Недействительный сертификат для подписи поставщика утверждений

Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor (UnitMonitor)

Knowledge Base article:

Сводка

Сертификат для подписи одного из отношений доверия с поставщиком утверждений недействителен. Как следствие, служба федерации не сможет принимать входящие подписанные маркеры. В сценарии выхода это станет причиной сбоя приема службой федерации подписанных запросов выхода.

Если та же проблема не повторится в течение 15 минут, индикатор состояния работоспособности этого монитора снова изменится на зеленый. Согласно правилу генерации оповещений, появляется соответствующее оповещение, которое необходимо устранить вручную.

Причины

Ниже рассмотрены возможные причины возникновения этого события.

Сертификат отозван.
Невозможно подтвердить цепочку сертификатов согласно заданным параметрам отзыва сертификата для подписи для этого отношения доверия с поставщиком утверждений.
Срок действия сертификата истек или не начался.

Примечание:

Настроить параметры отзыва сертификата для подписи отношений доверия с поставщиком утверждений можно с помощью командлетов Windows PowerShell для служб федерации Active Directory. Для специальных настроек используйте параметр SigningCertificateRevocationCheck командлета Set-ADFSClaimsProviderTrust.

Решения

Ниже приведены возможные способы устранения ошибки.

Убедитесь в том, что сертификат для подписи отношений доверия с поставщиком утверждений действителен и не отозван.
Убедитесь в том, что службы федерации Active Directory имеют доступ к списку отзыва сертификатов, если для параметра отзыва не установлено значение "нет" или "только кэш".
Проверьте параметры прокси-сервера HTTP. Дополнительные сведения о проверке параметров HTTP-прокси-сервера см. в разделе "Что стоит проверить перед устранением проблем в службах федерации Active Directory" руководства по устранению проблем в службах федерации Active Directory.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance

Parent Monitor

System.Health.ConfigurationState

Category

ConfigurationHealth

Enabled

True

Alert Generate

True

Alert Severity

MatchMonitorHealth

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.SingleEventLogTimer2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Не удалось проверить сертификат для подписи поставщика утверждений при попытке принять входящий маркер безопасности

Описание события: {0}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">

  <Category>ConfigurationHealth</Category>

  <AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">

    <AlertOnState>Warning</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>MatchMonitorHealth</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>

    <OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

    <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">315</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <RegExExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>MatchesMOM2005RegularExpression</Operator>

            <Pattern>(^AD FS$)</Pattern>

          </RegExExpression>

        </Expression>

      </And>

    </Expression>

    <TimerWaitInSeconds>900</TimerWaitInSeconds>

  </Configuration>

</UnitMonitor>