O Certificado de Assinatura da Entidade Confiadora Não É Válido

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule (Rule)

Knowledge Base article:

Resumo

O Serviço de Federação não conseguiu processar o pedido assinado de início ou fim de sessão SAML porque o certificado que o parceiro utilizou para assinar o pedido falhou uma verificação de revogação de certificado ou expirou.

Causas

Eis algumas causas possíveis deste evento:

O certificado foi revogado.
Não foi possível verificar a cadeia de certificados conforme especificado pelas definições de revogação do certificado de assinatura desta fidedignidade de entidade confiadora.
O certificado não se encontra dentro do período de validade.

Nota:

Poderá utilizar cmdlets do Windows PowerShell para o AD FS para configurar as definições de revogação do certificado de assinatura da fidedignidade de entidade confiadora. Para a definição específica, utilize o parâmetro SigningCertificateRevocationCheck do cmdlet Set-ADFSRelyingPartyTrust.

Resoluções

Eis algumas resoluções possíveis deste evento:

Certifique-se de que o certificado de assinatura da fidedignidade de entidade confiadora é válido e não foi revogado.
Certifique-se de que o AD FS consegue aceder à lista de revogação de certificados se a definição de revogação não especificar "nenhum" ou uma definição "apenas cache".
Verifique as definições do servidor proxy HTTP. Para mais informações sobre como verificar as definições do servidor proxy HTTP, consulte a secção "Coisas a Verificar Antes de Resolver Problemas do AD FS" no Manual de resolução de problemas do AD FS.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance

Category

ConfigurationHealth

Enabled

True

Event_ID

316

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

O Certificado de Assinatura da Entidade Confiadora Não É Válido

O certificado de assinatura da entidade confiadora '{0}' não é válido. Consulte os detalhes sobre o certificado utilizado por esta entidade confiadora no separador Contexto do Alerta.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">316</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>