客戶的環境部署了IFD,運行部署一段時間後,突然報了兩個問題,一個是登錄端在adfs登錄頁面登錄時偶然的會報錯,一個是在接口端在調用身份驗證時也報錯:"未能對安全令牌進行身份驗證或授權"。
客戶的環境是兩臺adfs服務器做的負載,其中一臺的系統日誌有如下這段,第一反應是難道證書過期了?最後驗證下來不是,那就嘗試更新下證書吧。
嘗試爲指紋“D6CA2DDBEE4C2260AEE94091438E6ED39983E6A0”所標識的信賴方信任“https://crm.xx.org/”證書建立證書鏈期間出錯。原因可能包括證書已吊銷,無法按信賴方信任的加密證書吊銷設置指定的方式確認證書鏈,或證書不在其有效期內。
可以使用針對 AD FS 的 Windows PowerShell 命令配置信賴方加密證書的吊銷設置。
信賴方信任的加密證書吊銷設置: CheckChainExcludeRoot
建立證書鏈時發生了以下錯誤:
吊銷功能無法檢查證書是否吊銷。
由於吊銷服務器已脫機,吊銷功能無法檢查吊銷。
用戶操作:
確保信賴方信任的加密證書有效,且未被吊銷。
確保在吊銷設置未指定“none”或“cache only”設置的情況下 AD FS 可以訪問證書吊銷列表。
當在做一些準備工作時,偶然發現已有的證書私鑰權限裏,adfs的運行賬號怎麼沒了?突然明白了點什麼,然後通知運維把這個賬號加回去,果然問題解決了。