Ошибка сертификата ADFS 2.0: ошибка при попытке построения цепочки сертификатов

Эта статья поможет устранить ошибку сертификата ADFS 2.0 при попытке построения цепочки сертификатов.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 3044974

Аннотация

Большинство проблем active Directory Federated Services (AD FS) 2.0 относятся к одной из следующих основных категорий. В этой статье содержатся пошаговые инструкции по устранению неполадок с сертификатами.

Симптомы

Эта проблема начинается после изменения или замены сертификата AD FS.

Программа перестает принимать маркер, выданный AD FS.

AD FS возвращает одну из следующих ошибок при приеме подписанного запроса или ответа или при шифровании маркера, который должен быть выдан приложению-стороне:

• ИД события 316
  Ошибка произошла при попытке сборки цепочки сертификатов для сертификата подписи доверия с отношениями доверия с отношениями.
• ИД события 315
  Ошибка произошла при попытке создать цепочку сертификатов для сертификата подписи доверия поставщика утверждений.
• ИД события 317
  Ошибка произошла при попытке создать цепочку сертификатов для сертификата шифрования доверия с отношениями доверия с подстройки.

В журнал событий AD FS занося следующие связанные с сертификатом ИД событий:

• ИД события 133
  Описание: во время обработки конфигурации службы федерации элемент «serviceIdentityToken» обнаружил недопустимые данные. Не удалось получить доступ к закрытому ключу настроенного сертификата. Ниже даны значения сертификата:Element: serviceIdentityToken
• ИД события 385
  AD FS 2.0 обнаружила, что один или несколько сертификатов в базе данных конфигурации AD FS 2.0 необходимо обновить вручную.
• ИД события 381
  При попытке создать цепочку сертификатов для сертификата конфигурации произошла ошибка.
• ИД события 102
  Произошла ошибка при включии конечных точек службы федерации.
  Дополнительные данные
  Сведения об исключении:
  System.ArgumentNullException: значение не может быть null.
  Имя параметра: certificate
• ИД события: 387
  AD FS 2.0 обнаружила, что один или несколько сертификатов, указанных в службе федерации, недоступны учетной записи службы, используемой службой Windows AD FS 2.0.
  Действие пользователя: убедитесь, что учетная запись службы AD FS имеет разрешения на чтение закрытых ключей сертификата.
  Дополнительные сведения:
  Сертификат для подписи маркера с отпечатком «xxxxxx»

Решение

Чтобы устранить эту проблему, выполните указанные действия в данном порядке. Эти действия помогут вам определить причину проблемы. Убедитесь, что вы проверяете, устранена ли проблема после каждого шага.

Шаг 1. Проверка нажатия закрытых ключей

Проверьте, являются ли все сертификаты AD FS (связь служб, расшифровка маркеров и подписывания маркеров) действительными и имеют ли с ними закрытый ключ. Кроме того, убедитесь, что срок действия сертификата не задан.

Где найти сертификаты

Для сертификатов связи со службами:

На сервере AD FS нажмите кнопку «Начните», выберите «Выполнить», введите MMC.exe и нажмите ввод.

В диалоговом окне «Добавление и удаление оснастки» нажмите кнопку «ОК».

На экране оснастки «Сертификаты» щелкните хранилище сертификатов учетной записи компьютера.

Чтобы просмотреть свойства сертификата связи службы, разйдите «Сертификат (локальный компьютер)», «Личные» и щелкните «Сертификаты».

Для сертификатов подписи маркеров и расшифровки маркеров:

• Если сертификаты являются самозаверяющими сертификатами, которые по умолчанию добавляются сервером ADFS, во время интерактивного регистрации на сервере ADFS с помощью учетной записи службы ADFS проверьте хранилище сертификатов пользователя (certmgr.msc).
• Если сертификаты выданы из ЦС, настроенных администраторами ADFS после отключения autoCertificateRollover, вы сможете найти его в хранилище сертификатов сервера ADFS.

Шаг 2. Убедитесь, что сертификаты не используют закрытый ключ шифрования следующего поколения (CNG)

Сертификаты, которые используют закрытый ключ CNG, не поддерживаются для подписи маркеров и расшифровки маркеров. Если AD FS создали самозаверяемый сертификат, этот сертификат не использует CNG. Для сертификата, выданного ЦС, убедитесь, что он не основан на CNG. Для этого выполните следующие действия: если в шаблоне ЦС используется какой-либо из перечисленных поставщиков служб шифрования, сертификат, выданный этим ЦС, не поддерживается сервером AD FS.

