Поставщик доверия утверждений ADFS с истекшим сертификатом

Привет, у меня есть несколько IDP, зарегистрированных в нашем провайдере ADFS Claims Trust. Срок действия сертификата одного из метаданных федерации IDP истек. Соответствующая сторона успешно интегрируется (с истекшим сертификатом) с другим сторонним поставщиком услуг (не на платформе MS). Так что в основном мне сказали интегрировать этот IDP с просроченным сертификатом в нашем ADFS SP. Теперь каждый раз, когда пользователь из этого IDP входит в систему и пытается перенаправиться через ADFS, мы получаем следующую ошибку в журнале событий.

Произошла ошибка при попытке построить цепочку сертификатов для доверия поставщика утверждений https://xyz.com/opensso 'сертификат, идентифицированный по отпечатку пальца' D13412341231312312311231313123 '. Возможные причины: сертификат был отозван, цепочка сертификатов не может быть проверена, как указано в настройках отзыва сертификата доверия поставщика утверждений, или срок действия сертификата истек.

Вы можете использовать команды Windows PowerShell для AD FS, чтобы настроить параметры отзыва для сертификата подписи доверия поставщика утверждений. Параметры отзыва сертификата для подписи поставщика утверждений: Нет. При построении цепочки сертификатов произошли следующие ошибки:
MSIS2013: Требуемый сертификат не соответствует сроку действия при проверке по текущим системным часам.

Действия пользователя: Убедитесь, что сертификат подписи доверия поставщика утверждений действителен и не отозван. Убедитесь, что AD FS может получить доступ к списку отзыва сертификатов, если для параметра отзыва не указано значение «нет» или «только кэш». Проверьте настройки прокси-сервера. Дополнительные сведения о том, как проверить настройки прокси-сервера, см. В Руководстве по устранению неполадок AD FS (http://go.microsoft.com/fwlink/?LinkId=182180).

Я уже пробовал использовать следующие командлеты, но пока безуспешно. Set-ADFSClaimsProviderTrust -TargetName «ABC Test» -SigningCertificateRevocationCheck «None» Set-ADFSClaimsProviderTrust -TargetName «ABC Test» -EncryptionCertificateRevocationCheck «None»

Мы используем ADFS 3.0 в настройке фермы. Можно ли использовать поставщика удостоверений утверждений с просроченным сертификатом?

Спасибо


provider certificate claims adfs
person Nile    schedule 25.07.2014    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Нет, это не так.

Все основано на доверии, и если срок действия сертификата истек, значит и доверие.

Команды, которые вы выполняете, просто говорят ADFS не проверять действительность сертификата с точки зрения центра подписания CA.

Нет команды, чтобы истек срок действия сертификата - вам нужно получить новый, действующий.

Так и должно быть из точки зрения безопасности.

person rbrayb    schedule 26.07.2014