Signaturzertifikat der vertrauenden Seite ist ungültig

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule (Rule)

Knowledge Base article:

Zusammenfassung

Die signierte SAML-Anmelde- oder -Abmeldeanforderung konnte nicht verarbeitet werden, da bei dem Zertifikat, das vom Partner zum Signieren der Anforderung verwendet wird, bei einer Überprüfung der Zertifikatsperre ein Fehler aufgetreten ist oder das Zertifikat abgelaufen ist.

Ursachen

Dieses Ereignis kann folgende Ursachen haben:

Das Zertifikat wurde gesperrt.
Die Zertifikatskette konnte nicht entsprechend den Sperreinstellungen des Signaturzertifikats für die Vertrauensstellung der vertrauenden Seite überprüft werden.
Das Zertifikat befindet sich außerhalb seiner Gültigkeitsdauer.

Hinweis:

Sie können die Windows PowerShell-Cmdlets für AD FS verwenden, um die Sperreinstellungen für das Signaturzertifikat für die Vertrauensstellung der vertrauenden Seite zu konfigurieren. Verwenden Sie für diese spezielle Einstellung den Parameter "SigningCertificateRevocationCheck" des Cmdlets "Set-ADFSRelyingPartyTrust".

Lösungen

Folgende Lösungen sind bei diesem Ereignis möglich:

Stellen Sie sicher, dass das Signaturzertifikat für die Vertrauensstellung der vertrauenden Seite gültig ist und nicht gesperrt wurde.
Stellen Sie sicher, dass AD FS auf die Zertifikatsperrliste zugreifen kann, wenn die Sperreinstellung auf "Keine" oder "Nur Cache" festgelegt ist.
Überprüfen Sie die Einstellungen des HTTP-Proxyservers. Weitere Informationen zum Überprüfen der Einstellungen des HTTP-Proxyservers finden Sie im Abschnitt "Vor einer Problembehandlung in AD FS auszuführende Schritte" im Handbuch zur Problembehandlung in AD FS (möglicherweise in englischer Sprache).

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance

Category

ConfigurationHealth

Enabled

True

Event_ID

316

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Signaturzertifikat der vertrauenden Seite ist ungültig

Das Signaturzertifikat der vertrauenden Seite '{0}' ist ungültig. Überprüfen Sie die Registerkarte "Warnungskontext" auf Details zu dem von dieser vertrauenden Seite verwendeten Zertifikat.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">316</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>