ADFS 2.0 Zertifikatfehler: Fehler beim Versuch, die Zertifikatskette erstellen

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3044974
Zusammenfassung
Die meisten Active Directory-Verbunddiensten (AD FS) 2.0 Probleme gehören zu einer der folgenden Kategorien. Dieser Artikel enthält eine schrittweise Anleitung zur Problembehandlung Zertifikat.
Problembeschreibung
  • Dieses Problem wird gestartet, nachdem ein AD FS-Zertifikat geändert oder ersetzt wird.
  • Die Anwendung nimmt das Token, das von ADFS ausgegeben wird.
  • AD FS gibt eine der folgenden Fehlermeldungen, wenn eine signierte Anforderung oder Antwort empfängt oder wenn versucht wird, ein Token zu verschlüsseln, die an eine Anwendung verlassen Partei ausgestellt werden:
    • Ereignis-ID 316
      Fehler beim Versuch die Zertifikatkette für Signaturzertifikat relying Party Vertrauensstellung erstellen.
    • Ereignis-ID 315
      Fehler bei erstellen die Zertifikatkette für das Signaturzertifikat Ansprüche Anbieter vertrauen.
    • Ereignis-ID 317
      Fehler beim Versuch, die Zertifikatskette für das Verschlüsselungszertifikat der relying Party Vertrauensstellung erstellen.
  • Im AD FS werden die folgende zertifikatbasierte Ereignis-IDs protokolliert:
    • Ereignis-ID133
      Beschreibung: Bei der Verarbeitung der Verbunddienst Konfiguration das Element 'ServiceIdentityToken' gefunden ungültige Daten. Der private Schlüssel des Zertifikats konfiguriert war nicht möglich. Im folgenden sind die Werte des Zertifikats: Elements: ServiceIdentityToken
    • Ereignis-ID 385
      AD FS 2.0 erkannt, dass ein oder mehrere Zertifikate in der Datenbank AD FS 2.0-Konfiguration manuell aktualisiert werden müssen.
    • Ereignis-ID 381
      Fehler beim Versuch die Zertifikatkette für Konfiguration Zertifikat erstellen.
    • Ereignis-ID 102
      Aktivieren von Endpunkten für den Verbunddienst ein Fehler aufgetreten.
      Zusätzliche Daten
      Details der Ausnahme:
      System.ArgumentNullException: Der Wert darf nicht null sein.
      Parametername: Zertifikat
    • Ereignis-ID: 387
      AD FS 2.0 erkannt, dass eine oder mehrere Zeugnisse im Verbunddienst nicht für die Anzeige verwendete Dienstkonto FS 2.0 Windows-Dienst.
      Benutzeraktion: Sicherstellen Sie, dass das AD FS-Dienstkonto auf dem Zertifikat Privatschlüssel Leseberechtigung verfügt.
      Weitere Details:
      Tokensignaturzertifikat mit dem Fingerabdruck 'Xxxxxxxx'
Lösung
Zum Beheben dieses Problems folgendermaßen Sie in der angegebenen Reihenfolge. Diese Schritte helfen Ihnen die Ursache des Problems zu ermitteln. Stellen Sie sicher, dass Sie überprüfen, ob das Problem behoben, nach jedem Schritt wurde.

Schritt 1: prüfen, ob private Schlüssel

Überprüfen Sie, ob alle AD FS (Communications Service, Tokens entschlüsseln und Signieren von Token) gelten und einem privaten zugeordnet Schlüssel. Stellen Sie außerdem sicher, dass das Zertifikat nicht abgelaufen ist.

Screenshot zum Überprüfen des Zertifikats

Wo finden Sie die Zertifikate

  • Für Dienstzertifikate Kommunikation:
    1. Der AD FS-Server auf Start, klicken Sie auf Ausführen, Typ MMC.exe, und drücken Sie dann die EINGABETASTE.
    2. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.
    3. Klicken Sie im Fenster Zertifikat-Snap-in auf Computerkonto Zertifikatspeicher.

      Speicher öffnen
    4. Zum Anzeigen der eigenschaftendes des Zertifikats Communications Service erweitern Sie Zertifikate (lokaler Computer), erweitern Sie Persönlichund klicken Sie dann auf Zertifikate.
  • Tokensignaturzertifikat und Tokens entschlüsseln Zertifikate:
    • Wenn Zertifikate werden selbstsignierte Zertifikate, die vom ADFS-Server standardmäßig Anmeldung interaktiv auf mit ADFS-Dienstkonto ADFS-Server hinzugefügt werden und Speicher des Benutzers (certmgr.msc).
    • Sind die zertifizierte von einer Zertifizierungsstelle (CA) konfiguriert ADFS-Admins Post Deaktivieren der AutoCertificateRollover klicken sollten Sie unter Zertifikatspeicher des ADFS-Servers finden.

