Errore di certificato ADFS 2.0: si è verificato un errore durante il tentativo di creare la catena di certificati

Riepilogo

La maggior parte Active Directory Federated Services (ADFS) 2.0 problemi appartengono a una delle seguenti categorie principali. In questo articolo vengono fornite istruzioni dettagliate per la risoluzione dei problemi relativi al certificato.

  • Problemi relativi al certificato (KB 3044974)

Sintomi

  • Questo problema inizia dopo un certificato di ADFS viene modificato o sostituito.

  • Il programma non accetta il token emesso da ADFS.

  • Quando riceve una richiesta firmata o una risposta, o se tenta di crittografare un token che è rilasciato a un'applicazione di terze parti si basano, ADFS restituisce uno dei seguenti errori:

    • ID evento 316
      Si è verificato un errore durante il tentativo di creare la catena di certificati per il trust di terze parti relying certificato di firma.

    • ID evento 315
      Si è verificato un errore durante il tentativo di creare la catena di certificati per il trust di provider di attestazioni certificato di firma.

    • ID evento 317
      Si è verificato un errore durante il tentativo di creare la catena di certificati per il certificato di crittografia di trust parte relying party.

  • Seguenti relative ai certificati ID evento vengono registrati nel registro eventi di ADFS:

    • ID evento133
      Descrizione: Durante l'elaborazione della configurazione del servizio federativo, l'elemento 'serviceIdentityToken' trovato per dati non validi. La chiave privata del certificato che è stato configurato non è accessibile. Di seguito sono riportati i valori dell'elemento: certificato: serviceIdentityToken

    • ID evento 385
      AD FS 2.0 ha rilevato che è necessario aggiornare manualmente uno o più certificati nel database di configurazione 2.0 ADFS.

    • ID evento 381
      Si è verificato un errore durante il tentativo di creare la catena di certificati per il certificato di configurazione.

    • ID evento 102
      Errore durante l'attivazione degli endpoint del servizio federativo.
      Dati aggiuntivi
      Dettagli eccezione:
      System. ArgumentNullException: Valore non può essere null.
      Nome parametro: certificato

    • ID evento: 387
      AD FS 2.0 ha rilevato che uno o più certificati specificati nel servizio federativo non erano accessibili agli account di servizio utilizzato da Active Directory FS 2.0 Windows Service.
      Azione utente: Verificare che l'account del servizio ADFS dispone di autorizzazioni di lettura per il certificato di chiavi private.
      Dettagli aggiuntivi:
      La firma di token certificato con identificazione personale 'xxxxxxxx'

Risoluzione

Per risolvere questo problema, attenersi alla seguente procedura nell'ordine indicato. Questa procedura consente di determinare la causa del problema. Assicurarsi di verificare se il problema viene risolto dopo ogni passaggio.

Passaggio 1: verificare la presenza di chiavi private

Verificare che tutti i certificati di ADFS (communications Service, decrittografia di token e la firma di token) sono validi e avere una chiave privata associata. Inoltre, assicurarsi che il certificato sia all'interno del periodo di validità.



Dove trovare i certificati

  • Per i certificati di comunicazioni di servizio:

    1. Sul server ADFS, fare clic su Start, scegliere Esegui, digitare MMC.exee quindi premere INVIO.

    2. Nella finestra di dialogo Aggiungi/Rimuovi Snap-in , scegliere OK.

    3. Nella schermata di snap-in certificati , fare clic su archivio certificati di account Computer .

    4. Per visualizzare le proprietà del certificato Communications Service, espandere certificati (Computer locale), personalee quindi fare clic su certificati.

  • Per i certificati di firma di token e la decrittografia token:

    • Se i certificati sono autofirmati aggiunti dal server ADFS per impostazione predefinita, l'accesso interattivo ai server ADFS utilizzando l'account di servizio ADFS e controllare l'archivio certificati dell'utente (Certmgr. msc).

    • Se i diplomi da un'autorità di certificazione (CA), configurata per ADFS admins post disabilitare il AutoCertificateRollover, deve essere possibile trovarle in archivio certificati del server ADFS.

Passaggio 2: Assicurarsi che i certificati non si utilizza una chiave privata di crittografia Next Generation (CNG)

I certificati che utilizzano la chiave privata di CNG non sono supportati per la firma di Token e Token di decrittografia. Se ADFS generato il certificato autofirmato, tale certificato non utilizza CNG. Per un certificato emesso da un'autorità di certificazione, assicurarsi che il certificato non sia basata su CNG. A tale scopo, attenersi alla seguente procedura:
Se il modello di CA utilizza uno dei provider del servizio di crittografia elencati, il certificato rilasciato da questa autorità di certificazione non è supportato dal server ADFS.

Per ulteriori informazioni, vedere .

