客户的环境部署了IFD,运行部署一段时间后,突然报了两个问题,一个是登录端在adfs登录页面登录时偶然的会报错,一个是在接口端在调用身份验证时也报错:"未能对安全令牌进行身份验证或授权"。
客户的环境是两台adfs服务器做的负载,其中一台的系统日志有如下这段,第一反应是难道证书过期了?最后验证下来不是,那就尝试更新下证书吧。
尝试为指纹“D6CA2DDBEE4C2260AEE94091438E6ED39983E6A0”所标识的信赖方信任“https://crm.xx.org/”证书建立证书链期间出错。原因可能包括证书已吊销,无法按信赖方信任的加密证书吊销设置指定的方式确认证书链,或证书不在其有效期内。
可以使用针对 AD FS 的 Windows PowerShell 命令配置信赖方加密证书的吊销设置。
信赖方信任的加密证书吊销设置: CheckChainExcludeRoot
建立证书链时发生了以下错误:
吊销功能无法检查证书是否吊销。
由于吊销服务器已脱机,吊销功能无法检查吊销。
用户操作:
确保信赖方信任的加密证书有效,且未被吊销。
确保在吊销设置未指定“none”或“cache only”设置的情况下 AD FS 可以访问证书吊销列表。
当在做一些准备工作时,偶然发现已有的证书私钥权限里,adfs的运行账号怎么没了?突然明白了点什么,然后通知运维把这个账号加回去,果然问题解决了。