Le certificat de chiffrement du fournisseur de revendications est invalide

Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule (Rule)

Knowledge Base article:

Résumé

La demande de déconnexion SAML a échoué car le certificat de chiffrement pour l'approbation du fournisseur de revendications n'est pas valide.

Causes

Vous trouverez ci-dessous les causes possibles de cet événement :

Le certificat a été révoqué.
La chaîne de certificats n'a pas pu être vérifiée comme indiqué dans les paramètres de révocation du certificat de chiffrement pour l'approbation du fournisseur de revendications
Ce certificat n'est pas dans sa période de validité.

Remarque

Vous pouvez utiliser les commandlets Windows PowerShell pour AD FS afin de configurer les paramètres de révocation pour le certificat de chiffrement de l'approbation du fournisseur de revendications. Pour ce réglage spécifique, utilisez le paramètre EncryptionCertificateRevocationCheck de la commandlet Set-ADFSClaimsProviderTrust.

Résolutions

Vous trouverez ci-dessous les résolutions possibles de cet événement :

Vérifiez que le certificat de chiffrement de l'approbation du fournisseur de revendications est valide et n'a pas été révoqué.
Vérifiez qu'AD FS peut accéder à la liste de révocation de certificats si le paramètre de révocation ne spécifie pas de paramètre « aucun » ou « cache uniquement ».
Vérifiez les paramètres de votre serveur proxy HTTP. Pour plus d'informations sur la vérification des paramètres de votre serveur proxy HTTP, consultez la section « Points à vérifier avant de dépanner AD FS » du Guide de dépannage d'AD FS.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance

Category

ConfigurationHealth

Enabled

True

Event_ID

374

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Le certificat de chiffrement du fournisseur de revendications est invalide

Le certificat de chiffrement du fournisseur de revendications « {0} » est invalide. Échec de la déconnexion SAML. Examinez l'onglet de contexte d'alerte pour plus de détails sur le certificat utilisé par ce fournisseur de revendications.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">374</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>