Sdílet prostřednictvím

Oprava chyby ACS50017

  • Článek

Aktualizováno: 19. června 2015

Platí pro: Azure

Toto téma obsahuje informace o možných příčinách a řešeních chyby ACS50017.

Pravděpodobné příčiny ACS50017

Služba ACS vrátí ACS50017, když nemůže vytvořit řetěz certifikátů pro podpisový certifikát důvěryhodného zprostředkovatele identity, například důvěryhodný server ADFS. K této chybě dochází za následujících podmínek.

  1. Služba ACS nemůže ověřit certifikát použitý k vygenerování digitálního podpisu tokenu od zprostředkovatele identity.

  2. Komerční certifikát v řetězci certifikátů nemá rozšíření Access Method=Certificate Authority Issuer, které zahrnuje propojení s okamžitým nadřazeným certifikátem. Další informace o kódech chyb služby ACS najdete v tématu Kódy chyb služby ACS.

  3. Služba ACS nemůže načíst zprostředkující certifikáty z kořenové certifikační autority k ověření řetězu důvěryhodnosti.

ACS50017 se obvykle zobrazuje jako součást komplexní chybové zprávy, která pravděpodobně obsahuje chybovou zprávu ACS50008.

ACS20001: An error occurred while processing a WS-Federation sign-in 
Inner message: ACS50008 : SAML token is invalid
ACS50017: Certificate validation failed for certificate '<Certificate subject name>' issued by '<Certificate issuer name>'. StatusInformation: 'A certificate chain could not be built to a trusted root authority.&#xD;&#xA;'. X509ChainStatusFlags: 'PartialChain'

ACS vyžaduje, aby komerční certifikáty získané od důvěryhodné certifikační autority zahrnovaly "Přístup k informacím o autoritě" s rozšířením Access Method=Vystavitel certifikační autority. Hodnota rozšíření musí obsahovat adresu URL, která odkazuje na veřejně dostupnou kopii nadřazeného certifikátu (.crt). Tento požadavek se vztahuje na každý certifikát v řetězu certifikátů s výjimkou kořenového certifikátu a jeho okamžitého podřízeného certifikátu. Služba ACS vrátí chybu ACS50017, pokud tyto podmínky nejsou splněné.

Tento kód ukazuje formát rozšíření vystavitele certifikační autority pro fiktivní certifikát.

[1]Authority Info Access
     Access Method=Certification Authority Issuer (1.2.3.4.5.6.7.88.9)
     Alternative Name:
          URL=http://pki.fabrikam.org/Certificate/Fabrikam_RCA.crt

Služba ACS stáhne a ukládá certifikáty do mezipaměti v úložišti zprostředkujících certifikátů na virtuálních počítačích ACS. Zprostředkující certifikát zůstane na virtuálním počítači dostupný, dokud se virtuální počítač recykluje. Mezipaměť zlepšuje výkon a umožňuje službě ACS přístup k zprostředkujícímu certifikátu i v případě, že problémy se sítí brání v kontaktování kořenové certifikační autority.

Služba ACS vrátí chybu ACS50017, pokud položka certifikátu není nalezena v zprostředkujícím úložišti certifikátů (mezipaměť) na virtuálním počítači a síťové volání kořenové certifikační autority selže. K chybě ACS50017 může dojít přerušovaně, pokud Windows nástroj pro vyrovnávání zatížení Aure směruje klienta služby ACS na virtuální počítač ACS, který ještě certifikát pro zprostředkovatele identity neuložil do mezipaměti.

Potenciální řešení pro ACS50017

K vyřešení problému použijte některou z následujících metod a předejdete opakování chyby.

  • Pokud dojde k potížím s komerčním certifikátem v řetězu certifikátů, můžete certifikát podepsaný svým držitelem nahradit komerčním certifikátem. Další informace najdete v tématu Certifikáty a klíče.

  • Pokud certifikát v řetězu certifikátů neobsahuje požadované rozšíření Access Method=Vystavitel certifikační autority nebo toto rozšíření neobsahuje adresu URL nebo adresa URL není propojená s veřejně dostupnou kopií nadřazeného certifikátu, musíte certifikát nahradit.

  • Pokud má certifikát všechny požadované prvky, ale ACS ho nemůže získat po třech pokusech, může dojít k vypršení časového limitu operace kvůli dočasným síťovým podmínkám nebo problému na serveru certifikační autority. Poskytovatel certifikátů může být schopen zlepšit výkon získávání certifikátů.

  • Zkuste požadavek zopakovat. Pokud nástroj pro vyrovnávání zatížení přesměruje požadavek na virtuální počítač, který má certifikát uložený v mezipaměti nebo problém s připojením, který brání přístupu k certifikační autoritě, vyřeší se požadavky, které dříve selhaly.

Viz také

Koncepty

Kódy chyb ACS
Pokyny pro opakování služby ACS
Certifikáty a klíče
Řešení potíží se službou ACS
Oprava chyby ACS50008

Další prostředky

Modul řetězení certifikátů (CCE)