Share via

Beheben von Fehler ACS50017

  • Artikel

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Dieses Thema bietet Informationen zu möglichen Ursachen und Lösungen für den Fehler ACS50017.

Wahrscheinliche Ursachen für ACS50017

ACS gibt ACS50017 zurück, wenn sie keine Zertifikatkette für ein Signaturzertifikat eines vertrauenswürdigen Identitätsanbieters erstellen kann, z. B. einen vertrauenswürdigen ADFS-Server. Dieser Fehler tritt unter folgenden Bedingungen auf.

  1. ACS kann das Zertifikat nicht überprüfen, das zum Generieren der digitalen Signatur eines Token aus dem Identitätsanbieter verwendet wird.

  2. Ein kommerzielles Zertifikat in der Zertifikatkette verfügt nicht über die Erweiterung "Acces Method=Certification Authority Issuer", die einen Link zu dem unmittelbar übergeordneten Zertifikat enthält. Weitere Informationen zu ACS-Fehlercodes finden Sie unter ACS-Fehlercodes.

  3. ACS kann die Zwischenzertifikate nicht von der Stammzertifizierungsstelle abrufen, um die Vertrauenskette zu überprüfen.

ACS50017 wird in der Regel als Teil einer umfassenden Fehlermeldung angezeigt, die wahrscheinlich die Fehlermeldung ACS50008 enthält.

ACS20001: An error occurred while processing a WS-Federation sign-in 
Inner message: ACS50008 : SAML token is invalid
ACS50017: Certificate validation failed for certificate '<Certificate subject name>' issued by '<Certificate issuer name>'. StatusInformation: 'A certificate chain could not be built to a trusted root authority.&#xD;&#xA;'. X509ChainStatusFlags: 'PartialChain'

ACS erfordert, dass kommerzielle Zertifikate, die von einer vertrauenswürdigen Zertifizierungsstelle erworben wurden, eine "Authority Info Access" mit der Erweiterung "Access Method=Zertifizierungsstelle Aussteller" enthalten. Der Erweiterungswert muss eine URL enthalten, die mit einer öffentlich verfügbaren, herunterladbare Kopie seines übergeordneten Zertifikats (CRT) verknüpft. Diese Anforderung gilt für jedes Zertifikat der Zertifikatkette, mit Ausnahme des Stammzertifikats und seiner unmittelbar untergeordneten Zertifikate. ACS gibt den ACS50017-Fehler zurück, wenn diese Bedingungen nicht erfüllt sind.

Dieser Code zeigt das Format der Erweiterung "Certification Authority Aussteller" für ein fiktives Zertifikat.

[1]Authority Info Access
     Access Method=Certification Authority Issuer (1.2.3.4.5.6.7.88.9)
     Alternative Name:
          URL=http://pki.fabrikam.org/Certificate/Fabrikam_RCA.crt

ACS lädt Zertifikate in einem Zwischenzertifikatspeicher auf virtuellen ACS-Computern (VM) herunter und zwischen. Das Zwischenzertifikat bleibt auf dem virtuellen Computer verfügbar, bis der virtuelle Computer wiederverwendet wird. Der Cache verbessert die Leistung und ermöglicht ACS den Zugriff auf das Zwischenzertifikat auch dann, wenn Netzwerkprobleme verhindern, dass er sich an die Stammzertifizierungsstelle wenden kann.

ACS gibt den ACS50017-Fehler zurück, wenn ein Eintrag für das Zertifikat nicht im Zwischenzertifikatspeicher (Cache) auf der VM gefunden wird und ein Netzwerkaufruf an die Stammzertifizierungsstelle fehlschlägt. Der ACS50017-Fehler kann vorübergehend auftreten, wenn der Windows Aure Load Balancer einen ACS-Client an einen ACS-VIRTUELLEN leitet, der das Zertifikat für den Identitätsanbieter noch nicht zwischengespeichert hat.

Mögliche Lösungen für ACS50017

Verwenden Sie eine der folgenden Methoden, um das Problem zu lösen und eine Wiederholung des Fehlers zu verhindern.

  • Wenn ein Problem mit einem kommerziellen Zertifikat in der Zertifikatkette auftritt, können Sie ein selbst signiertes Zertifikat für das kommerzielle Zertifikat ersetzen. Weitere Informationen finden Sie unter Zertifikate und Schlüssel.

  • Wenn ein kommerzielles Zertifikat in der Zertifikatkette nicht die erforderliche Erweiterung "Acces Method=Certification Authority Issuer" enthält oder die Erweiterung keine URL enthält oder die URL nicht mit einer öffentlich verfügbaren Kopie des übergeordneten Zertifikats verknüpft, müssen Sie das Zertifikat ersetzen.

  • Wenn das Zertifikat alle erforderlichen Elemente aufweist, aber ACS kann es nach drei Versuchen nicht erwerben, kann der Vorgang aufgrund temporärer Netzwerkbedingungen oder eines Problems auf dem Zertifizierungsstellesserver zeitlimitiert werden. Der Zertifikatanbieter ist möglicherweise in der Lage, die Leistung des Zertifikatabrufs zu verbessern.

  • Wiederholen Sie die Anforderung. Wenn der Lastenausgleich die Anforderung an einen virtuellen Computer weiterleitet, der das zwischengespeicherte Zertifikat besitzt, oder wenn ein Konnektivitätsproblem, das den Zugriff auf die Zertifizierungsstelle verhindert hat, behoben wurde, werden zuvor fehlgeschlagene Anforderungen erfolgreich durchgeführt.

Weitere Informationen

Konzepte

ACS-Fehlercodes
ACS-Wiederholungsrichtlinien
Zertifikate und Schlüssel
Problembehandlung von ACS
Beheben von Fehler ACS50008

Weitere Ressourcen

Zertifikatverkettungsmodul (Certificate Chaining Engine, CCE)