다음을 통해 공유

AD FS서 문제 해결 - 인증서

AD FS(Active Directory Federation Services)가 제대로 작동하려면 특정 인증서가 필요합니다. 이러한 인증서가 제대로 설정되거나 구성되지 않은 경우 문제가 발생할 수 있습니다.

필수 인증서

필요한 각 AD FS 인증서에는 고유한 요구 사항이 있습니다.

  • 페더레이션 트러스트: 페더레이션 트러스트에는 다음 중 하나가 필요합니다.
    • 상호 신뢰하는 인터넷 루트 CA(인증 기관)에 체인화된 인증서는 클레임 공급자(CP) 및 신뢰 당사자(RP) 페더레이션 서버의 신뢰할 수 있는 루트 저장소에 있습니다.
    • 교차 인증서 설계가 구현되었고 각측에서 루트 CA를 파트너와 교환했습니다.
    • 해당하는 경우 각측에서 자체 서명된 인증서를 가져왔습니다.
  • 토큰 서명: 각 페더레이션 서비스 컴퓨터에는 토큰 서명 인증서가 필요합니다. CP 토큰 서명 인증서는 RP 페더레이션 서버에서 신뢰할 수 있어야 합니다. RP 토큰 서명 인증서는 RP 페더레이션 서버에서 토큰을 받는 모든 애플리케이션에서 신뢰할 수 있어야 합니다.
  • SSL(Secure Sockets Layer): 페더레이션 서비스에 대한 SSL 인증서는 페더레이션 서버 프록시 컴퓨터의 신뢰할 수 있는 저장소에 있어야 하며 신뢰할 수 있는 CA 저장소에 유효한 체인이 있어야 합니다.
  • CRL(인증서 해지 목록): CRL이 게시된 인증서의 경우, 인증서에 액세스해야 하는 모든 클라이언트 및 서버에서 CRL에 액세스할 수 있어야 합니다.

이전 요구 사항 중 하나라도 올바르게 구성되지 않으면 AD FS가 작동하지 않습니다.

인증서를 사용하여 확인하는 일반적인 사항

다음 체크리스트는 인증서 문제를 해결하는 데 도움이 될 수 있습니다.

  • 인증서를 신뢰할 수 있는지 확인합니다.
  • 클라이언트에서 SSL 인증서를 신뢰할 수 있는지 확인합니다.
    • 토큰 서명 인증서는 신뢰 당사자가 신뢰해야 합니다.
  • 신뢰 체인을 확인합니다. 체인의 모든 인증서가 유효해야 합니다.
  • 인증서의 만료 날짜를 확인합니다.
  • CRL 접근성을 확인합니다.
    • CRL 배포 지점(CDP)에 대한 필드가 채워져 있는지 확인합니다.
    • CDP를 수동으로 찾습니다.
  • 인증서가 해지되지 않았는지 확인합니다.

일반적인 인증서 오류

다음 표에는 일반적인 인증서 오류와 가능한 원인이 나열되어 있습니다.

이벤트 원인 해결 방법
이벤트 249: 인증서 저장소에서 인증서를 찾을 수 없습니다. 인증서 롤오버 시나리오에서는 페더레이션 서비스가 이 인증서를 사용하여 서명하거나 암호를 해독할 때 잠재적으로 장애가 발생할 수 있습니다. 문제의 인증서가 로컬 인증서 저장소에 없거나 서비스 계정에 인증서의 프라이빗 키에 대한 권한이 없습니다. 인증서가 AD FS 서버의 LocalMachine\My 저장소에 설치되어 있는지 확인합니다. AD FS 서비스 계정에 인증서의 프라이빗 키에 대한 읽기 액세스 권한이 있는지 확인합니다.
이벤트 315: 클레임 공급자 트러스트 서명 인증서에 대한 인증서 체인을 빌드하는 동안 오류가 발생했습니다. 인증서가 취소되었습니다.

인증서 체인을 확인할 수 없습니다.

인증서가 만료되었거나 아직 유효하지 않습니다.		 인증서가 유효하며 취소되지 않았는지 확인합니다.

CRL에 액세스할 수 있는지 확인합니다.
이벤트 316: 신뢰 당사자 트러스트 서명 인증서에 대한 인증서 체인을 빌드하는 동안 오류가 발생했습니다. 인증서가 취소되었습니다.

인증서 체인을 확인할 수 없습니다.

