Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для правильной работы служб федерации Active Directory (AD FS) требуются определенные сертификаты. Проблемы могут возникнуть, если какие-либо из этих сертификатов не настроены или настроены должным образом.
Required certificates
Каждый из необходимых сертификатов AD FS имеет собственные требования:
-
Federation trust: Federation trust requires one of the following:
- Сертификат, связанный с доверенным корневым центром сертификации Интернета (ЦСК), присутствует в доверенном корневом хранилище сервера федерации как поставщика утверждений (CP), так и доверяющей стороны (RP).
- Был разработан дизайн кросс-сертификации, и каждая из сторон обменялась своими корневыми ЦС с партнером.
- Самозаверяющие сертификаты были импортированы на каждую сторону, где это необходимо.
- Token signing: Each federation service computer requires a token-signing certificate. Сертификат подписи токенов УЦ должен иметь доверие от сервера федерации RP. Сертификат подписи токенов RP должен быть признан доверенным всеми приложениями, которые получают токены с сервера федерации RP.
- Secure Sockets Layer (SSL): SSL-сертификат для службы федерации должен присутствовать в доверенном хранилище на прокси-сервере федерации и иметь допустимую цепочку к доверенному хранилищу центра сертификации.
- Список отзыва сертификатов (CRL) — для любого сертификата, опубликованного в CRL, список отзыва сертификатов должен быть доступен всем клиентам и серверам, которым требуется доступ к сертификату.
Если какие-либо из предыдущих требований не настроены правильно, AD FS не будет работать.
Общие сведения о проверке сертификатов
Следующий контрольный список поможет устранить проблему с сертификатом:
- Убедитесь, что сертификат является доверенным.
- Убедитесь, что клиенты доверяют SSL-сертификатам.
- Сертификаты подписывания токенов должны быть доверены доверяющими сторонами.
- Проверьте цепочку доверия. Каждый сертификат в цепочке должен быть допустимым.
- Проверьте дату окончания срока действия сертификата.
- Проверьте доступность CRL.
- Убедитесь, что поле точки распространения CRL (CDP) заполнено.
- Перейдите к CDP вручную.
- Убедитесь, что сертификат не был отменен.
Распространенные ошибки сертификатов
В следующей таблице перечислены распространенные ошибки сертификата и возможные причины.
| Event | Cause | Resolution |
|---|---|---|
| Событие 249. Не удалось найти сертификат в хранилище сертификатов. В сценариях смены сертификатов это может привести к сбою, если служба федерации использует этот сертификат для подписания или расшифровки. | Этот сертификат отсутствует в локальном хранилище сертификатов, или у учетной записи службы нет разрешения на закрытый ключ сертификата. | Ensure that the certificate is installed in LocalMachine\My store on the AD FS server. Убедитесь, что у учетной записи службы AD FS есть доступ на чтение к закрытому ключу сертификата. |
| Событие 315: Произошла ошибка во время попытки построить цепочку сертификатов для подписного сертификата доверия поставщика утверждений. | Сертификат был отменен.
Цепочка сертификатов не может быть проверена. Срок действия сертификата истек или еще не действителен. |
Убедитесь, что сертификат действителен и не был отменен.
Убедитесь в доступности списка отзыва сертификатов. |
| Событие 316. Во время попытки создать цепочку сертификатов для сертификата подписи доверия проверяющей стороны произошла ошибка. | Сертификат был отменен.
Цепочка сертификатов не может быть проверена. Срок действия сертификата истек или еще не действителен. |
Убедитесь, что сертификат действителен и не был отменен.
Убедитесь в доступности списка отзыва сертификатов. |
| Событие 317. Во время попытки создать цепочку сертификатов для сертификата доверия проверяющей стороны произошла ошибка. | Сертификат был отменен.
Цепочка сертификатов не может быть проверена. Срок действия сертификата истек или еще не действителен. |
Убедитесь, что сертификат действителен и не был отменен.
Убедитесь в доступности списка отзыва сертификатов. |
| Событие 319: произошла ошибка во время создания цепочки сертификатов для сертификата клиента. | Сертификат был отменен.
Цепочка сертификатов не может быть проверена. Срок действия сертификата истек или еще не действителен. |
Убедитесь, что сертификат действителен и не был отменен.
Убедитесь в доступности списка отзыва сертификатов. |
| Событие 360: был выполнен запрос к конечной точке транспорта сертификатов, но запрос не содержал клиентского сертификата. | Клиентский сертификат, выданный корневым ЦС, не является доверенным.
Срок действия сертификата клиента истек. Сертификат клиента самозаверяется и не является доверенным. |
Убедитесь, что корневой ЦС, выдавший сертификат клиента, присутствует в доверенном корневом хранилище.
Убедитесь, что срок действия сертификата клиента не истек. Если сертификат клиента самозаверяется, убедитесь, что он был добавлен в список доверенных сертификатов или замените самозаверяющий сертификат доверенным сертификатом. |
| Событие 374: Во время построения цепочки сертификатов для шифровального сертификата доверия поставщика утверждений произошла ошибка. | Сертификат был отменен.
Цепочка сертификатов не может быть проверена. Срок действия сертификата истек или еще не действителен. |
Убедитесь, что сертификат действителен и не был отменен.
Убедитесь в доступности списка отзыва сертификатов. |
| Событие 381. Во время попытки создать цепочку сертификатов для сертификата конфигурации произошла ошибка. | Один из сертификатов, настроенных для использования на сервере AD FS, истек или был отменен. | Убедитесь, что все настроенные сертификаты не были отменены и не истекли. |
| Событие 385. AD FS обнаружило, что необходимо вручную обновить один или несколько сертификатов в базе данных конфигурации AD FS. | Один из сертификатов, настроенных для использования на сервере AD FS, истек или приближается к дате окончания срока действия. | Обновите истекший или скоро истекающий сертификат на новый. (Если вы используете самозаверяющие сертификаты и включена автоматическая смена сертификатов, вы можете игнорировать эту ошибку, так как она будет самостоятельно разрешаться.) |
| Событие 387. AD FS обнаружило, что один или несколько сертификатов, указанных в службе федерации, недоступны для учетной записи службы, используемой службой AD FS Windows. | У учетной записи службы AD FS нет разрешений на чтение закрытого ключа одного или нескольких настроенных сертификатов. | Убедитесь, что учетная запись службы AD FS имеет разрешение на чтение закрытого ключа всех настроенных сертификатов. |
| Событие 389. AD FS обнаружило, что один или несколько доверенных сертификатов требуют обновления сертификатов вручную, так как срок действия истек или истекает в ближайшее время. | Срок действия одного из настроенных сертификатов партнера истек или истекает. Это событие может применяться либо к доверию поставщика утверждений, либо к доверию проверяющей стороны. | Если вы вручную создали это доверие, обновите конфигурацию сертификата вручную. Если вы использовали метаданные федерации для создания доверия, сертификат будет обновляться автоматически, как только партнер обновляет сертификат. |