Anspruchsanbieter-Verschlüsselungszertifikat ist ungültig

Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule (Rule)

Knowledge Base article:

Zusammenfassung

Bei der SAML-Abmeldeanforderung ein Fehler aufgetreten ist, da das Verschlüsselungszertifikat für die Anspruchsanbieter-Vertrauensstellung ungültig ist.

Ursachen

Dieses Ereignis kann folgende Ursachen haben:

Das Zertifikat wurde gesperrt.
Die Zertifikatskette konnte nicht entsprechend den Sperreinstellungen des Verschlüsselungszertifikats für die Anspruchsanbieter-Vertrauensstellung überprüft werden.
Das Zertifikat befindet sich außerhalb seiner Gültigkeitsdauer.

Hinweis

Sie können die Windows PowerShell-Cmdlets für AD FS verwenden, um die Sperreinstellungen des Verschlüsselungszertifikats für die Anspruchsanbieter-Vertrauensstellung zu konfigurieren. Verwenden Sie für diese spezielle Einstellung den Parameter "EncryptionCertificateRevocationCheck" des Cmdlets "Set-ADFSClaimsProviderTrust".

Lösungen

Folgende Lösungen sind bei diesem Ereignis möglich:

Stellen Sie sicher, dass das Verschlüsselungszertifikat für die Anspruchsanbieter-Vertrauensstellung gültig ist und nicht gesperrt wurde.
Stellen Sie sicher, dass AD FS auf die Zertifikatsperrliste zugreifen kann, wenn die Sperreinstellung auf "Keine" oder "Nur Cache" festgelegt ist.
Überprüfen Sie die Einstellungen des HTTP-Proxyservers. Weitere Informationen zum Überprüfen der Einstellungen des HTTP-Proxyservers finden Sie im Abschnitt "Vor einer Problembehandlung in AD FS auszuführende Schritte" im Leitfaden zur Problembehandlung in AD FS.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance

Category

ConfigurationHealth

Enabled

True

Event_ID

374

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Anspruchsanbieter-Verschlüsselungszertifikat ist ungültig

Das Verschlüsselungszertifikat des Anspruchsanbieters '{0}' ist ungültig. Fehler bei der SAML-Abmeldung. Überprüfen Sie die Registerkarte "Warnungskontext" auf Details zu dem von diesem Anspruchsanbieter verwendeten Zertifikat.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">374</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>