Solução de problemas do AD FS – certificados
O AD FS (Serviços de Federação do Active Directory (AD FS)) requer certificados específicos para funcionar corretamente. Podem ocorrer problemas se qualquer um desses certificados não estiver configurado ou configurado corretamente.
Certificados necessários
Cada um dos certificados do AD FS necessários tem seus próprios requisitos:
- Confiança de federação: a confiança da federação requer um dos seguintes:
- Um certificado encadeado a uma AC (autoridade de certificação) raiz da Internet mutuamente confiável está presente no repositório raiz confiável dos servidores de federação do CP (provedor de declarações) e da RP (terceira parte confiável).
- Um design de certificação cruzada foi implementado e cada lado trocou sua AC raiz com seu parceiro.
- Os certificados autoassinados foram importados em cada lado, quando apropriado.
- Assinatura de token: cada computador do serviço de federação requer um certificado de autenticação de tokens. O certificado de assinatura de token de CP deve ser confiável pelo servidor de federação de RP. O certificado de autenticação de tokens de RP deve ser confiável para todos os aplicativos que recebem tokens do servidor de federação de RP.
- Protocolo SSL: o certificado SSL para o serviço de federação deve estar presente em um repositório confiável no computador proxy do servidor de federação e ter uma cadeia válida para um repositório de CA confiável.
- CRL (Lista de certificados revogados): para qualquer certificado que tenha uma CRL publicada, ela deve estar acessível a todos os clientes e servidores que precisam acessar o certificado.
Se qualquer um dos requisitos anteriores não estiver configurado corretamente, o AD FS não funcionará.
Coisas comuns a serem verificadas com certificados
A lista de verificação a seguir pode ajudá-lo a resolver um problema de certificado:
- Verificar se o certificado é confiável.
- Verifique se os certificados SSL são confiáveis pelos clientes.
- Os certificados de autenticação de tokens precisam ser confiáveis para as terceiras partes confiáveis.
- Verifique a cadeia confiável. Todos os certificados na cadeia precisam ser válidos.
- Verificar a data de validade do certificado.
- Verifique a acessibilidade da CRL.
- Verifique se o campo do CDP (ponto de distribuição de CRL) está preenchido.
- Navegue manualmente até o CDP.
- Verifique se o certificado não foi revogado.
Erros comuns de certificado
A tabela a seguir lista os problemas de certificado conhecidos e as possíveis causas.
| Evento | Causa | Resolução |
|---|---|---|
| Evento 249: não foi possível encontrar um certificado no repositório de certificados. Em cenários de substituição de certificado, isso pode causar uma falha quando o Serviço de Federação está assinando ou descriptografando usando esse certificado. | O certificado em questão não está presente no repositório de certificados local ou a conta de serviço não tem permissão para a chave privada do certificado. | Verifique se o certificado está instalado no repositório LocalMachine\My no servidor AD FS. Verifique se a conta de serviço do AD FS tem acesso de leitura à chave privada do certificado. |
| Evento 315: ocorreu um erro durante uma tentativa de compilar a cadeia de certificados para o certificado de autenticação da relação de confiança do provedor de declarações. | O certificado foi revogado. A cadeia de certificados não pode ser verificada. O certificado expirou ou ainda não é válido. | Verifique se o certificado é válido e não foi revogado. Verifique se a CRL está acessível. |
| Evento 316: correu um erro durante uma tentativa de compilar a cadeia de certificados para o certificado de autenticação do objeto de confiança de terceira parte confiável. | O certificado foi revogado. A cadeia de certificados não pode ser verificada. O certificado expirou ou ainda não é válido. | Verifique se o certificado é válido e não foi revogado. Verifique se a CRL está acessível. |
| Evento 317: ocorreu um erro durante uma tentativa de compilar a cadeia de certificados para o certificado de criptografia do objeto de confiança de terceira parte confiável. | O certificado foi revogado. A cadeia de certificados não pode ser verificada. O certificado expirou ou ainda não é válido. | Verifique se o certificado é válido e não foi revogado. Verifique se a CRL está acessível. |
| Evento 319: ocorreu um erro enquanto a cadeia de certificados do certificado do cliente estava sendo criada. | O certificado foi revogado. A cadeia de certificados não pode ser verificada. O certificado expirou ou ainda não é válido. | Verifique se o certificado é válido e não foi revogado. Verifique se a CRL está acessível. |
| Evento 360: uma solicitação foi feita a um ponto de extremidade de transporte de certificado, mas a solicitação não incluiu um certificado do cliente. | A AC raiz que emitiu o certificado do cliente não é confiável. O certificado do cliente expirou. O certificado do cliente é autoassinado e não é confiável. | Verifique se a AC raiz que emitiu o certificado do cliente está presente no repositório raiz confiável. Verifique se o certificado do cliente não expirou. Caso o certificado do cliente for autoassinado, verifique se ele foi adicionado à lista de certificados confiáveis ou substitua o certificado autoassinado por um certificado confiável. |
| Evento 374: ocorreu um erro ao criar a cadeia de certificados para o certificado de criptografia da relação de confiança do provedor de declarações. | O certificado foi revogado. A cadeia de certificados não pode ser verificada. O certificado expirou ou ainda não é válido. | Verifique se o certificado é válido e não foi revogado. Verifique se a CRL está acessível. |
| Evento 381: ocorreu um erro durante uma tentativa de compilar a cadeia de certificados para o certificado de configuração. | Um dos certificados configurados para uso no servidor do AD FS expirou ou foi revogado. | Verifique se todos os certificados configurados não foram revogados e não expiraram. |
| Evento 385: o AD FS detectou que um ou mais certificados no banco de dados de configuração do AD FS precisam ser atualizados manualmente. | Um dos certificados configurados para uso no servidor do AD FS está expirado ou a data de validade está próxima. | Atualize o certificado expirado ou prestes a expirar com um substituto. (Caso esteja usando certificados autoassinados e a substituição automática de certificado estiver habilitada, ignore esse erro pois ele será auto-resolvido.) |
| Evento 387: o AD FS detectou que um ou mais dos certificados especificados no Serviço de Federação não estavam acessíveis para a conta de serviço usada pelo Serviço do Windows do AD FS. | A conta de serviço do AD FS não tem permissões de leitura para a chave privada de um ou mais certificados configurados. | Verifique se a conta de serviço do AD FS tem permissão de leitura para a chave privada de todos os certificados configurados. |
| Evento 389: o AD FS detectou que uma ou mais de suas relações de confiança exigem que seus certificados sejam atualizados manualmente porque expiraram ou irão expirar em breve. | Um dos certificados do parceiro configurado está expirado ou está prestes a expirar. O evento pode se aplicar a uma relação de confiança do provedor de declarações ou a um objeto de confiança de terceira parte confiável. | Se criou essa confiança manualmente, atualize a configuração do certificado manualmente. Caso usou metadados de federação para criar a confiança, o certificado será atualizado automaticamente assim que o parceiro atualizar o certificado. |