El certificado de firma del usuario de confianza no es válido

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule (Rule)

Knowledge Base article:

Resumen

El servicio de federación no ha podido procesar la solicitud de inicio o cierre de sesión de SAML firmado porque el asociado usado para firmar la solicitud ha producido errores al comprobar la revocación de certificado o el certificado ha caducado.

Causas

Estas son las causas posibles de este evento:

El certificado se ha revocado.
La cadena de certificados no pudo verificarse tal y como está especificada por la configuración de revocación del certificado de firma para esta confianza del usuario de confianza.
El certificado no se encuentra en el período de validez.

Nota:

Puede usar los cmdlets de Windows PowerShell para AD FS para configurar las opciones de revocación del certificado de firma de la confianza del usuario de confianza. Para la configuración específica, use el parámetro SigningCertificateRevocationCheck del cmdlet Set-ADFSRelyingPartyTrust.

Resoluciones

Estas son las resoluciones posibles para este evento:

Compruebe que el certificado de firma de la confianza del usuario de confianza sea válido y que no haya sido rechazado.
Compruebe que AD FS pueda acceder a la lista de revocación de certificados en la configuración de revocación no se especifica la opción "ninguna" o "solo caché".
Compruebe la configuración del servidor proxy HTTP. Para obtener más información sobre cómo comprobar la configuración del servidor proxy HTTP, consulte la sección "Things to Check Before Troubleshooting AD FS" en la Guía de solución de problemas de AD FS (en inglés).

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance

Category

ConfigurationHealth

Enabled

True

Event_ID

316

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

El certificado de firma del usuario de confianza no es válido

El certificado de firma del usuario de confianza "{0}" no es válido. Consulte los detalles sobre el certificado que usa este usuario de confianza en la ficha Contexto de alerta.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">316</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>