Active Directory フェデレーション サービス (AD FS) が正常に動作するためには、特定の証明書が必要です。 これらの証明書のいずれかが適切に設定または構成されていない場合、問題が発生する可能性があります。
必要な証明書
必要な AD FS 証明書にはそれぞれ独自の要件があります。
-
フェデレーション信頼: フェデレーション信頼には、次のいずれかが必要です。
- 相互に信頼されたインターネット ルート証明機関 (CA) にチェーンされている証明書は、クレーム プロバイダー (CP) と証明書利用者 (RP) フェデレーション サーバーの両方の信頼されたルート ストアに存在します。
- クロスサーフィケーション設計が実装され、各側がルート CA をパートナーと交換しました。
- 自己署名証明書は、必要に応じて各側にインポートされました。
- トークン署名: 各フェデレーション サービス コンピューターにはトークン署名証明書が必要です。 CP トークン署名証明書は、RP フェデレーション サーバーによって信頼されている必要があります。 RP トークン署名証明書は、RP フェデレーション サーバーからトークンを受信するすべてのアプリケーションによって信頼されている必要があります。
- Secure Sockets Layer (SSL):フェデレーション サービスの SSL 証明書は、フェデレーション サーバー プロキシ コンピューター上の信頼されたストアに存在し、信頼された CA ストアへの有効なチェーンを持っている必要があります。
- 証明書失効リスト (CRL):CRL が発行されている証明書の場合、証明書にアクセスする必要があるすべてのクライアントとサーバーから CRL にアクセスできる必要があります。
上記の要件のいずれかが正しく構成されていない場合、AD FS は機能しません。
証明書で確認する一般的な事項
次のチェックリストは、証明書の問題を解決するのに役立ちます。
- 証明書が信頼されていることを確認します。
- SSL 証明書がクライアントによって信頼されていることを確認します。
- トークン署名証明書は、証明書利用者によって信頼されている必要があります。
- 信頼チェーンを確認します。 チェーン内のすべての証明書が有効である必要があります。
- 証明書の有効期限を確認します。
- CRL のアクセシビリティを確認します。
- CRL 配布ポイント (CDP) のフィールドが設定されていることを確認します。
- CDP を手動で参照します。
- 証明書が失効していないことを確認します。
一般的な証明書エラー
次の表に、一般的な証明書エラーと考えられる原因を示します。
| 出来事 | 原因 | 解決策 |
|---|---|---|
| イベント 249: 証明書ストアに証明書が見つかりませんでした。 証明書のロールオーバー シナリオでは、フェデレーション サービスがこの証明書を使用して署名または暗号化解除を行っているときにエラーが発生する可能性があります。 | 問題の証明書がローカル証明書ストアに存在しないか、サービス アカウントに証明書の秘密キーに対するアクセス許可がありません。 | 証明書が AD FS サーバーの LocalMachine\My ストア にインストールされていることを確認します。 AD FS サービス アカウントが証明書の秘密キーへの読み取りアクセス権を持っていることを確認します。 |
| イベント 315: 要求プロバイダー信頼署名証明書の証明書チェーンの構築中にエラーが発生しました。 | 証明書が失効しました。
証明書チェーンを検証できません。 証明書の有効期限が切れているか、まだ有効ではありません。 |
証明書が有効であり、失効していないことを確認します。
CRL にアクセスできることを確認します。 |
| イベント 316: 証明書利用者信頼署名証明書の証明書チェーンの構築中にエラーが発生しました。 | 証明書が失効しました。
証明書チェーンを検証できません。 証明書の有効期限が切れているか、まだ有効ではありません。 |
証明書が有効であり、失効していないことを確認します。
CRL にアクセスできることを確認します。 |
| イベント 317: 証明書利用者信頼暗号化証明書の証明書チェーンの構築中にエラーが発生しました。 | 証明書が失効しました。
証明書チェーンを検証できません。 証明書の有効期限が切れているか、まだ有効ではありません。 |
証明書が有効であり、失効していないことを確認します。
CRL にアクセスできることを確認します。 |
| イベント 319: クライアント証明書の証明書チェーンのビルド中にエラーが発生しました。 | 証明書が失効しました。
証明書チェーンを検証できません。 証明書の有効期限が切れているか、まだ有効ではありません。 |
証明書が有効であり、失効していないことを確認します。
CRL にアクセスできることを確認します。 |
| イベント 360: 証明書トランスポート エンドポイントに対して要求が行われましたが、要求にクライアント証明書が含まれていませんでした。 | クライアント証明書を発行したルート CA は信頼されていません。
クライアント証明書の有効期限が切れています。 クライアント証明書は自己署名されており、信頼されていません。 |
クライアント証明書を発行したルート CA が信頼されたルート ストアに存在することを確認します。
クライアント証明書の有効期限が切れていないことを確認します。 クライアント証明書が自己署名されている場合は、信頼できる証明書の一覧に追加されていることを確認するか、自己署名証明書を信頼された証明書に置き換えます。 |
| イベント 374: クレーム プロバイダー信頼暗号化証明書の証明書チェーンの構築中にエラーが発生しました。 | 証明書が失効しました。
証明書チェーンを検証できません。 証明書の有効期限が切れているか、まだ有効ではありません。 |
証明書が有効であり、失効していないことを確認します。
CRL にアクセスできることを確認します。 |
| イベント 381: 構成証明書の証明書チェーンの構築中にエラーが発生しました。 | AD FS サーバーで使用するように構成されている証明書の 1 つが期限切れであるか、失効しています。 | 構成されているすべての証明書が失効せず、有効期限が切れていないことを確認します。 |
| イベント 385: AD FS 構成データベース内の 1 つ以上の証明書を手動で更新する必要があることを AD FS が検出しました。 | AD FS サーバーで使用するように構成されている証明書の 1 つが期限切れであるか、有効期限が近づいている。 | 期限切れまたは間もなく期限切れの証明書を置き換えて更新します。 (自己署名証明書を使用していて、証明書の自動ロールオーバーが有効になっている場合、このエラーは自己解決されるため無視できます)。 |
| イベント 387: AD FS は、フェデレーション サービスで指定されている 1 つ以上の証明書が、AD FS Windows サービスで使用されているサービス アカウントからアクセスできないことを検出しました。 | AD FS サービス アカウントには、構成された 1 つ以上の証明書の秘密キーに対する読み取りアクセス許可がありません。 | AD FS サービス アカウントに、構成されているすべての証明書の秘密キーに対する読み取りアクセス許可があることを確認します。 |
| イベント 389: AD FS は、1 つ以上の信頼が期限切れになったため、または間もなく期限切れになるため、証明書を手動で更新する必要があることを検出しました。 | 構成済みのパートナーの証明書の 1 つが期限切れであるか、有効期限が切れようとしています。 このイベントは、クレーム プロバイダー信頼または証明書利用者信頼のいずれかに適用できます。 | この信頼を手動で作成した場合は、証明書の構成を手動で更新します。 フェデレーション メタデータを使用して信頼を作成した場合、パートナーが証明書を更新するとすぐに、証明書が自動的に更新されます。 |