分享方式:


AD FS 疑難排解 - 憑證

Active Directory 同盟服務 (AD FS) 需要特定憑證才能正常運作。 如果未正確設定這些憑證,就可能發生問題。

必要的憑證

每個必要的 AD FS 憑證都有自己的需求:

  • 同盟信任:同盟信任需要下列其中一項:
    • 鏈結至相互信任網際網路根憑證授權單位 (CA) 的憑證存在於宣告提供者 (CP) 和信賴憑證者 (RP) 同盟伺服器的受信任根存放區中。
    • 已實作交互憑證設計,且雙方會與其合作夥伴交換其根 CA。
    • 在適當情況下,自我簽署憑證會在每一端匯入。
  • 權杖簽署:每個同盟服務電腦都需要權杖簽署憑證。 RP 同盟伺服器必須信任 CP 權杖簽署憑證。 從 RP 同盟伺服器接收權杖的所有應用程式都必須信任 RP 權杖簽署憑證。
  • 安全通訊端層 (SSL):同盟服務的 SSL 憑證必須存在於同盟伺服器 Proxy 電腦上的受信任存放區中,且具有受信任 CA 存放區的有效鏈結。
  • 憑證撤銷清單 (CRL):對於任何已發佈 CRL 的憑證,CRL 必須可供所有需要存取憑證的用戶端和伺服器存取。

如果未正確設定上述任何需求,AD FS 將無法運作。

檢查憑證的常見事項

下列檢查清單可協助您解決憑證問題:

  • 請確定憑證受到信任。
  • 請確定用戶端信任 SSL 憑證。
    • 信賴憑證者必須信任權杖簽署憑證。
  • 檢查信任鏈結。 鏈結中的每個憑證都必須有效。
  • 確認憑證的到期日期。
  • 檢查 CRL 協助工具。
    • 請確定已填入 CRL 發佈點 (CDP) 的欄位。
    • 手動瀏覽至 CDP。
  • 請確定未撤銷憑證。

常見憑證錯誤

下表列出常見的憑證錯誤和可能的原因。

Event 原因 解決方案
事件 249:憑證存放區中找不到憑證。 在憑證變換案例中,當同盟服務使用此憑證進行簽署或解密時,這可能會導致失敗。 有問題的憑證不存在於本機憑證存放區中,或服務帳戶沒有憑證私密金鑰的權限。 請確定已在 AD FS 伺服器上的 LocalMachine\My store 中安裝憑證。 請確定 AD FS 服務帳戶具有憑證私密金鑰的讀取權限。
事件 315:嘗試建置宣告提供者信任簽署憑證的憑證鏈結期間發生錯誤。 已撤銷伺服器憑證。

無法驗證憑證鏈結。

憑證已過期或尚未生效。
請確定憑證有效且未遭撤銷。

請確定可存取 CRL。
事件 316:嘗試建置信賴憑證者信任簽署憑證的憑證鏈結期間發生錯誤。 已撤銷伺服器憑證。

無法驗證憑證鏈結。

憑證已過期或尚未生效。
請確定憑證有效且未遭撤銷。

請確定可存取 CRL。
事件 317:嘗試建置信賴憑證者信任加密憑證的憑證鏈結期間發生錯誤。 已撤銷伺服器憑證。

無法驗證憑證鏈結。

憑證已過期或尚未生效。
請確定憑證有效且未遭撤銷。

請確定可存取 CRL。
事件 319:建置用戶端憑證的憑證鏈結時發生錯誤。 已撤銷伺服器憑證。

無法驗證憑證鏈結。

憑證已過期或尚未生效。
請確定憑證有效且未遭撤銷。

請確定可存取 CRL。
事件 360:已對憑證傳輸端點提出要求,但要求不包含用戶端憑證。 發行用戶端憑證的根 CA 不受信任。

用戶端憑證已過期。

用戶端憑證是自我簽署的憑證且不受信任。
請確定發行用戶端憑證的根 CA 存在於受信任的根存放區中。

請確定用戶端憑證未過期。

如果用戶端憑證是自我簽署的憑證,請確定其已新增至受信任的憑證清單,或將自我簽署的憑證取代為受信任的憑證。
事件 374:建置宣告提供者信任加密憑證的憑證鏈結期間發生錯誤。 已撤銷伺服器憑證。

無法驗證憑證鏈結。

憑證已過期或尚未生效。
請確定憑證有效且未遭撤銷。

請確定可存取 CRL。
事件 381:嘗試建置設定憑證的憑證鏈結期間發生錯誤。 設定要在 AD FS 伺服器上使用的其中一個憑證已過期或已遭撤銷。 請確定所有已設定的憑證都未遭撤銷且未過期。
事件 385:AD FS 偵測到必須手動更新 AD FS 設定資料庫中的一或多個憑證。 設定要在 AD FS 伺服器上使用的其中一個憑證已過期或接近其到期日。 使用替代項目來更新已過期或即將到期的憑證。 (如果您使用自我簽署的憑證並已啟用自動憑證變換,您可以忽略此錯誤,因為它會自行解決。)
事件 387:AD FS Windows 服務所使用的服務帳戶無法存取 AD FS 偵測到同盟服務中指定的一或多個憑證。 AD FS 服務帳戶沒有一或多個已設定憑證的私密金鑰讀取權限。 請確定 AD FS 服務帳戶具有所有已設定憑證的私密金鑰讀取權限。
事件 389:AD FS 偵測到您的一或多個信任要求手動更新其憑證,因為其憑證已過期或即將到期。 您設定的其中一個合作夥伴憑證已過期或即將到期。 此事件可套用至宣告提供者信任或信賴憑證者信任。 如果您手動建立此信任,請手動更新憑證設定。 如果您使用同盟中繼資料來建立信任,當合作夥伴更新憑證時,憑證就會自動更新。