Дополнительные сведения см. в сведениях о том, как определить, использует ли сертификат ключ CAPI1 или CNG.

Шаг 3. Проверьте, привязана ли привязка SSL сертификатов связи службы в IIS к порту 443

Проверка и исправление

Запустите диспетчер IIS. Для этого нажмите кнопку «Начните», выберите «Администрирование» и выберите «Диспетчер служб IIS».

Щелкните имя сервера и разйдите в папку «Сайты».

Найдите свой веб-сайт (обычно он называется «Веб-сайт по умолчанию»), а затем выберите его.

В меню «Действия» справа щелкните «Привязки». Убедитесь, что тип https biding привязан к порту 443. В противном случае нажмите кнопку «Изменить», чтобы изменить порт.

Шаг 4. Убедитесь, что сертификат связи с службой действителен, является доверенным и прошел проверку отзыва

Способ проверки

Откройте управление AD FS 2.0.

Развернуть службу, щелкните «Сертификат», щелкните правой кнопкой мыши сертификат связи службы и выберите «Просмотреть сертификат».

В области сведений щелкните «Копировать в файл» и сохраните файл как Filename.cer.

В командной подсказке запустите следующую команду, чтобы определить, является ли сертификат связи службы допустимым:

Откройте выходной файл, созданный над «cert_verification.txt».

Перейдите в конец файла и проверьте, содержит ли он следующие следующую информацию для успешного теста отзыва:

Проверка отзыва листового сертификата пройдена
CertUtil: -verify command completed successfully.

Если файл указывает, что проверка отзыва не удалась или сервер отзыва был отключен, проверьте журнал, чтобы определить, какой сертификат в цепочке сертификатов не удалось проверить.

Проверьте, не удалось ли сбой пути AIA или CDP. В сценарии, в котором несколько путей указаны в одном типе файла, оба пути должны быть помечены как проверенные.

Сбой «AIA» Time: 0
URL-адрес для искомой ошибки: не удалось разрешить имя или адрес сервера 0x80072ee7 (WIN32: 12007)
http://corppki/aia/mswww(6).crt

—————- CDP сертификата —————-
Проверено «Базовый CRL (5a)» Время: 0
[0.0] http://mscrl.contoso.com/pki/crl/mswww(6).crl

Проверено «Базовый CRL (5a)» Время: 0
[1.0] http://crl.contoso.com/pki/crl/mswww(6).crl

Сбой «CDP» Время: 0
URL-адрес для искомой ошибки: не удалось разрешить имя или адрес сервера 0x80072ee7 (WIN32: 12007)
http://corppki/crl/mswww(6).crl

Сбор сетевой трассировки может помочь, если какой-либо путь AIA, CDP или OCSP недоступен.

Если запись журнала указывает на то, что сертификат отозван, необходимо запросить другой действительный сертификат, который не отозван.

Шаг 5. Убедитесь, что у учетных записей служб ADFS есть разрешение на чтение закрытого ключа сертификатов ADFS

Проверка разрешения на чтение

На сервере AD FS нажмите кнопку «Начните», выберите «Выполнить», MMC.exe и нажмите кнопку ВВОД.

В диалоговом окне «Добавление и удаление оснастки» нажмите кнопку «ОК».

В корневом окне консоли щелкните «Сертификаты (локальный компьютер»), чтобы просмотреть хранилища сертификатов компьютера.

Щелкните правой кнопкой мыши службу AD FS, выберите пункт «Все задачи» и выберите пункт «Управление закрытыми ключами».

Проверьте, есть ли у учетной записи AD FS разрешение на чтение.

Шаг 6. Проверьте, включена ли функция автозавершение ADFS для подписи маркеров и расшифровки маркеров

Проверка функции автозавершение ADFS

• Если автозавершение autoCertificateRollover отключено, сертификаты для подписи маркеров и расшифровки маркеров не будут обновляться автоматически. Перед истечении срока действия этих сертификатов убедитесь, что в конфигурацию AD FS добавлен новый сертификат. В противном случае она не будет доверять маркеру, выданном сервером AD FS.
• Если включена autoCertificateRollover, новые сертификаты для подписи маркеров и расшифровки маркеров будут созданы за 20 дней до истечения срока действия старых сертификатов. Новые сертификаты получат основное состояние через пять дней после их сгенерирований. После того как будет создан новый набор сертификатов, убедитесь, что эти же сведения обновлены в отношения доверия с стороной и поставщиком утверждений.