Passaggio 3: Verificare se il binding SSL dei certificati di comunicazione del servizio in IIS è associato alla porta 443

Come verificare e correggere


  1. Avviare Gestione IIS. A tale scopo, fare clic su Start, scegliere Strumenti di amministrazionee quindi fare clic su Gestione Internet Information Services (IIS).

  2. Fare clic sul nome del server e quindi espandere la cartella siti.

  3. Individuare il sito Web (in genere, questo processo è noto come "sito Web predefinito"), quindi selezionarlo.

  4. Dal menu Azioni sul lato destro, fare clic su associazioni. Assicurarsi che il protocollo https biding tipo viene associato alla porta 443. In caso contrario, fare clic su Modifica per modificare la porta.

Passaggio 4: Verificare che il certificato di comunicazioni di servizio valido, attendibile e passa un controllo di revoca

Come controllare

  1. Aprire AD FS 2.0 Management.

  2. Espandere servizi, fare clic su certificato, fare il certificato di comunicazioni di servizio e quindi fare clic su Visualizza certificato.

  3. Nel riquadro dei dettagli fare clic su Copia su filee salvare il file come Filename.cer.

  4. Al prompt dei comandi, eseguire il comando seguente per determinare se il certificato di comunicazione del servizio è valido:

    Run 'Certutil -verify -urlfetch certificate.CER > cert_cerification.txt'

  5. Aprire il file di output che viene creato in precedenza "cert_verification.txt".

  6. Passare alla fine del file e verificare che vengano forniti i seguenti utenti per un test di revoca ha esito positivo:

    Leaf certificate revocation check passed
            CertUtil: -verify command completed successfully.
  7. Se il file indica che il controllo della revoca non è riuscita o che il server di revoca era non in linea, consultare il registro per determinare quali certificati nella catena di certificati non verificabili.

    Verificare se eventuali percorsi AIA o CDP non è riuscita. In uno scenario in cui vengono specificati più percorsi in un tipo di file, entrambi i percorsi devono essere contrassegnati come verificate.

    ---Certificato---AIA
    Verificare il tempo di "Certificato (0)": 0
    CRT [0,0] http://www.contoso.com/pki/mswww (6)

    Esecuzione di "AIA" non è riuscita: 0
    Errore durante il recupero URL: il nome del server o l'indirizzo non può essere risolto 0x80072ee7 (WIN32: 12007)
    http://corppki/aia/mswww(6).crt

    ------CDP certificato
    Verifica ora "Base CRL (5a)": 0
    CRL [0,0] http://mscrl.contoso.com/pki/crl/mswww (6)

    Verifica ora "Base CRL (5a)": 0
    CRL (6) http://crl.contoso.com/pki/crl/mswww [1.0]

    Esecuzione di "CDP" non è riuscita: 0
    Errore durante il recupero URL: il nome del server o l'indirizzo non può essere risolto 0x80072ee7 (WIN32: 12007)
    http://corppki/crl/mswww(6).crl

    * * La raccolta di una traccia di rete potrebbe consentire eventuali dell'AIA o CDP o percorso OCSP non è disponibile.

  8. Se la voce del registro indica che il certificato è revocato, è necessario richiedere un altro certificato valido e non sia stato revocato.

Passaggio 5: Verificare che gli account del servizio ADFS disponga dell'autorizzazione di lettura per la chiave privata dei certificati ADFS

Come controllare


  1. Sul server ADFS, fare clic su Start, scegliere Esegui, immettere MMC.exee quindi premere INVIO.

  2. Nella finestra di dialogo Aggiungi/Rimuovi Snap-in , scegliere OK.

  3. Nella finestra principale di Console, fare clic su certificati (Computer locale) per visualizzare gli archivi certificati computer.

  4. Fare il servizio ADFS, scegliere Tutte le attivitàe quindi fare clic su Gestisci privata leys.

  5. Controllare se l'account di ADFS dispone dell'autorizzazione di lettura.

Passaggio 6: Verificare se AutoCertificateRollover di ADFS è attivata per i certificati di firma di token e la decrittografia token

Come controllare

  • Se AutoCertificateRollover è disabilitato, i certificati di firma di token e la decrittografia token non essere rinnovati automaticamente. Prima scadano dei certificati, verificare che un nuovo certificato viene aggiunto alla configurazione di ADFS. In caso contrario, la relying party non ritenere attendibile il token che vengono emessi dal server ADFS.

  • Se AutoCertificateRollover è attivato, i nuovi certificati di firma di token e la decrittografia token verranno generati 20 giorni prima della scadenza dei certificati precedenti. I nuovi certificati ottengono stato primario cinque giorni dopo la generazione. Una volta generato il nuovo insieme di certificati, che le stesse informazioni siano aggiornate sul componente e trust di provider di attestazioni.