인증서가 만료되었거나 아직 유효하지 않습니다.		 인증서가 유효하며 취소되지 않았는지 확인합니다.

CRL에 액세스할 수 있는지 확인합니다.
이벤트 317: 신뢰 당사자 트러스트 암호화 인증서에 대한 인증서 체인을 빌드하는 동안 오류가 발생했습니다. 인증서가 취소되었습니다.

인증서 체인을 확인할 수 없습니다.

인증서가 만료되었거나 아직 유효하지 않습니다.		 인증서가 유효하며 취소되지 않았는지 확인합니다.

CRL에 액세스할 수 있는지 확인합니다.
이벤트 319: 클라이언트 인증서의 인증서 체인을 빌드하는 동안 오류가 발생했습니다. 인증서가 취소되었습니다.

인증서 체인을 확인할 수 없습니다.

인증서가 만료되었거나 아직 유효하지 않습니다.		 인증서가 유효하며 취소되지 않았는지 확인합니다.

CRL에 액세스할 수 있는지 확인합니다.
이벤트 360: 인증서 전송 엔드포인트에 대한 요청이 있었지만 요청에 클라이언트 인증서가 포함되지 않았습니다. 클라이언트 인증서를 발급한 루트 CA는 신뢰할 수 없습니다.

클라이언트 인증서가 만료되었습니다.

클라이언트 인증서는 자체 서명되며 신뢰할 수 없습니다.		 클라이언트 인증서를 발급한 루트 CA가 신뢰할 수 있는 루트 저장소에 있는지 확인합니다.

클라이언트 인증서가 만료되지 않았는지 확인합니다.

클라이언트 인증서가 자체 서명된 경우 신뢰할 수 있는 인증서 목록에 추가되었는지 확인하거나 자체 서명된 인증서를 신뢰할 수 있는 인증서로 교체합니다.
이벤트 374: 클레임 공급자 트러스트 암호화 인증서에 대한 인증서 체인을 빌드하는 동안 오류가 발생했습니다. 인증서가 취소되었습니다.

인증서 체인을 확인할 수 없습니다.

인증서가 만료되었거나 아직 유효하지 않습니다.		 인증서가 유효하며 취소되지 않았는지 확인합니다.

CRL에 액세스할 수 있는지 확인합니다.
이벤트 381: 구성 인증서에 대한 인증서 체인을 빌드하는 동안 오류가 발생했습니다. AD FS 서버에서 사용하도록 구성된 인증서 중 하나가 만료 또는 취소되었습니다. 구성된 모든 인증서가 취소 또는 만료되지 않았는지 확인합니다.
이벤트 385: AD FS가 AD FS 구성 데이터베이스에서 수동 업데이트가 필요한 인증서를 하나 이상 감지했습니다. AD FS 서버에서 사용하도록 구성된 인증서 중 하나가 만료되었거나 만료 날짜가 가까워지고 있습니다. 만료되었거나 곧 만료될 인증서를 대체 인증서로 업데이트합니다. (자체 서명된 인증서를 사용하고 자동 인증서 롤오버를 사용하는 경우 자체 해결되므로 이 오류를 무시할 수 있습니다.)
이벤트 387: AD FS가 페더레이션 서비스에 지정된 인증서 중 하나 이상에 대해 AD FS Windows 서비스에서 사용하는 서비스 계정에 액세스할 수 없음을 감지했습니다. AD FS 서비스 계정에는 하나 이상의 구성된 인증서의 프라이빗 키에 대한 읽기 권한이 없습니다. AD FS 서비스 계정에 구성된 모든 인증서의 프라이빗 키에 대한 읽기 권한이 있는지 확인합니다.
이벤트 389: AD FS에서 하나 이상의 신뢰가 만료되었거나 곧 만료될 예정이므로 수동 업데이트가 필요한 인증서를 감지했습니다. 구성된 파트너의 인증서 중 하나가 만료되었거나 만료 예정입니다. 이 이벤트는 클레임 공급자 트러스트 또는 신뢰 당사자 신뢰에 적용할 수 있습니다. 이 트러스트를 수동으로 생성한 경우 인증서 구성을 수동으로 업데이트합니다. 페더레이션 메타데이터를 사용하여 트러스트를 생성한 경우 파트너가 인증서를 업데이트하는 즉시 인증서가 자동으로 업데이트됩니다.