Дополнительные сведения о функции autoCertificateRollover для AD FS см. в следующих темах TechNet:

Шаг 7. Добавление имени службы федерации в san сертификата

Если для сертификата включен атрибут SAN (subject Alternative Name), имя службы федерации также должно быть добавлено в san сертификата вместе с другими именами. Дополнительные сведения см. в сведениях о требованиях к сертификатам SSL.

Шаг 8. Проверка разрешений учетной записи службы для контейнера общего доступа к сертификатам (CN= ,CN=ADFS,CN=Microsoft,CN=Program Data,DC= ,DC= )

Проверка и исправление разрешения учетной записи службы

На контроллере домена (DC) откройте сайт Adsiedit.msc.

Подключите к контексту именования по умолчанию.

Найдите CN= ,CN=ADFS,CN=Microsoft,CN=Program Data,DC= ,DC= .

В этом имени контейнера параметры в квадратных скобках представляют фактические значения. Примером GUID является «62b8a5cb-5d16-4b13-b616-06caea706ada».

Щелкните GUID правой кнопкой мыши и выберите «Свойства». Если существует несколько GUID, выполните следующие действия.

Запустите Windows PowerShell на сервере, на который запущена служба AD FS.

Выполните следующую команду:

Найдите GUID запущенной службы AD FS в certificateShareingContainer.

Убедитесь, что учетная запись службы ADFS имеет разрешения «Чтение», «Запись» и «Создание всех объектов-потомков», предоставленные этому объекту и всем потомков.

Шаг 9. Проверка поставщиков утверждений и проверяющих сторон на обновление сертификатов

Если сертификаты для подписи маркеров и расшифровки маркеров изменились, убедитесь, что поставщики утверждений и снаднадзорные стороны обновлены для новых сертификатов. Если поставщики утверждений и поднадзорные стороны не обновлены, они не могут доверять службе AD FS.

• После внося изменения поделитесь Federationmetadata.xml с поставщиком утверждений и с помощью отношения с отношениями с ней.
• Поставщику утверждений и стороне-поставщику утверждений может потребоваться только обновление новых сертификатов подписи маркеров и расшифровки маркеров (без закрытого ключа) в доверии федерации на их конце.

Шаг 10. Проверка подписанного запроса и ответа от поставщика утверждений или проверяющих сторон

Подписанный запрос и ответ может быть получен сервером AD FS от поставщика утверждений или от стороне, подавящей стороне. В этом сценарии сервер AD FS может проверить действительность сертификата, используемого для подписывания и сбой. AD FS также проверяет действительность сертификата, связанного с проверяющий стороной, который используется для отправки зашифрованного маркера на сервер AD FS.

Сценарии

AD FS 2.0 получает подписанный запрос SAML-P, который отправляется поднадзорной стороной.

Требование подписи запросов на вход является настраиваемым вариантом. Чтобы установить это требование для отношения доверия с Set-ADFSRelyingPartyTrust, используйте параметр RequireSignedSamlRequests.

AD FS 2.0 получает подписанный запрос на выход SAML от стороны. В этом сценарии запрос на вход должен быть подписан.

AD FS 2.0 получает запрос на выход от поставщика утверждений и шифрует запрос на выход для этой стороны. В этом сценарии поставщик утверждений инициирует выход.

AD FS 2.0 выдает зашифрованный маркер для поднадзорной стороны.

AD FS 2.0 получает выданный маркер от поставщика утверждений.

AD FS 2.0 получает подписанный запрос на выход SAML от поставщика утверждений. В этом сценарии запрос на вход должен быть подписан.

Что нужно проверить, чтобы устранить проблему

Убедитесь, что сертификат подписи поставщика утверждений действителен и не был отозван.

Убедитесь, что AD FS 2.0 может получить доступ к списку отзыва сертификатов, если параметр отзыва не указывает «нет» или «только кэш».

С помощью Windows PowerShell AD FS 2.0 можно настроить следующие параметры отзыва:

• Параметр SigningCertificateRevocationCheck Set-ADFSClaimsProviderTrust или Set-ADFSRelyingPartyTrust
• Параметр EncryptionCertificateRevocationCheck Set-ADFSRelyingPartyTrust или Set-ADFSClaimsProviderTrust

Если сертификат имеет несколько доверенных путей сертификации в корневые ЦС, проверка сертификата не происходит

В этой статье представлены обходные пути для проблемы, из-за которой сертификат безопасности, представленный веб-сайтом, не выдан, если у него есть несколько доверенных путей сертификации корневых ЦС.

