Поделиться через

Устранение ошибки ACS50017

  • Статья

Обновлено: 19 июня 2015 г.

Область применения: Azure

В этом разделе содержится информация о возможных причинах ошибки ACS50017 и способах ее устранения.

Вероятные причины ошибки ACS50017

ACS возвращает ACS50017, если он не может создать цепочку сертификатов для сертификата подписи доверенного поставщика удостоверений, например доверенный сервер ADFS. Эта ошибка возникает при следующих условиях.

  1. ACS не может проверить сертификат, используемый для создания цифровой подписи маркера от поставщика удостоверений.

  2. Коммерческий сертификат в цепочке сертификатов не имеет расширения «метод доступа = поставщик центра сертификации», которое содержит ссылку на сертификат непосредственного родителя. Дополнительные сведения о кодах ошибок ACS см. в разделе "Коды ошибок ACS".

  3. ACS не может получить промежуточные сертификаты из корневого центра сертификации, чтобы проверить цепочку доверия.

Ошибка ACS50017 обычно появляется как часть комплексного сообщения об ошибке, которое, вероятно, будет содержать сообщение об ошибке ACS50008.

ACS20001: An error occurred while processing a WS-Federation sign-in 
Inner message: ACS50008 : SAML token is invalid
ACS50017: Certificate validation failed for certificate '<Certificate subject name>' issued by '<Certificate issuer name>'. StatusInformation: 'A certificate chain could not be built to a trusted root authority.&#xD;&#xA;'. X509ChainStatusFlags: 'PartialChain'

ACS требует, чтобы коммерческие сертификаты, полученные из доверенного центра сертификации, включали в себя расширение "Доступ к данным центра" с расширением Access Method=Certification Authority Issuer. Значение расширения должно содержать URL-адрес общедоступной загружаемой копии своего родительского сертификата (.crt). Это требование применяется к каждому сертификату в цепочке сертификатов, за исключением корневого сертификата и его немедленного дочернего сертификата. ACS возвращает ошибку ACS50017, если эти условия не выполнены.

Этот код показывает формат расширения поставщика центра сертификации для вымышленного сертификата.

[1]Authority Info Access
     Access Method=Certification Authority Issuer (1.2.3.4.5.6.7.88.9)
     Alternative Name:
          URL=http://pki.fabrikam.org/Certificate/Fabrikam_RCA.crt

ACS загружает и кэширует сертификаты в промежуточном хранилище сертификатов на виртуальных машинах ACS. Промежуточный сертификат остается доступным на виртуальной машине, пока она не будет перезапущена. Кэш повышает производительность и позволяет ACS получить доступ к промежуточному сертификату даже в том случае, если проблемы с сетью препятствуют обращению к корневому центру сертификации.

ACS возвращает ошибку ACS50017, если запись сертификата не найдена в промежуточном хранилище сертификатов (кэш) на виртуальной машине, а сетевой вызов корневого центра сертификации завершается сбоем. Ошибка ACS50017 может возникать периодически, если Windows подсистема балансировки нагрузки Aure направляет клиент ACS на виртуальную машину ACS, которая еще не кэширует сертификат для поставщика удостоверений.

Возможные решения для ошибки ACS50017

Используйте любой из следующих методов для устранения проблемы и предотвращения повторения ошибки.

  • Если существует проблема с коммерческим сертификатом в цепочке сертификатов, можно заменить самозаверяющий сертификат для коммерческого сертификата. Дополнительные сведения см. в разделе "Сертификаты и ключи".

  • Если сертификат в цепочке сертификатов не содержит требуемое расширение «метод доступа = поставщик центра сертификации», расширение не содержит URL-адрес или URL-адрес не содержит ссылку на общедоступную копию родительского сертификата, необходимо заменить сертификат.

  • Если сертификат содержит все необходимые элементы, но ACS не может получить его после трех попыток, операция может быть истекла из-за временных сетевых условий или проблемы на сервере центра сертификации. Поставщик сертификата должен иметь возможность повысить производительность приобретения сертификата.

  • Повторите запрос. Если балансировщик нагрузки направляет запрос к виртуальной машине с кэшированным сертификатом или проблема подключения, которая не позволяла получить доступ к центру сертификации, устранена, запросы, которые ранее завершались сбоем, будут выполнены успешно.

См. также:

Основные понятия

Коды ошибок ACS
Рекомендации по повторам ACS
Сертификаты и ключи
Устранение неполадок ACS
Устранение ошибки ACS50008

Другие ресурсы

Модуль цепочки сертификатов (CCE)