Certificato di crittografia del provider di attestazioni non valido

Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule (Rule)

Knowledge Base article:

Riepilogo

La richiesta di disconnessione SAML ha avuto esito negativo perché il certificato di crittografia dell'attendibilità del provider di attestazioni non è valido.

Cause

Di seguito sono riportate le possibili cause di questo evento:

Il certificato è stato revocato.
Non è stato possibile verificare la catena di certificati come specificato dalle impostazioni di revoca del certificato di crittografia per l'attendibilità del provider di attestazioni.
Il certificato non rientra nel proprio periodo di validità.

Nota

È possibile utilizzare i cmdlet di Windows PowerShell per ADFS per configurare le impostazioni di revoca per il certificato di crittografia dell'attendibilità del provider di attestazioni. Per l'impostazione specifica, utilizzare il parametro EncryptionCertificateRevocationCheck del cmdlet Set-ADFSClaimsProviderTrust.

Soluzioni

Di seguito sono riportate le possibili soluzioni per questo evento:

Assicurarsi che il certificato di crittografia dell'attendibilità del provider di attestazioni sia valido e non sia stato revocato.
Assicurarsi che ADFS possa accedere all'elenco di revoche di certificati se nell'impostazione di revoca non è specificata l'impostazione "nessuno" o "solo cache".
Verificare le impostazioni del server proxy HTTP. Per ulteriori informazioni su come verificare le impostazioni del server proxy HTTP, vedere la sezione relativa ai controlli preliminari per la risoluzione dei problemi di ADFS nella guida alla risoluzione dei problemi di ADFS.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance

Category

ConfigurationHealth

Enabled

True

Event_ID

374

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Certificato di crittografia del provider di attestazioni non valido

Il certificato di crittografia del provider di attestazioni '{0}' non è valido. Disconnessione SAML non riuscita. Controllare la scheda Contesto avviso per informazioni relative al certificato utilizzato dal provider di attestazioni.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">374</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>