Исходная версия продукта: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2831004

Симптомы

Когда пользователь пытается получить доступ к защищенного веб-сайта, он получает следующее предупреждение в веб-браузере:

Возникла проблема с сертификатом безопасности этого веб-сайта.

Сертификат безопасности, представленный на этом веб-сайте, не был выдан доверенным органом сертификации.

После того как пользователь нажмет кнопку «Продолжить на этом веб-сайте» (не рекомендуется), он сможет получить доступ к защищенного веб-сайта.

Причина

Эта проблема возникает из-за того, что сертификат веб-сайта имеет несколько надежных путей сертификации на веб-сервере.

Например, предположим, что клиентский компьютер, который вы используете, доверяет сертификату корневого ЦС (2). Веб-сервер доверяет сертификату корневого ЦС (1) и сертификату корневого ЦС (2). Кроме того, сертификат имеет два следующих пути сертификации к доверенным корневым ЦС на веб-сервере:

1. Путь сертификации 1: сертификат веб-сайта — сертификат промежуточного ЦС — сертификат корневого ЦС (1)
2. Путь сертификации 2. Сертификат веб-сайта — сертификат промежуточного ЦС — сертификат корневого ЦС (2)

Когда компьютер находит несколько доверенных путей сертификации в процессе проверки сертификата, Microsoft CryptoAPI выбирает лучший путь сертификации, вычисляя оценку каждой цепочки. Оценка рассчитывается на основе качества и количества информации, которую может предоставить путь к сертификату. Если показатели для нескольких путей сертификации одинаковы, выбирается самая короткая цепочка.

Если путь сертификации 1 и путь сертификации 2 имеют одинаковый показатель качества, CryptoAPI выбирает более короткий путь (путь сертификации 1) и отправляет путь клиенту. Однако клиентский компьютер может проверить сертификат только с помощью более длительного пути сертификации, ссылаясь на сертификат корневого ЦС (2). Поэтому проверка сертификата не удась.

Обходной путь

Чтобы обойти эту проблему, удалите или отключите сертификат из пути сертификации, который вы не хотите использовать, вы можете сделать следующее:

Войдите на веб-сервер с учетной записью системного администратора.

Добавьте оснастку «Сертификат» в консоль управления Майкрософт, вы предприняв указанные ниже действия.

1. Нажмите >кнопку «Начните запуск»,введите mmc и нажмите ввод.
2. В меню «Файл» выберите пункт «Добавить или удалить оснастку».
3. Выберите «Сертификаты»,«Добавить»,«Учетная запись компьютера» и «Далее».
4. Выберите локальный компьютер (компьютер, на который запущена консоль) и нажмите кнопку «Готово».
5. Нажмите кнопку ОК.

Разойдите сертификаты (локальный компьютер) в консоли управления и найдите сертификат по пути сертификата, который не нужно использовать.

Если сертификат является корневым сертификатом ЦС, он содержится в доверенных корневых цс сертификации. Если сертификат является промежуточным сертификатом ЦС, он содержится в промежуточных сертификационных органах.

Удалите или отключите сертификат одним из следующих способов:

• Чтобы удалить сертификат, щелкните его правой кнопкой мыши и выберите «Удалить».
• Чтобы отключить сертификат, щелкните его правой кнопкой мыши, выберите «Свойства», выберите «Отключить все назначения для этого сертификата» и нажмите кнопку «ОК».

Перезапустите сервер, если проблема еще не возникла.

Кроме того, если параметр групповой политики «Отключить автоматическое обновление корневых сертификатов» отключен или не настроен на сервере, сертификат из пути сертификации, который вы не хотите использовать, может быть включен или установлен при построении следующей цепочки. Чтобы изменить параметр групповой политики, выполните следующие действия.

Нажмите > кнопку «Запустить», введите gpedit.msc и нажмите ввод.

Раз развернуть систему управления подключениями к Интернету для конфигурации компьютера и щелкнуть > > > «Параметры подключения к Интернету».

Дважды щелкните «Отключить автоматическое обновление корневых сертификатов», выберите «Включено» и нажмите кнопку «ОК».

Закроем редактор локальных групповых политик.

Статус

Такое поведение является особенностью данного продукта.