Per ulteriori informazioni sulla funzionalità di AD FS AutoCertificateRollover, vedere i seguenti argomenti di TechNet:





Passaggio 7: Aggiungere il nome del servizio federativo nel certificato SAN



Il certificato ha l'attributo di SAN (nome alternativo soggetto) attivata, il nome del servizio federativo deve essere aggiunto anche nella SAN del certificato, con altri nomi. Per ulteriori informazioni, vedere .

Passaggio 8: Verificare le autorizzazioni di account di servizio per il (CN = < GUID >, CN ADFS, CN = = Microsoft, CN = dati programmi, DC = < dominio >, DC = < COM >) certificato contenitore condivisione

Come verificare e correggere


  1. In un controller di dominio (DC), aprire ADSIEdit. msc.

  2. Connettersi al contesto di denominazione predefinito.

  3. Individuare CN = < GUID >, CN = ADFS, CN = Microsoft, CN = dati programmi, DC = < dominio >, DC = < COM >.

    Nota: Nel nome di contenitore, i parametri tra parentesi quadre rappresentano i valori effettivi. Un esempio di un GUID è "62b8a5cb - 5D 16-4b13-b616-06caea706ada."

  4. Il GUID di mouse e quindi scegliere proprietà. Se è presente più di un GUID, procedere come segue:

    1. Avviare Windows PowerShell nel server che esegue il servizio ADFS.

    2. Eseguire il comando seguente:

      Add-PSSnapin microsoft.adfs.powershellGet-ADFSProperties

    3. Individuare il GUID del servizio ADFS in esecuzione in CertificateShareingContainer.

  5. Assicurarsi che l'account del servizio ADFS è di lettura, scrittura e "Crea tutti gli oggetti figlio" autorizzazioni consentite a questo oggetto e tutti i discendenti dell'oggetto.

Passaggio 9: Controllare i provider di attestazioni e le relying party per gli aggiornamenti di certificato

Se i certificati di firma di token e decrittografia di token è sono modificato, assicurarsi che il provider di attestazioni e le relying party vengono aggiornate per i nuovi certificati. Se il provider di attestazioni e le relying party non vengono aggiornate, essi non attendibile il servizio ADFS.

  • Dopo aver apportata la modifica, di accedere e condividere il FederationMetadata con il provider di attestazioni e la relying party.

  • Il provider di attestazioni e la relying party potrebbe richiedere solo che la nuova firma di token e la decrittografia token vengono aggiornati la relazione di trust federativa i loro certificati (senza una chiave privata).

Passaggio 10: Cercare un segno di richiesta dal provider di attestazioni o componente di applicazione

La richiesta firmata e la risposta potrebbe essere ricevuti dal server ADFS dal provider di attestazioni o la relying party. In questo scenario, il server ADFS può verificare la validità del certificato utilizzato per la firma e non riuscire. ADFS inoltre controlla la validità del certificato che corrisponde alla controparte che viene utilizzato per inviare un token crittografato al server ADFS.

Scenari

  • AD FS 2.0 riceve una richiesta di SAML-P con segno che viene inviata da una relying party.

    Nota: Richiedere la firma di richieste di accesso è configurabile. Per impostare questo requisito per un trust di terze parti di componente, utilizzare il parametro RequireSignedSamlRequests con il cmdlet Set-ADFSRelyingPartyTrust .

  • AD FS 2.0 riceve una richiesta di disconnessione SAML firmata dalla controparte. In questo scenario, la richiesta signout deve essere firmata.

  • AD FS 2.0 riceve una richiesta di disconnessione da un provider di attestazioni e crittografa una richiesta di disconnessione per la relying party. In questo scenario, il provider di attestazioni avvia la disconnessione.

  • AD FS 2.0 emette un token crittografato per relying party.

  • AD FS 2.0 riceve un token rilasciato da un provider di attestazioni.

  • AD FS 2.0 riceve una richiesta di disconnessione SAML firmata da un provider di attestazioni. In questo scenario, la richiesta signout deve essere firmata.

Gli elementi da controllare per risolvere il problema

  • Assicurarsi che i certificato di firma dell'attendibilità provider di attestazioni valido e non sia stato revocato.

  • Assicurarsi che ADFS 2.0 può accedere l'elenco di revoche di certificati se l'impostazione di revoca non è specificato "none" o un'impostazione di "solo cache".

    Nota: È possibile utilizzare i cmdlet di Windows PowerShell per AD FS 2.0 per configurare le seguenti impostazioni di revoca:

    • Parametro SigningCertificateRevocationCheck del cmdlet Set-ADFSClaimsProviderTrust o Set-ADFSRelyingPartyTrust

    • Parametro EncryptionCertificateRevocationCheck del cmdlet Set-ADFSRelyingPartyTrust o Set-ADFSClaimsProviderTrust

Per ulteriori informazioni, vedere

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×