Condividi tramite

Come correggere l'errore ACS50017

  • Articolo

Aggiornamento: 19 giugno 2015

Si applica a: Azure

Questo argomento fornisce informazioni sulle possibili cause e soluzioni per l'errore ACS50017.

Possibili cause dell'errore ACS50017

ACS restituisce ACS50017 quando non può compilare una catena di certificati per un certificato di firma di un provider di identità attendibile, ad esempio un server ADFS attendibile. Questo errore si verifica nelle condizioni seguenti.

  1. ACS non può convalidare il certificato usato per generare la firma digitale di un token dal provider di identità.

  2. Un certificato commerciale nella catena di certificati non ha l'estensione "Access Method=Certification Authority Issuer", che include un collegamento al certificato padre di primo livello. Per altre informazioni sui codici di errore ACS, vedere Codici di errore ACS.

  3. ACS non può recuperare i certificati intermedi dall'autorità di certificazione radice per verificare la catena di attendibilità.

L'errore ACS50017 viene in genere visualizzato come parte di un messaggio di errore completo che può includere il messaggio di errore ACS50008.

ACS20001: An error occurred while processing a WS-Federation sign-in 
Inner message: ACS50008 : SAML token is invalid
ACS50017: Certificate validation failed for certificate '<Certificate subject name>' issued by '<Certificate issuer name>'. StatusInformation: 'A certificate chain could not be built to a trusted root authority.&#xD;&#xA;'. X509ChainStatusFlags: 'PartialChain'

ACS richiede che i certificati commerciali acquisiti da un'autorità di certificazione attendibile includano un "Accesso alle informazioni sull'autorità" con estensione "Access Method=Certification Authority Issuer". Il valore dell'estensione deve includere un URL che punta a una copia scaricabile pubblicamente disponibile del certificato padre (.crt). Questo requisito si applica a ogni certificato nella catena di certificati, ad eccezione del certificato radice e del relativo certificato figlio immediato. ACS restituisce l'errore ACS50017 se queste condizioni non vengono soddisfatte.

Questo codice mostra il formato dell'estensione Certification Authority Issuer di un certificato fittizio.

[1]Authority Info Access
     Access Method=Certification Authority Issuer (1.2.3.4.5.6.7.88.9)
     Alternative Name:
          URL=http://pki.fabrikam.org/Certificate/Fabrikam_RCA.crt

ACS scarica e memorizza nella cache i certificati in un archivio certificati intermedio nelle macchine virtuali ACS. Il certificato intermedio rimane disponibile nella macchina virtuale finché questa non viene riciclata. La cache migliora le prestazioni e consente a ACS di accedere al certificato intermedio anche quando i problemi di rete impediscono di contattare l'autorità di certificazione radice.

ACS restituisce l'errore ACS50017 quando una voce per il certificato non viene trovata nell'archivio certificati intermedio (cache) nella macchina virtuale e una chiamata di rete all'autorità di certificazione radice ha esito negativo. L'errore ACS50017 può verificarsi in modo intermittente se il servizio di bilanciamento del carico Windows Aure indirizza un client ACS a una macchina virtuale ACS che non ha ancora memorizzato nella cache il certificato per il provider di identità.

Possibili soluzioni per l'errore ACS50017

Usare uno dei metodi seguenti per risolvere il problema ed evitare che l'errore si ripresenti.

  • In caso di problemi con un certificato commerciale nella catena di certificati, è possibile sostituire al certificato commerciale un certificato autofirmato. Per altre informazioni, vedere Certificati e chiavi.

  • Se un certificato nella catena di certificati non include la necessaria estensione "Access Method=Certification Authority Issuer", l'estensione non include un URL o l'URL non punta a una copia del certificato padre disponibile pubblicamente, è necessario sostituire il certificato.

  • Se il certificato ha tutti gli elementi necessari, ma ACS non può acquisirlo dopo tre tentativi, l'operazione potrebbe verificarsi il timeout a causa di condizioni di rete temporanee o di un problema nel server dell'autorità di certificazione. Il provider del certificato può essere in grado di migliorare le prestazioni di acquisizione dei certificati.

  • ripetere la richiesta. Se il servizio di bilanciamento del carico indirizza la richiesta a una VM che dispone del certificato memorizzato nella cache oppure un problema di connettività che ha impedito l'accesso all'autorità di certificazione viene risolto, le richieste precedentemente fallite avranno esito positivo.

Vedere anche

Concetti

Codici di errore di ACS
Linee guida sulla ripetizione dei tentativi per ACS
Certificati e chiavi
Risoluzione dei problemi relativi ad ACS
Come correggere l'errore ACS50008

Risorse aggiuntive

Motore di concatenamento dei certificati