您好我在ADFS索赔信托提供商处注册了多个IDP。其中一个IDP的联合元数据已过期证书。对应方与其他第三方服务提供商(非MS平台)成功集成(已过期证书)。所以基本上我被告知要将这个IDP与我们的ADFS SP下的过期证书集成。 现在每次来自此IDP的用户登录并尝试通过ADFS重定向时,我们会在事件日志中收到以下错误。
尝试为声明提供程序信任版建立证书链时发生错误' https://xyz.com/opensso'由指纹识别的证书' D13412341231312312311231313123'。 可能的原因是证书已被撤销,证书链无法按照声明提供商信任的签名证书吊销设置或证书不在其有效期内的情况进行验证。
您可以使用Windows PowerShell命令为AD FS配置声明提供程序信任的签名证书的吊销设置。
声明提供程序信任的签名证书吊销设置:无
构建证书链时发生以下错误:
MSIS2013:在根据当前系统时钟进行验证时,所需证书不在其有效期内。
用户操作: 确保声明提供程序信任的签名证书有效且尚未撤销。 如果撤销设置未指定" none"请确保AD FS可以访问证书吊销列表。或只是"缓存"设置。 验证您的代理服务器设置。有关如何验证代理服务器设置的详细信息,请参阅AD FS故障排除指南(http://go.microsoft.com/fwlink/?LinkId=182180)。
我已经尝试过跟随cmdlet但到目前为止没有成功。 Set-ADFSClaimsProviderTrust -TargetName" ABC Test" -SigningCertificateRevocationCheck"无" Set-ADFSClaimsProviderTrust -TargetName" ABC Test" -EncryptionCertificateRevocationCheck"无"
我们在服务器场设置中使用ADFS 3.0。是否真的可以将声明身份提供商与过期证书一起使用?
由于
答案 0 :(得分:0)
不 - 它不是。
所有这些都基于信任,如果证书已过期,那么信任。
您运行的命令只是告诉ADFS不要根据CA签名权限验证证书的有效性。
没有命令可以取消证书 - 您需要获得一个新的有效证书。
这应该是来自安全PoV的方式。