Risoluzione dei problemi relativi ad AD FS - certificati
Active Directory Federation Services (ADFS) richiede certificati specifici per funzionare correttamente. Se uno di questi certificati non viene impostato o configurato correttamente, possono verificarsi dei problemi.
Certificati necessari
Ciascuno dei certificati AD FS richiesti ha i propri requisiti:
- Federation trust: Federation trust richiede uno dei seguenti requisiti:
- Un certificato collegato a un'autorità di certificazione radice (CA) reciprocamente attendibile è presente nell'archivio radice attendibile dei server federativi del provider di attestazioni (CP) e della relying party (RP).
- È stato implementato un progetto di certificazione incrociata e ogni parte ha scambiato la propria CA radice con il partner.
- Ove appropriato, sono stati importati certificati autofirmati da ciascuna parte.
- Firma di token: ciascun computer di servizio federativo richiede un certificato di firma di token. Il certificato per la firma di token del CP deve essere attendibile dal server federativo della RP. Il certificato per la firma di token della RP deve essere considerato attendibile da tutte le applicazioni che ricevono token dal server federativo della RP.
- Secure Sockets Layer (SSL): il certificato SSL per il servizio federativo deve essere presente in un archivio attendibile sul computer del proxy server federativo e deve avere una catena valida verso un archivio CA attendibile.
- Elenco di revoche di certificati (CRL): per qualsiasi certificato che abbia un CRL pubblicato, il CRL deve essere accessibile a tutti i client e i server che devono poter accedere al certificato.
Se uno dei requisiti precedenti non è configurato correttamente, AD FS non funzionerà.
Verifiche necessarie per i certificati
Il seguente elenco di controllo può aiutare a risolvere un problema relativi ai certificati:
- Assicurarsi che il certificato sia attendibile.
- Assicurarsi che i certificati SSL siano attendibili per i client.
- I certificati per la firma di token devono essere considerati attendibili dalle relying party.
- Verificare la catena di certificati. Ogni certificato nella catena deve essere valido.
- Verificare la data di scadenza del certificato.
- Verificare l'accessibilità del CRL.
- Assicurarsi che il campo per il punto di distribuzione CRL (CDP) sia popolato.
- Passare manualmente al CDP.
- Assicurarsi che il certificato non sia stato revocato.
Comuni errori relativi ai certificati
La tabella seguente elenca i più comuni errori relativi ai certificati e le possibili cause.
| Evento | Causa | Risoluzione |
|---|---|---|
| Evento 249: non è stato possibile trovare un certificato nell'archivio certificati. In scenari di rinnovo dei certificati, questo può potenzialmente causare un errore quando il Servizio federativo firma o decifra utilizzando il certificato. | Il certificato in questione non è presente nell'archivio dei certificati locale, oppure l'account del servizio non dispone dell'autorizzazione alla chiave privata del certificato. | Assicurarsi che il certificato sia installato nel serve AD FS LocalMachine\My store. Assicurarsi che l'account del servizio AD FS abbia accesso in lettura alla chiave privata del certificato. |
| Evento 315: si è verificato un errore durante il tentativo di creare la catena di certificati per il certificato di firma trust del provider di attestazioni. | Il certificato è stato revocato. La catena del certificato non può essere verificata. Il certificato è scaduto o non è più valido. |
Assicurarsi che il certificato sia valido e non sia stato revocato. Assicurarsi che il CRL sia accessibile. |
| Evento 316: si è verificato un errore durante il tentativo di creare la catena di certificati per il certificato di firma trust della relying party. | Il certificato è stato revocato. La catena del certificato non può essere verificata. Il certificato è scaduto o non è più valido. |
Assicurarsi che il certificato sia valido e non sia stato revocato. Assicurarsi che il CRL sia accessibile. |
| Evento 317: si è verificato un errore durante il tentativo di creare la catena di certificati per il certificato di crittografia trust della relying party. | Il certificato è stato revocato. La catena del certificato non può essere verificata. Il certificato è scaduto o non è più valido. |
Assicurarsi che il certificato sia valido e non sia stato revocato. Assicurarsi che il CRL sia accessibile. |
| Evento 319: si è verificato un errore durante la creazione della catena di certificati per il certificato client. | Il certificato è stato revocato. La catena del certificato non può essere verificata. Il certificato è scaduto o non è più valido. |
Assicurarsi che il certificato sia valido e non sia stato revocato. Assicurarsi che il CRL sia accessibile. |
| Evento 360: è stata effettuata una richiesta a un endpoint di trasporto dei certificati, ma la richiesta non includeva un certificato del client. | La CA radice che ha emesso il certificato client non è attendibile. Il certificato client è scaduto. Il certificato client è autofirmato e non è attendibile. |
Assicurarsi che la CA radice che ha emesso il certificato client sia presente nell’archivio radice attendibile. Assicurarsi che il certificato client non sia scaduto. Se il certificato client è autofirmato, assicurarsi che sia stato aggiunto all'elenco dei certificati attendibili, oppure sostituire il certificato autofirmato con un certificato attendibile. |
| Evento 374: si è verificato un errore nella creazione della catena di certificati per il certificato di crittografia trust del provider di attestazioni. | Il certificato è stato revocato. La catena del certificato non può essere verificata. Il certificato è scaduto o non è più valido. |
Assicurarsi che il certificato sia valido e non sia stato revocato. Assicurarsi che il CRL sia accessibile. |
| Evento 381: si è verificato un errore durante il tentativo di creare la catena di certificati per il certificato di configurazione. | Uno dei certificati configurati per l'uso sul server AD FS è scaduto o è stato revocato. | Assicurarsi che tutti i certificati configurati non siano stati revocati e non siano scaduti. |
| Evento 385: AD FS ha rilevato che uno o più certificati nel database di configurazione di AD FS devono essere aggiornati manualmente. | Uno dei certificati configurati per l'uso sul server AD FS è scaduto o è prossimo alla scadenza. | Aggiornare il certificato scaduto o prossimo alla scadenza con un certificato sostitutivo. (Se si utilizzano certificati autofirmati e la sostituzione automatica dei certificati è abilitato, si può ignorare questo errore perché si risolverà da solo.) |
| Evento 387: AD FS ha rilevato che uno o più certificati specificati nel Servizio federativo non erano accessibili all'account di servizio utilizzato dal servizio Windows di AD FS. | L'account del servizio AD FS non dispone delle autorizzazioni di lettura della chiave privata di uno o più certificati configurati. | Assicurarsi che l'account del servizio AD FS disponga delle autorizzazioni di lettura della chiave privata di tutti i certificati configurati. |
| Evento 389: AD FS ha rilevato che uno o più trust richiedono l'aggiornamento manuale dei certificati perché sono scaduti o sono prossimi alla scadenza. | Uno dei certificati del partner configurato è scaduto o è prossimo alla scadenza. L'evento può riguardare sia il trust di un provider di attestazioni che quello di una relying party. | Se il trust è stato creato manualmente, aggiornare manualmente la configurazione del certificato. Se sono stati utilizzati metadati federazione per creare il trust, il certificato verrà aggiornato automaticamente non appena il partner aggiorna il certificato. |