Certyfikat szyfrowania dostawcy oświadczeń jest nieprawidłowy

Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule (Rule)

Knowledge Base article:

Podsumowanie

Żądanie wylogowania SAML nie powiodło się, ponieważ certyfikat szyfrowania dla relacji zaufania dostawcy oświadczeń jest nieprawidłowy.

Przyczyny

Oto możliwe przyczyny tego zdarzenia:

Certyfikat został odwołany.
Nie można było zweryfikować łańcucha certyfikatów zgodnie z ustawieniami odwoływania certyfikatu szyfrowania dla tej relacji zaufania dostawcy oświadczeń.
Certyfikat jest używany poza swoim okresem ważności.

Notatka

Ustawienia odwoływania certyfikatu szyfrowania relacji zaufania dostawcy oświadczeń można skonfigurować przy użyciu poleceń cmdlet programu Windows PowerShell dla usług AD FS. Do skonfigurowania tego konkretnego ustawienia służy parametr EncryptionCertificateRevocationCheck polecenia cmdlet Set-ADFSClaimsProviderTrust.

Rozwiązania

Oto możliwe rozwiązania dla tego zdarzenia:

Upewnij się, że certyfikat szyfrowania relacji zaufania dostawcy oświadczeń był ważny i nieodwołany.
Upewnij się, że usługi AD FS mogą uzyskać dostęp do listy odwołania certyfikatów, gdy ustawieniem odwołania nie jest „none” (brak) ani „cache only” (tylko pamięć podręczna).
Sprawdź ustawienia serwera proxy dla protokołu HTTP. Więcej informacji o sposobie sprawdzania ustawień serwera proxy dla protokołu HTTP znajduje się w sekcji „Things to Check Before Troubleshooting AD FS” (Elementy do sprawdzenia przed rozpoczęciem rozwiązywania problemów z usługami AD FS) na stronie AD FS troubleshooting guide (Przewodnik rozwiązywania problemów z usługami AD FS).

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance

Category

ConfigurationHealth

Enabled

True

Event_ID

374

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Certyfikat szyfrowania dostawcy oświadczeń jest nieprawidłowy

Certyfikat szyfrowania dostawcy oświadczeń „{0}” jest nieprawidłowy. Nie powiodło się wylogowanie SAML. Szczegółowe informacje o certyfikacie używanym przez tego dostawcę oświadczeń znajdują się na karcie Kontekst alertu.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">374</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>