаверяющий сертификат импортировался по каждой стороне.
  • Подписывание маркеров. Для каждого компьютера службы федерации требуется сертификат подписи маркеров. Сертификат подписывания маркеров ЦП должен быть доверенным сервером федерации RP. Сертификат подписи маркеров RP должен быть доверенным всеми приложениями, получающими маркеры от сервера федерации RP.
  • Secure Sockets Layer (SSL): SSL-сертификат для службы федерации должен присутствовать в доверенном хранилище на прокси-компьютере сервера федерации и иметь допустимую цепочку к доверенному хранилищу ЦС.
  • Список отзыва сертификатов (CRL) — для любого сертификата, опубликованного в CRL, список отзыва сертификатов должен быть доступен всем клиентам и серверам, которым требуется доступ к сертификату.

Если какие-либо из предыдущих требований не настроены правильно, AD FS не будет работать.

Общие сведения для проверка с сертификатами

Следующий список проверка поможет устранить проблему с сертификатом:

  • Убедитесь, что сертификат является доверенным.
  • Убедитесь, что SSL-сертификаты являются доверенными клиентами.
    • Сертификаты подписывания токенов должны быть доверенными проверяющими сторонами.
  • Проверьте цепочку доверия. Каждый сертификат в цепочке должен быть допустимым.
  • Проверьте дату окончания срока действия сертификата.
  • Проверьте специальные возможности CRL.
    • Убедитесь, что поле точки распространения CRL (CDP) заполнено.
    • Перейдите к CDP вручную.
  • Убедитесь, что сертификат не был отменен.

Распространенные ошибки сертификатов

В следующей таблице перечислены распространенные ошибки сертификата и возможные причины.

Событие Причина Решение
Событие 249. Не удалось найти сертификат в хранилище сертификатов. В сценариях отката сертификатов это может привести к сбою, если служба федерации подписывает или расшифровывает этот сертификат. Этот сертификат отсутствует в локальном хранилище сертификатов, или у учетной записи службы нет разрешения на закрытый ключ сертификата. Убедитесь, что сертификат установлен в LocalMachine\My store на сервере AD FS. Убедитесь, что у учетной записи службы AD FS есть доступ на чтение к закрытому ключу сертификата.
Событие 315. Во время попытки создать цепочку сертификатов для сертификата подписи доверия поставщика утверждений произошла ошибка. Сертификат был отменен.

Цепочка сертификатов не может быть проверена.

Срок действия сертификата истек или еще не действителен.		 Убедитесь, что сертификат действителен и не был отменен.

Убедитесь, что список отзыва сертификатов доступен.
Событие 316. Во время попытки создать цепочку сертификатов для сертификата подписи доверия проверяющей стороны произошла ошибка. Сертификат был отменен.

Цепочка сертификатов не может быть проверена.

Срок действия сертификата истек или еще не действителен.		 Убедитесь, что сертификат действителен и не был отменен.

Убедитесь, что список отзыва сертификатов доступен.
Событие 317. Во время попытки создать цепочку сертификатов для сертификата доверия проверяющей стороны произошла ошибка. Сертификат был отменен.

Цепочка сертификатов не может быть проверена.

Срок действия сертификата истек или еще не действителен.		 Убедитесь, что сертификат действителен и не был отменен.

Убедитесь, что список отзыва сертификатов доступен.
Событие 319: произошла ошибка во время создания цепочки сертификатов для сертификата клиента. Сертификат был отменен.

Цепочка сертификатов не может быть проверена.

Срок действия сертификата истек или еще не действителен.		 Убедитесь, что сертификат действителен и не был отменен.

Убедитесь, что список отзыва сертификатов доступен.
Событие 360: запрос был выполнен в конечную точку транспорта сертификата, но запрос не включал сертификат клиента. Корневой ЦС, выдаваемый сертификатом клиента, не является доверенным.

Срок действия сертификата клиента истек.

Сертификат клиента самозаверяется и не является доверенным.		 Убедитесь, что корневой ЦС, выданный сертификатом клиента, присутствует в доверенном корневом хранилище.

Убедитесь, что срок действия сертификата клиента не истек.

Если сертификат клиента самозаверяется, убедитесь, что он был добавлен в список доверенных сертификатов или замените самозаверяющий сертификат доверенным сертификатом.
Событие 374. При создании цепочки сертификатов для сертификата доверия поставщика утверждений произошла ошибка. Сертификат был отменен.

Цепочка сертификатов не может быть проверена.

Срок действия сертификата истек или еще не действителен.		 Убедитесь, что сертификат действителен и не был отменен.

Убедитесь, что список отзыва сертификатов доступен.
Событие 381. Во время попытки создать цепочку сертификатов для сертификата конфигурации произошла ошибка. Один из сертификатов, настроенных для использования на сервере AD FS, истек или был отменен. Убедитесь, что все настроенные сертификаты не были отменены и не истекли.
Событие 385. AD FS обнаружило, что необходимо вручную обновить один или несколько сертификатов в базе данных конфигурации AD FS. Один из сертификатов, настроенных для использования на сервере AD FS, истек или приближается к дате окончания срока действия. Обновите истекший или скоро истекший срок действия сертификата с заменой. (Если вы используете самозаверяющие сертификаты и включена автоматическая смена сертификатов, вы можете игнорировать эту ошибку, так как она будет самостоятельно разрешаться.)
Событие 387. AD FS обнаружило, что один или несколько сертификатов, указанных в службе федерации, недоступны для учетной записи службы, используемой службой AD FS Windows. У учетной записи службы AD FS нет разрешений на чтение закрытого ключа одного или нескольких настроенных сертификатов. Убедитесь, что учетная запись службы AD FS имеет разрешение на чтение закрытого ключа всех настроенных сертификатов.
Событие 389. AD FS обнаружило, что один или несколько доверенных сертификатов требуют обновления сертификатов вручную, так как срок действия истек или истекает в ближайшее время. Срок действия одного из настроенных сертификатов партнера истек или истекает. Это событие может применяться либо к доверию поставщика утверждений, либо к доверию проверяющей стороны. Если вы вручную создали это доверие, обновите конфигурацию сертификата вручную. Если вы использовали метаданные федерации для создания доверия, сертификат будет обновляться автоматически, как только партнер обновляет сертификат.