如何修正 ACS50017 錯誤

更新日期：2015 年 6 月 19 日

適用對象：Azure

本主題提供 ACS50017 錯誤的可能原因和解決方案相關資訊。

ACS50017 的可能原因

ACS 在無法為受信任識別提供者的簽署憑證建置憑證鏈結時，ACS 會傳回 ACS50017，例如受信任的 ADFS 伺服器。 在下列狀況下便會發生此錯誤。

1. ACS 無法驗證用來從識別提供者產生權杖數位簽章的憑證。

2. 憑證鏈結中的商業憑證沒有「存取方法 = 憑證授權單位簽發者」擴充功能，此擴充功能包括直屬父憑證的連結。 如需 ACS 錯誤碼的詳細資訊，請參閱 ACS 錯誤碼。

3. ACS 無法從根憑證授權單位擷取中繼憑證，以驗證信任鏈結。

ACS50017 通常會出現在完整錯誤訊息中，完整錯誤訊息可能包括 ACS50008 錯誤訊息。

ACS20001: An error occurred while processing a WS-Federation sign-in 
Inner message: ACS50008 : SAML token is invalid
ACS50017: Certificate validation failed for certificate '<Certificate subject name>' issued by '<Certificate issuer name>'. StatusInformation: 'A certificate chain could not be built to a trusted root authority.&#xD;&#xA;'. X509ChainStatusFlags: 'PartialChain'

ACS 要求從受信任的憑證授權單位單位取得的商業憑證包含「授權單位資訊存取」，以及「存取方法=憑證授權單位單位簽發者」延伸模組。 擴充功能值必須包含可連結至其開放下載的父憑證 (.crt) 副本的 URL。 此需求適用于憑證鏈結中的每個憑證，但根憑證及其立即子憑證除外。 如果不符合這些條件，ACS 會傳回 ACS50017 錯誤。

此程式碼說明虛構憑證的憑證授權單位簽發者擴充功能格式。

[1]Authority Info Access
     Access Method=Certification Authority Issuer (1.2.3.4.5.6.7.88.9)
     Alternative Name:
          URL=http://pki.fabrikam.org/Certificate/Fabrikam_RCA.crt

ACS 會在 ACS 虛擬機器的中繼憑證存放區中下載和快取憑證， (VM) 。 中繼憑證會在 VM 上保持為可用狀態，直到回收 VM 為止。 快取可改善效能，並允許 ACS 存取中繼憑證，即使網路問題無法連絡根憑證授權單位也一定。

當中繼憑證存放區中找不到憑證的專案時，ACS 會傳回 ACS50017 錯誤， (VM 上的快取) ，且根憑證授權單位單位的網路呼叫失敗。 如果Windows Aure 負載平衡器將 ACS 用戶端導向尚未快取識別提供者憑證的 ACS VM，ACS50017 錯誤可能會間歇性發生。

ACS50017 的可能解決方案

您可以使用下列任何方法來解決此問題，並避免錯誤重覆發生。

• 如果憑證鏈結中的商業憑證有問題，您可以使用自我簽署的憑證來取代該商業憑證。 如需詳細資訊，請參閱 憑證和金鑰。

• 如果憑證鏈結中的憑證不包含必要的「存取方法 = 憑證授權單位簽發者」擴充功能，或擴充功能不包含 URL，或 URL 未連結至可公開使用的父憑證副本，則您必須取代憑證。

• 如果憑證具有所有必要的元素，但 ACS 無法在三次嘗試之後取得，作業可能會因為暫時網路狀況或憑證授權單位單位伺服器上的問題而逾時。 憑證提供者可能可以提高取得憑證的效能。

• 重試要求。 如果負載平衡器將要求導向已快取憑證的 VM，或已解決無法存取憑證授權單位的連線能力問題，則先前失敗的要求將會成功。

另請參閱

概念

ACS 錯誤碼
ACS 重試方針
憑證和金鑰
疑難排解 ACS
如何修正錯誤 ACS50008

其他資源

憑證鏈結引擎 (CCE)