Partager via


Correction de l'erreur ACS50017

Mise à jour : 19 juin 2015

S’applique à : Azure

Cette rubrique fournit des informations sur les causes et solutions possibles en rapport avec l'erreur ACS50017.

Causes probables de l'erreur ACS50017

ACS retourne ACS50017 lorsqu’il ne peut pas générer de chaîne de certificats pour un certificat de signature d’un fournisseur d’identité approuvé, tel qu’un serveur ADFS approuvé. Cette erreur se produit dans les conditions suivantes.

  1. ACS ne peut pas valider le certificat utilisé pour générer la signature numérique d’un jeton à partir du fournisseur d’identité.

  2. Un certificat commercial dans la chaîne de certificats n'a pas l'extension « Méthode d'accès=Autorité de certification émettrice », qui inclut un lien vers le certificat parent immédiat. Pour plus d’informations sur les codes d’erreur ACS, consultez Codes d’erreur ACS.

  3. ACS ne peut pas récupérer les certificats intermédiaires de l’autorité de certification racine pour vérifier la chaîne d’approbation.

L'erreur ACS50017 apparaît généralement dans un message d'erreur complet, susceptible d'inclure le message d'erreur ACS50008.

ACS20001: An error occurred while processing a WS-Federation sign-in 
Inner message: ACS50008 : SAML token is invalid
ACS50017: Certificate validation failed for certificate '<Certificate subject name>' issued by '<Certificate issuer name>'. StatusInformation: 'A certificate chain could not be built to a trusted root authority.&#xD;&#xA;'. X509ChainStatusFlags: 'PartialChain'

ACS exige que les certificats commerciaux acquis auprès d’une autorité de certification approuvée incluent un « Accès aux informations d’autorité » avec l’extension « Access Method=Certification Authority Issuer ». La valeur d'extension doit inclure une URL qui établit un lien vers une copie téléchargeable disponible publiquement de son certificat parent (.crt). Cette exigence s’applique à chaque certificat de la chaîne de certificats, à l’exception du certificat racine et de son certificat enfant immédiat. ACS retourne l’erreur ACS50017 si ces conditions ne sont pas remplies.

Ce code illustre le format de l'extension de l'autorité de certification émettrice pour un certificat fictif.

[1]Authority Info Access
     Access Method=Certification Authority Issuer (1.2.3.4.5.6.7.88.9)
     Alternative Name:
          URL=http://pki.fabrikam.org/Certificate/Fabrikam_RCA.crt

ACS télécharge et met en cache des certificats dans un magasin de certificats intermédiaire sur les machines virtuelles ACS. Le certificat intermédiaire reste disponible sur la machine virtuelle jusqu'à ce que celle-ci soit recyclée. Le cache améliore les performances et permet à ACS d’accéder au certificat intermédiaire même lorsque les problèmes réseau l’empêchent de contacter l’autorité de certification racine.

ACS retourne l’erreur ACS50017 lorsqu’une entrée pour le certificat est introuvable dans le magasin de certificats intermédiaire (cache) sur la machine virtuelle et qu’un appel réseau à l’autorité de certification racine échoue. L’erreur ACS50017 peut se produire par intermittence si l’Windows équilibreur de charge Aure dirige un client ACS vers une machine virtuelle ACS qui n’a pas encore mis en cache le certificat pour le fournisseur d’identité.

Solutions potentielles à l'erreur ACS50017

Utilisez une des méthodes suivantes pour résoudre le problème et éviter une répétition de l'erreur.

  • S'il existe un problème avec un certificat commercial dans la chaîne de certificats, vous pouvez remplacer le certificat commercial pas un certificat auto-signé. Pour plus d’informations, consultez Certificats et clés.

  • Si un certificat dans la chaîne de certificats n'inclut pas l'extension requise « Méthode d'accès=Autorité de certification émettrice », si l'extension n'inclut pas d'URL, ou si l'URL ne pointe pas vers une copie disponible publiquement du certificat parent, vous devez remplacer le certificat.

  • Si le certificat possède tous les éléments requis, mais que ACS ne peut pas l’acquérir après trois tentatives, l’opération peut être expirée en raison de conditions réseau temporaires ou d’un problème au niveau du serveur d’autorité de certification. Le fournisseur de certificats peut être en mesure d'améliorer les performances d'acquisition de certificat.

  • Relancez la requête. Si l'équilibrage de charge dirige la demande vers une machine virtuelle qui possède le certificat mis en cache, ou si un problème de connectivité qui a empêché l'accès à l'autorité de certification est résolu, les demandes ayant échoué précédemment aboutissent.

Voir aussi

Concepts

Codes d'erreur ACS
Instructions relatives aux nouvelles tentatives pour ACS
Certificats et clés
Résolution des problèmes liés à ACS
Correction de l'erreur ACS50008

Autres ressources

Moteur de chaînage des certificats (CCE)