신뢰 당사자 서명 인증서가 유효하지 않음

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureMonitor (UnitMonitor)

Knowledge Base article:

요약

이 모니터는 파트너가 요청에 서명하기 위해 사용한 인증서가 인증서 해지를 확인하지 못했거나 만료되었기 때문에 페더레이션 서비스에서 서명된 SAML 로그인 또는 로그아웃 요청을 처리하지 못했음을 나타냅니다.

15분 동안 같은 문제가 다시 발생하지 않는 경우 이 모니터의 성능 상태가 다시 녹색 상태로 전환됩니다. 경고 규칙에 따라 해당 경고가 발생하며 수동으로 해결해야 합니다.

원인

이 이벤트가 발생할 수 있는 원인은 다음과 같습니다.

인증서가 해지되었습니다.
이 신뢰 당사자 트러스트의 서명 인증서의 해지 설정에 지정된 대로 인증서 체인을 확인할 수 없습니다.
인증서가 유효 기간 내에 있지 않습니다.

참고:

AD FS용 Windows PowerShell cmdlet을 사용하여 신뢰 당사자 트러스트의 서명 인증서에 대한 해지 설정을 구성할 수 있습니다. 특정 설정의 경우, Set-ADFSRelyingPartyTrust cmdlet의 SigningCertificateRevocationCheck 매개 변수를 사용하십시오.

해결 방법

이 이벤트를 해결할 수 있는 방법은 다음과 같습니다.

신뢰 당사자 트러스트의 서명 인증서가 유효하며 해지되지 않았는지 확인하십시오.
해지 설정이 "없음" 또는 "캐시만" 설정으로 지정되지 않은 경우 AD FS가 인증서 해지 목록에 액세스할 수 있는지 확인하십시오.
HTTP 프록시 서버 설정을 확인하십시오. HTTP 프록시 서버 설정을 확인하는 방법에 대한 자세한 내용은 AD FS 문제 해결 가이드의 "AD FS 문제 해결 전 확인할 사항" 섹션을 참조하십시오.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance

Parent Monitor

System.Health.ConfigurationState

Category

ConfigurationHealth

Enabled

True

Alert Generate

True

Alert Severity

MatchMonitorHealth

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.SingleEventLogTimer2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

신뢰 당사자 서명 인증서가 유효하지 않음 경고

이벤트 설명: {0}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">

  <Category>ConfigurationHealth</Category>

  <AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">

    <AlertOnState>Warning</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>MatchMonitorHealth</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>

    <OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

    <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">316</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <RegExExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>MatchesMOM2005RegularExpression</Operator>

            <Pattern>(^AD FS$)</Pattern>

          </RegExExpression>

        </Expression>

      </And>

    </Expression>

    <TimerWaitInSeconds>900</TimerWaitInSeconds>

  </Configuration>

</UnitMonitor>