Het certificaat voor relying party-ondertekening is niet geldig

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureMonitor (UnitMonitor)

Knowledge Base article:

Samenvatting

Deze monitor geeft aan dat de Federation Service de aanmeldings- of afmeldingsaanvraag van de ondertekende SAML niet kon verwerken omdat het certificaat dat de partner gebruikte voor het ondertekenen van de aanvraag geen intrekkingscontrole van het certificaat kon uitvoeren of omdat dit is verlopen.

Als hetzelfde probleem binnen 15 minuten niet nog eens plaatsvindt, verandert de status van deze monitor weer in Groen. De waarschuwingsregel heeft een corresponderende waarschuwing gegenereerd. Deze moet handmatig worden opgelost.

Oorzaken

Deze gebeurtenis kan de volgende oorzaken hebben:

Het certificaat is ingetrokken.
Kan de certificaatketen niet controleren zoals aangegeven in de herroepingsinstellingen van het handtekeningcertificaat voor de vertrouwensrelatie van deze relying party.
Het certificaat valt niet binnen de geldigheidsperiode.

Opmerking:

U kunt Windows PowerShell-cmdlets voor AD FS gebruiken om de intrekkingsinstellingen voor het handtekeningcertificaat van de vertrouwensrelatie van de relying party te configureren. Gebruik voor de specifieke instelling de parameter SigningCertificateRevocationCheck van de cmdlet Set-ADFSRelyingPartyTrust.

Oplossingen

Deze gebeurtenis kan de volgende oplossingen hebben:

Zorg dat het handtekeningcertificaat van de vertrouwensrelatie van de relying party geldig is en niet is ingetrokken.
Zorg dat AD FS toegang heeft tot de certificaatintrekkingslijst als de intrekkingsinstelling niet de waarde 'geen' of 'alleen cache' heeft.
Controleer de instellingen van uw HTTP-proxyserver. Zie voor meer informatie over hoe u de instellingen van uw HTTP-proxyserver moet controleren het gedeelte 'Dingen om te controleren voor het oplossen van AD FS-problemen' in de AD FS-probleemoplossingsgids.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance

Parent Monitor

System.Health.ConfigurationState

Category

ConfigurationHealth

Enabled

True

Alert Generate

True

Alert Severity

MatchMonitorHealth

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.SingleEventLogTimer2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Melding Het certificaat voor relying party-ondertekening is niet geldig

Beschrijving van gebeurtenis: {0}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">

  <Category>ConfigurationHealth</Category>

  <AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">

    <AlertOnState>Warning</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>MatchMonitorHealth</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>

    <OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

    <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">316</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <RegExExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>MatchesMOM2005RegularExpression</Operator>

            <Pattern>(^AD FS$)</Pattern>

          </RegExExpression>

        </Expression>

      </And>

    </Expression>

    <TimerWaitInSeconds>900</TimerWaitInSeconds>

  </Configuration>

</UnitMonitor>