您好我在ADFS索赔信托提供商处注册了多个IDP . 其中一个IDP的联合元数据已过期证书 . 对应方与其他第三方服务提供商(非MS平台)成功集成(已过期证书) . 所以基本上我被告知要将这个IDP与我们的ADFS SP下的过期证书集成 . 现在,每当来自此IDP的用户登录并尝试通过ADFS重定向时,我们在事件日志中会出现以下错误 .
尝试为声明提供程序信任构建证书链时发生错误'https://xyz.com/opensso ' certificate identified by thumbprint ' D13412341231312312311231313123 '. Possible causes are that the certificate has been revoked, the certificate chain could not be verified as specified by the claims provider trust' s签名证书吊销设置或证书不在其有效期内 .
您可以使用Windows PowerShell命令为AD FS配置声明提供程序信任's signing certificate. Claims provider trust' s签名证书吊销设置的吊销设置:无构建证书链时发生以下错误:
MSIS2013:在根据当前系统时钟进行验证时,所需证书不在其有效期内 .
User Action:请确保声明提供程序信任的签名证书有效且尚未撤消 . 如果吊销设置未指定"none"或"cache only"设置,请确保AD FS可以访问证书吊销列表 . 验证您的代理服务器设置 . 有关如何验证代理服务器设置的详细信息,请参阅AD FS故障排除指南(http://go.microsoft.com/fwlink/?LinkId=182180) .
我已经尝试过跟随cmdlet但到目前为止没有成功 . Set-ADFSClaimsProviderTrust -TargetName“ABC Test”-SigningCertificateRevocationCheck“None”Set-ADFSClaimsProviderTrust -TargetName“ABC Test”-EncryptionCertificateRevocationCheck“None”
我们在服务器场设置中使用ADFS 3.0 . 是否真的可以将声明身份提供商与过期证书一起使用?
谢谢
1 回答
不,这不对 .
全部基于信任,如果证书已过期,那么信任 .
您运行的命令只是告诉ADFS不要根据CA签名权限验证证书的有效性 .
没有命令可以取消证书 - 您需要获得一个新的有效证书 .
这就应该是来自安全PoV的方式 .