AD FS-Problembehandlung: Zertifikate
Active Directory-Verbunddienste (AD FS) erfordern bestimmte Zertifikate, um ordnungsgemäß zu funktionieren. Probleme können auftreten, wenn eines dieser Zertifikate nicht ordnungsgemäß eingerichtet oder konfiguriert ist.
Erforderliche Zertifikate
Jedes der erforderlichen AD FS-Zertifikate hat seine eigenen Anforderungen:
- Verbundvertrauensstellung: Verbundvertrauensstellung erfordert eine der folgenden Komponenten:
- Ein Zertifikat, das mit einer gegenseitig vertrauenswürdigen Internetstammzertifizierungsstelle (CA) verkettet ist, befindet sich im vertrauenswürdigen Stammspeicher der Verbundserver des Anspruchsanbieters (CP) und der vertrauenden Seite (RP).
- Ein zertifizierungsübergreifendes Design wurde implementiert, und jede Seite tauschte ihre Stammzertifizierungsstelle mit ihrem Partner aus.
- Selbstsignierte Zertifikate wurden ggf. auf jeder Seite importiert.
- Tokensignierung: Jeder Verbunddienstcomputer erfordert ein Tokensignaturzertifikat. Das CP-Tokensignaturzertifikat muss vom RP-Verbundserver als vertrauenswürdig eingestuft werden. Das RP-Tokensignaturzertifikat muss für alle Anwendungen vertrauenswürdig sein, die Token vom RP-Verbundserver empfangen.
- Secure Sockets Layer (SSL): Das SSL-Zertifikat für den Verbunddienst muss in einem vertrauenswürdigen Speicher auf dem Verbundserverproxycomputer vorhanden sein und über eine gültige Kette zu einem vertrauenswürdigen Zertifizierungsstellenspeicher verfügen.
- Zertifikatsperrliste (Certificate Revocation List, CRL): Für alle Zertifikate, für die eine Zertifikatsperrliste veröffentlicht wurde, muss die Zertifikatsperrliste für alle Clients und Server zugänglich sein, die auf das Zertifikat zugreifen müssen.
Wenn eine der oben genannten Anforderungen nicht ordnungsgemäß konfiguriert ist, funktioniert AD FS nicht.
Allgemeine Dinge, die mit Zertifikaten überprüft werden sollten
Die folgende Prüfliste kann Ihnen helfen, ein Zertifikatproblem zu beheben:
- Stellen Sie sicher, dass das Zertifikat vertrauenswürdig ist.
- Stellen Sie sicher, dass SSL-Zertifikate von den Clients als vertrauenswürdig eingestuft werden.
- Tokensignaturzertifikate müssen von den vertrauenden Seiten als vertrauenswürdig eingestuft werden.
- Überprüfen Sie die Vertrauenskette. Jedes Zertifikat in der Kette muss gültig sein.
- Überprüfen Sie das Ablaufdatum des Zertifikats.
- Überprüfen Sie die CRL-Barrierefreiheit.
- Stellen Sie sicher, dass das Feld für CRL-Verteilungspunkt (CRL Distribution Point, CDP) aufgefüllt ist.
- Navigieren Sie manuell zum CDP.
- Stellen Sie sicher, dass das Zertifikat nicht widerrufen wurde.
Häufige Zertifikatsfehler
In der folgenden Tabelle sind häufige Zertifikatfehler und mögliche Ursachen aufgeführt.
| Ereignis | Ursache | Lösung |
|---|---|---|
| Ereignis 249: Im Zertifikatspeicher konnte kein Zertifikat gefunden werden. In Zertifikatrolloverszenarien kann dies möglicherweise zu einem Fehler führen, wenn der Verbunddienst mit diesem Zertifikat signiert oder entschlüsselt. | Das betreffende Zertifikat ist nicht im lokalen Zertifikatspeicher vorhanden, oder das Dienstkonto verfügt nicht über die Berechtigung für den privaten Schlüssel des Zertifikats. | Stellen Sie sicher, dass das Zertifikat in LocalMachine\My store auf dem AD FS-Server installiert ist. Stellen Sie sicher, dass das AD FS-Dienstkonto über Lesezugriff auf den privaten Schlüssel des Zertifikats verfügt. |
| Ereignis 315: Fehler beim Versuch, die Zertifikatkette für das Signaturzertifikat für die Vertrauensstellung des Anspruchsanbieters zu erstellen. | Das Zertifikat wurde widerrufen. Die Zertifikatkette kann nicht überprüft werden. Das Zertifikat ist abgelaufen oder noch nicht gültig. |
Stellen Sie sicher, dass das Zertifikat gültig ist und nicht widerrufen wurde. Stellen Sie sicher, dass auf die Zertifikatsperrliste zugegriffen werden kann. |
| Ereignis 316: Beim Versuch, die Zertifikatkette für das Signaturzertifikat der vertrauenden Seite zu erstellen, ist ein Fehler aufgetreten. | Das Zertifikat wurde widerrufen. Die Zertifikatkette kann nicht überprüft werden. Das Zertifikat ist abgelaufen oder noch nicht gültig. |