Schritt 2: sicherstellen, dass die Zertifikate keinen privaten Schlüssel kryptografischen Next Generation (CNG)

Zertifikate, die CNG privaten Schlüssel werden zum Token signieren und verschlüsseln Token nicht unterstützt. Wenn AD FS das selbstsignierte Zertifikat generiert, wird das Zertifikat nicht CNG verwendet. Ein Zertifikat von einer Zertifizierungsstelle ausgestellt, stellen Sie sicher, dass das Zertifikat nicht CNG-basierte. Gehen Sie hierzu folgendermaßen vor:
Wenn die CA-Vorlage eines aufgelisteten Kryptografiedienstanbieter verwendet, wird von dieser Zertifizierungsstelle ausgestellten Zertifikats vom ADFS-Server nicht unterstützt.

Weitere Informationen finden Sie unter Wie Sie ermitteln, ob ein Zertifikat einen CAPI1 oder CNG-Schlüssel verwenden.

Schritt 3: Überprüfen Sie, ob SSL-Bindung Dienst Kommunikation Zertifikate in IIS Port 443 gebunden ist

Überprüfen und korrigieren


  1. Starten Sie IIS-Manager. Dazu klicken Sie auf Start, klicken Sie auf Verwaltungund klicken Sie dann auf Internet Information Services (IIS) Manager.
  2. Klicken Sie auf den Namen des Servers und dann den Ordner Websites.
  3. Suchen Sie Ihre Website (normalerweise, dies wird als "Standardwebsite" bezeichnet), und wählen Sie sie.
  4. Klicken Sie im Menü Aktionen auf der rechten Seite auf Bindungen. Stellen Sie sicher, dass Typ wartete auf Https an Port 443 gebunden ist. Wenn dies nicht der Fall ist, klicken Sie auf Bearbeiten , um den Port zu ändern.

    Website-Bindung

Schritt 4: Stellen Sie sicher, Kommunikation Zertifikat ist vertrauenswürdig, und übergibt eine Überprüfung

Wie Sie

  1. Öffnen Sie AD FS 2.0 Verwaltung.
  2. Servicezu erweitern, klicken Sie auf Zertifikat, Maustaste das Dienstzertifikat Kommunikation und klicken Sie dann auf Zertifikat anzeigen.
  3. Klicken Sie im Detailbereich auf in Datei kopierenund speichern Sie als Filename.cer.
  4. Führen Sie den folgenden Befehl, ob das Kommunikation das Zertifikat gültig ist, in einer Befehlszeile:

    Run 'Certutil -verify -urlfetch certificate.CER > cert_cerification.txt'
  5. Öffnen Sie die Ausgabedatei, die über "cert_verification.txt" erstellt
  6. Zum Ende der Datei, und überprüfen Sie, ob Folgendes für eine erfolgreiche Sperrung Test enthält:
    Leaf certificate revocation check passed
            CertUtil: -verify command completed successfully.
  7. Wenn die Datei gibt an, dass die Überprüfung fehlgeschlagen ist oder der Sperrserver offline war, überprüfen Sie das Protokoll um festzustellen, welches Zertifikat in der Zertifikatskette nicht verifiziert werden konnte.

    Überprüfen Sie, ob alle AIA- und CDP-Pfad konnte nicht. In einem Szenario, in dem mehrere Pfade unter einem Dateityp angegeben sind, sollten beide Pfade als überprüft markiert.

