Сертификат для подписи проверяющей стороны недействителен

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule (Rule)

Knowledge Base article:

Сводка

Службе федерации не удалось обработать подписанный запрос SAML на вход или выход, поскольку сертификату, который использовался партнером для подписи запросов, не удалось пройти проверку отзыва сертификата или срок действия этого сертификата истек.

Причины

Ниже рассмотрены возможные причины возникновения этого события.

Сертификат отозван.
Невозможно подтвердить цепочку сертификатов согласно заданным параметрам отзыва сертификата для подписи для этого отношения доверия с проверяющей стороной.
Срок действия сертификата истек или не начался.

Примечание:

Чтобы настроить параметры отзыва сертификата для подписи для отношения доверия с проверяющей стороной, можно использовать командлеты Windows PowerShell для служб федерации Active Directory. Для специальных настроек используйте параметр SigningCertificateRevocationCheck командлета Set-ADFSRelyingPartyTrust.

Решения

Ниже приведены возможные способы устранения ошибки.

Убедитесь в том, что сертификат для подписи для отношения доверия с проверяющей стороной действителен и не отозван.
Убедитесь в том, что службы федерации Active Directory имеют доступ к списку отзыва сертификатов, если для параметра отзыва не установлено значение "нет" или "только кэш".
Проверьте параметры прокси-сервера HTTP. Дополнительные сведения о проверке параметров прокси-сервера HTTP см. в разделе "Проверка перед устранением неполадок служб федерации Active Directory" Руководства по устранению неполадок служб федерации Active Directory.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance

Category

ConfigurationHealth

Enabled

True

Event_ID

316

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Сертификат для подписи проверяющей стороны недействителен

Сертификат для подписи проверяющей стороны "{0}" недействителен. Дополнительные сведения о сертификате, который использует эта проверяющая сторона, см. на вкладке "Контекст оповещения".

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">316</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>