Como corrigir o erro ACS50017

  • Artigo

Atualizado em: 19 de junho de 2015

Aplica-se ao Azure

Este tópico fornece informações sobre possíveis causas e soluções para o erro ACS50017.

Causas prováveis do ACS50017

O ACS retorna o ACS50017 quando não pode criar uma cadeia de certificados para um certificado de autenticação de um provedor de identidade confiável, como um servidor ADFS confiável. Esse erro ocorre nas seguintes condições.

  1. O ACS não pode validar o certificado usado para gerar a assinatura digital de um token do provedor de identidade.

  2. Um certificado comercial na cadeia de certificados não possui a extensão “Método de Acesso = Emissor da Autoridade de Certificação”, que inclui um link para o certificado pai imediato. Para obter mais informações sobre códigos de erro acs, consulte códigos de erro acs.

  3. O ACS não pode recuperar os certificados intermediários da autoridade de certificação raiz para verificar a cadeia de confiança.

O ACS50017 normalmente aparece como parte de uma mensagem de erro abrangente que pode incluir a mensagem de erro ACS50008.

ACS20001: An error occurred while processing a WS-Federation sign-in 
Inner message: ACS50008 : SAML token is invalid
ACS50017: Certificate validation failed for certificate '<Certificate subject name>' issued by '<Certificate issuer name>'. StatusInformation: 'A certificate chain could not be built to a trusted root authority.&#xD;&#xA;'. X509ChainStatusFlags: 'PartialChain'

O ACS exige que os certificados comerciais adquiridos de uma autoridade de certificação confiável incluam um "Acesso de informações de autoridade" com a extensão "Access Method=Certification Authority Issuer". O valor da extensão deve incluir uma URL que tenha um link para uma cópia publicamente disponível para download do seu certificado pai (.crt). Esse requisito se aplica a todos os certificados na cadeia de certificados, exceto ao certificado raiz e ao certificado filho imediato. O ACS retornará o erro ACS50017 se essas condições não forem atendidas.

Esse código mostra o formato da extensão do Emissor de Autoridade de Certificação para obter um certificado fictício.

[1]Authority Info Access
     Access Method=Certification Authority Issuer (1.2.3.4.5.6.7.88.9)
     Alternative Name:
          URL=http://pki.fabrikam.org/Certificate/Fabrikam_RCA.crt

O ACS baixa e armazena em cache certificados em um repositório de certificados intermediário nas VMs (máquinas virtuais) do ACS. Os certificados intermediários permanecem disponíveis na VM até que ela seja reciclada. O cache melhora o desempenho e permite que o ACS acesse o certificado intermediário mesmo quando problemas de rede impedem que ele entre em contato com a autoridade de certificação raiz.

O ACS retorna o erro ACS50017 quando uma entrada para o certificado não é encontrada no repositório de certificados intermediário (cache) na VM e uma chamada de rede para a autoridade de certificação raiz falha. O erro ACS50017 poderá ocorrer intermitentemente se o Windows balanceador de carga do Aure direcionar um cliente ACS para uma VM ACS que ainda não tenha armazenado em cache o certificado para o provedor de identidade.

Possíveis soluções para o ACS50017

Use qualquer um dos seguintes métodos para resolver o problema e impedir uma recorrência do erro.

  • Se houver um problema com um certificado comercial na cadeia de certificados, é possível substituir um certificado autoassinado pelo certificado comercial. Para obter mais informações, consulte Certificados e Chaves.

  • Se um certificado da cadeia de certificados não incluir a extensão “Método de Acesso = Emissor da Autoridade de Certificação” ou a extensão não incluir uma URL, ou a URL não tiver um link disponível publicamente para uma cópia do certificado pai, você precisa substituir o certificado.

  • Se o certificado tiver todos os elementos necessários, mas o ACS não puder adquirê-lo após três tentativas, a operação poderá estar atingindo o tempo limite devido a condições temporárias de rede ou um problema no servidor de autoridade de certificação. O provedor de certificado poderá melhorar o desempenho da aquisição do certificado.

  • Tente novamente a solicitação. Se o balanceador de carga dirigir a solicitação para uma VM que possui o certificado armazenado em cache ou um problema de conectividade que impediu o acesso à autoridade de certificação for resolvido, as solicitações que falharam anteriormente serão bem sucedidas.

Consulte Também

Conceitos

Códigos de erro do ACS
Diretrizes para repetição de ACS
Certificados e chaves
Solução de problemas de ACS
Como corrigir o erro ACS50008

Outros recursos

Mecanismo do Encadeamento de Certificados (CCE)