    ---Zertifikat AIA---
    "Zertifikat (0)" Zeit überprüft: 0
    CRT [0,0] http://www.contoso.com/pki/mswww (6)

    Fehler "AIA" Zeit: 0
    Fehler beim Abrufen des URL: Servername oder Adresse konnte nicht aufgelöst 0x80072ee7 (WIN32: 12007)
    http://corppki/AIA/mswww (6) CRT

    ---Zertifikat abrufen---
    "Basis-Zertifikatsperrliste (5a)" Zeit überprüft: 0
    CRL [0,0] http://mscrl.contoso.com/pki/crl/mswww (6)

    "Basis-Zertifikatsperrliste (5a)" Zeit überprüft: 0
    CRL [1,0] http://crl.contoso.com/pki/crl/mswww (6)

    Fehler "Stadt" Zeit: 0
    Fehler beim Abrufen des URL: Servername oder Adresse konnte nicht aufgelöst 0x80072ee7 (WIN32: 12007)
    http://corppki/CRL/mswww (6) CRL

    ** Einen Netzwerk-Trace erfassen können, wenn AIA oder CDP oder OCSP-Pfad nicht verfügbar.
  8. Wenn der Protokolleintrag gibt an, dass das Zertifikat gesperrt wird, müssen Sie ein anderes Zertifikat anfordern, das gültig ist und nicht widerrufen.

Schritt 5: Überprüfen Sie die ADFS-Dienstkonten die Leseberechtigung für den privaten Schlüssel der ADFS-Zertifikate

Wie Sie


  1. Klicken Sie auf dem AD FS-Server auf Startund auf Ausführen, geben Sie MMC.exe, und drücken Sie dann die EINGABETASTE.
  2. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.
  3. Klicken Sie im Fenster Konsolenstamm auf Zertifikate (lokaler Computer) Zertifikatspeicher Computer anzeigen.
  4. Klicken Sie AD FS, zeigen Sie auf Alle Tasksund dann auf private Leys verwalten.
  5. Überprüfen Sie, ob AD FS-Konto die Berechtigung Lesen verfügt.

    Zertifikatsberechtigung überprüfen

Schritt 6: Überprüfen Sie, ob die ADFS-AutoCertificateRollover Tokensignaturzertifikat und Tokens entschlüsseln Zertifikate aktiviert ist

Wie Sie

  • Wenn AutoCertificateRollover deaktiviert ist, werden das Tokensignaturzertifikat und Tokens entschlüsseln Zertifikate nicht automatisch erneuert. Vor Ablauf dieser Zertifikate stellen Sie sicher, dass ein neues Zertifikat AD FS-Konfiguration hinzugefügt wird. Andernfalls vertrauen die relying Party nicht das Token, das vom ADFS-Server ausgestellt werden.
  • Wenn AutoCertificateRollover aktiviert, neue ist Zertifikate Tokensignaturzertifikat und Tokens entschlüsseln 20 Tage vor Ablauf der alten Zertifikate generiert. Die neuen Zertifikate erhalten primäre Status fünf Tage nach generiert werden. Nach dem Generieren des neuen Satz von Zertifikaten sicherstellen Sie, dass Informationen auf die relying Party aktualisiert und behaupten Sie Anbieter Vertrauensstellungen.
Weitere Informationen zu AD FS AutoCertificateRollover Funktion finden Sie die folgenden TechNet:

AD FS 2.0: AutoCertificateRollover Schwellenwert Eigenschaften

AD FS 2.0: Aktivieren und verwenden AutoCertificateRollover

AD FS 2.0: Wie SSL Communications Service Tokensignaturzertifikat und Tokens entschlüsseln Zertifikate

Schritt 7: Hinzufügen der Federation Service Name im Zertifikat SAN

Hat das Zertifikat Attributs SAN (Alternativer Antragstellername) aktiviert, sollten auch Federation Service Name im SAN des Zertifikats mit anderen Namen hinzugefügt werden. Weitere Informationen finden Sie unter SSL-Zertifikat-Anforderungen.

Schritt 8: Überprüfen Dienstkontoberechtigungen für die (CN =<GUID>, CN ADFS, CN = = Microsoft, CN = Program Data, DC =<Domain>, DC =<COM>) Zertifikat Freigabe Container</COM> </Domain> </GUID>

Überprüfen und korrigieren


  1. Öffnen Sie auf einem Domänencontroller (DC) Adsiedit.msc.
  2. Der Standardnamenskontext herstellen.
  3. Suchen Sie CN =<GUID>, CN ADFS, CN = = Microsoft, CN = Program Data, DC =<Domain>, DC =<COM></COM></Domain></GUID>.