Stellen Sie sicher, dass das Zertifikat gültig ist und nicht widerrufen wurde. Stellen Sie sicher, dass auf die Zertifikatsperrliste zugegriffen werden kann. |
| Ereignis 317: Beim Versuch, die Zertifikatkette für das Verschlüsselungszertifikat der vertrauenden Seite zu erstellen, ist ein Fehler aufgetreten. | Das Zertifikat wurde widerrufen. Die Zertifikatkette kann nicht überprüft werden. Das Zertifikat ist abgelaufen oder noch nicht gültig. |
Stellen Sie sicher, dass das Zertifikat gültig ist und nicht widerrufen wurde. Stellen Sie sicher, dass auf die Zertifikatsperrliste zugegriffen werden kann. |
| Ereignis 319: Fehler beim Erstellen der Zertifikatkette für das Clientzertifikat. | Das Zertifikat wurde widerrufen. Die Zertifikatkette kann nicht überprüft werden. Das Zertifikat ist abgelaufen oder noch nicht gültig. |
Stellen Sie sicher, dass das Zertifikat gültig ist und nicht widerrufen wurde. Stellen Sie sicher, dass auf die Zertifikatsperrliste zugegriffen werden kann. |
| Ereignis 360: Eine Anforderung wurde an einen Zertifikattransportendpunkt gestellt, aber die Anforderung enthält kein Clientzertifikat. | Die Stammzertifizierungsstelle, die das Clientzertifikat ausgestellt hat, ist nicht vertrauenswürdig. Das Clientzertifikat ist abgelaufen. Das Clientzertifikat ist selbstsigniert und nicht vertrauenswürdig. |
Stellen Sie sicher, dass die Stammzertifizierungsstelle, die das Clientzertifikat ausgestellt hat, im vertrauenswürdigen Stammspeicher vorhanden ist. Stellen Sie sicher, dass das Clientzertifikat nicht abgelaufen ist. Wenn das Clientzertifikat selbstsigniert ist, stellen Sie sicher, dass es der Liste der vertrauenswürdigen Zertifikate hinzugefügt wurde, oder ersetzen Sie das selbstsignierte Zertifikat durch ein vertrauenswürdiges Zertifikat. |
| Ereignis 374: Beim Erstellen der Zertifikatkette für das Verschlüsselungszertifikat des Anspruchsanbieters ist ein Fehler aufgetreten. | Das Zertifikat wurde widerrufen. Die Zertifikatkette kann nicht überprüft werden. Das Zertifikat ist abgelaufen oder noch nicht gültig. |
Stellen Sie sicher, dass das Zertifikat gültig ist und nicht widerrufen wurde. Stellen Sie sicher, dass auf die Zertifikatsperrliste zugegriffen werden kann. |
| Ereignis 381: Beim Versuch, die Zertifikatkette für das Konfigurationszertifikat zu erstellen, ist ein Fehler aufgetreten. | Eines der Zertifikate, die für die Verwendung auf dem AD FS-Server konfiguriert sind, ist abgelaufen oder wurde widerrufen. | Stellen Sie sicher, dass alle konfigurierten Zertifikate nicht widerrufen wurden und nicht abgelaufen sind. |
| Ereignis 385: AD FS hat erkannt, dass mindestens ein Zertifikat in der AD FS-Konfigurationsdatenbank manuell aktualisiert werden muss. | Eines der Zertifikate, die für die Verwendung auf dem AD FS-Server konfiguriert sind, ist abgelaufen oder nähert sich seinem Ablaufdatum. | Aktualisieren Sie das abgelaufene oder bald ablaufende Zertifikat mit einem Ersatz. (Wenn Sie selbstsignierte Zertifikate verwenden und das automatische Zertifikatrollover aktiviert ist, können Sie diesen Fehler ignorieren, da er sich selbst behebt.) |
| Ereignis 387: AD FS hat erkannt, dass mindestens eines der im Verbunddienst angegebenen Zertifikate für das Dienstkonto, das vom AD FS-Windows-Dienst verwendet wird, nicht zugänglich war. | Das AD FS-Dienstkonto verfügt nicht über Leseberechtigungen für den privaten Schlüssel eines oder mehrerer konfigurierter Zertifikate. | Stellen Sie sicher, dass das AD FS-Dienstkonto über Leseberechtigungen für den privaten Schlüssel aller konfigurierten Zertifikate verfügt. |
| Ereignis 389: AD FS hat erkannt, dass für eine oder mehrere Ihrer Vertrauensstellungen die manuelle Aktualisierung der Zertifikate erforderlich ist, da sie abgelaufen sind oder bald ablaufen. | Eines der Zertifikate Ihres konfigurierten Partners ist abgelaufen oder läuft bald ab. Das Ereignis kann entweder für eine Anspruchsanbietervertrauensstellung oder eine Vertrauensstellung der vertrauenden Seite gelten. | Wenn Sie diese Vertrauensstellung manuell erstellt haben, aktualisieren Sie die Zertifikatkonfiguration manuell. Wenn Sie Verbundmetadaten zum Erstellen der Vertrauensstellung verwendet haben, wird das Zertifikat automatisch aktualisiert, sobald der Partner das Zertifikat aktualisiert. |