    Hinweis In diesem Containernamen darstellen Parameter in Klammern der tatsächlichen Werte. Ein Beispiel für eine GUID ist "62b8a5cb - 5D 16-4b13-b616-06caea706ada."
  4. Maustaste auf die GUID, und klicken Sie auf Eigenschaften. Wenn mehr als eine GUID vorhanden ist, gehen Sie folgendermaßen vor:
    1. Starten Sie Windows PowerShell auf dem Server mit dem AD FS-Dienst.
    2. Führen Sie den folgenden Befehl ein:

      Add-PSSnapin microsoft.adfs.powershellGet-ADFSProperties
    3. Suchen Sie die GUID des ausgeführten AD FS-Dienst unter CertificateShareingContainer.
  5. Stellen sicher, dass das Dienstkonto ADFS lesen, schreiben und "Alle untergeordneten Objekte erstellen" Berechtigungen für dieses Objekt und alle untergeordneten Objekt.

Schritt 9: Überprüfen Sie Ansprüche Anbieter und Identitätsempfänger Zertifikat Updates

Veränderte Tokensignaturzertifikat und Tokens entschlüsseln Zertifikate stellen Sie sicher, dass Ansprüche Anbieter und Identitätsempfänger aktualisiert werden, damit die neuen Zertifikate. Wenn Ansprüche Anbieter und Identitätsempfänger nicht aktualisiert werden, können nicht sie ADFS-Dienst vertrauen.
  • Nach der Änderung zugreifen https://ADFSServiceName/FederationMetadata/2007-06/FederationMetadata.Xml und die Federationmetadata.xml mit der Anspruchsanbieter und die relying Party.
  • Der Anspruchsanbieter und die relying Party möglicherweise nur neue Tokensignaturzertifikat und Tokens entschlüsseln Zertifikate (ohne privaten Schlüssel) in der Föderation an ihrem Ende aktualisiert.

Schritt 10: Prüfen, ob eine signierte Anforderung und Antwort aus der Anspruchsanbieter oder vertrauende Seite

AD FS-Server aus der Anspruchsanbieter oder die relying Party können die signierte Anforderung und die Antwort empfangen werden. In diesem Szenario kann der AD FS-Server überprüft die Gültigkeit des Zertifikats, das für die Signierung verwendet und fehl. AD FS überprüft auch die Gültigkeit des Zertifikats, das an die relying Party zusammenhängt, mit dem das verschlüsseltes Token zum ADFS-Server senden.

Szenarien

  • AD FS 2.0 empfängt eine signierte SAML-P, die durch eine relying Party gesendet wird.

    Hinweis Ohne Anmeldung Anfragen Signaturen ist eine konfigurierbare Option. Legen Sie diese Anforderung eine relying Party Vertrauensstellung mit der RequireSignedSamlRequests Parameter mit Set-ADFSRelyingPartyTrust -Cmdlet.
  • AD FS 2.0 empfängt eine signierte SAML Abmeldung aus die relying Party. In diesem Szenario muss die Signout-Anforderung signiert werden.
  • AD FS 2.0 Ansprüche Anbieter Abmelde Anforderung empfängt und die relying Party Abmelde Anforderung verschlüsselt. In diesem Szenario startet der Anspruchsanbieter die Abmeldung.
  • AD FS 2.0 stellt ein verschlüsseltes Token für eine relying Party.
  • AD FS 2.0 empfängt ein Anspruchsanbieters ein ausgestelltes Token.
  • AD FS 2.0 empfängt eine signierte SAML Abmeldung von einem Anbieter Ansprüche. In diesem Szenario muss die Signout-Anforderung signiert werden.

Was Sie zur Behebung des Problems überprüfen

  • Stellen Sie sicher, dass Ansprüche Anbieter vertrauen Signaturzertifikat gültig ist und nicht widerrufen wurde.
  • Stellen Sie sicher, dass AD FS 2.0 die Zertifikatssperrliste zugreifen können, wenn die Sperrung Einstellung nicht "none" oder "Cache" Einstellung angeben.

    Hinweis Windows PowerShell-Cmdlets können für AD FS 2.0 Sie Sperrung Folgendes konfigurieren:
    • SigningCertificateRevocationCheck Parameter des Cmdlets Set ADFSClaimsProviderTrust bzw. Set-ADFSRelyingPartyTrust
    • EncryptionCertificateRevocationCheck Parameter des Cmdlets Set ADFSRelyingPartyTrust bzw. Set-ADFSClaimsProviderTrust
Weitere Informationen finden Sie unter Zertifikat Problembehandlung bei AD FS 2.0.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3044974 – Letzte Überarbeitung: 05/01/2016 21:39:00 – Revision: 4.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Foundation, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Foundation

  • kbsurveynew kbtshoot kbexpertiseinter kbgraphxlink kbmt KB3044974 KbMtde
Feedback