ADFS 3.0客户端证书身份验证不起作用 [英] ADFS 3.0 Client certificate authentication not working

问题描述

大家好

我刚刚在公司内推出了ADFS 3.0，一切都运行良好，但现在我想启用客户端证书身份验证，这就是好玩已经开始了。

I’ve just rolled out ADFS 3.0 within my company and everything is working great but now I would like to enable Client certificate authentication and this is where the fun has started.

我的环境如下：

Windows 2012 r2在Windows 2012上具有域/林功能级别的域控制器r2

Windows 2012 r2 Domain controller with domain/forest functional level at windows 2012 r2

一个域控制器作为证书颁发机构安装，目前提供客户端证书，用于通过TMG进行客户端身份验证

One domain controller installed as a certificate authority and currently giving out client certificate which is used for client authentication through TMG

ADFS运行windows 2012 r2的服务器加入我们的域

ADFS server running windows 2012 r2 which is joined to our domain

DMZ中的ADFS服务器，它是ADFS代理服务器，它位于"WORKGROUP"

ADFS server in the DMZ which is the ADFS proxy server and it in a "WORKGROUP"

已打开的防火墙端口是HTTP，HTTPS和tcp / 49443

Firewall ports which have been opened are HTTP, HTTPS and tcp/49443

当我启用cert auth并尝试登录以下URL时（https://sts.my domain.com） /adfs/ls/IdpInitiatedSignon.aspx)
  我收到以下错误：

When I enable cert auth and try to signin on the following URL (https://sts.my domain.com/adfs/ls/IdpInitiatedSignon.aspx)  I get the following error:

发生错误

验证尝试失败。选择其他登录选项或关闭网络浏览器并重新登录。有关详细信息，请与管理员联系。

使用其他选项登录

错误详情

• 活动ID：00000000-0000-0000-1601-0080000000f2
• 错误时间：星期三，2014年12月10日13:03:26 GMT
• Cookie：启用
• 用户代理字符串：Mozilla / 5.0（Windows NT 6.3; WOW64）AppleWebKit / 537.36（KHTML，如Gecko）Chrome / 39.0.2171.71 Safari / 537.36

• Activity ID: 00000000-0000-0000-1601-0080000000f2
• Error time: Wed, 10 Dec 2014 13:03:26 GMT
• Cookie: enabled
• User agent string: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36

我已尝试在内部运行（使用chrome作为我的浏览器以确保提示我的用户证书）以避免上述结果出现防火墙问题。

I’ve tried running this internally (Using chrome as my browser to ensure I get prompted for my users cert) to avoid firewall issues with the above result.

当我查看ADFS服务器上的事件查看器时，会记录以下内容：

When I have a look at the event viewer on the ADFS server the following is logged:

级别：错误

来源：  AD FS

事件ID：364

任务类别：无

Gerneral：

在联邦被动请求期间遇到错误。

附加数据

协议名称：

Saml

依赖方：

http：//sts.< my domain> .com / adfs / services / trust

http://sts.<my domain>.com/adfs/services/trust

例外细节：

Microsoft.IdentityServer.AuthenticationFailedException：客户端提供的X509Certificate存在问题。错误代码为：-2146885613

  
at Microsoft.IdentityServer.Web.Authentication.TlsClientAuthenticationHandler.ProcessIntranetRequest（ProtocolContext context，WrappedHttpListenerRequest request）

   at Microsoft.IdentityServer.Web.Authentication.TlsClientAuthenticationHandler.ProcessIntranetRequest(ProtocolContext context, WrappedHttpListenerRequest request)

  
at Microsoft.IdentityServer.Web.Authentication.AuthenticationOptionsHandler.Process（ProtocolContext context）

   at Microsoft.IdentityServer.Web.Authentication.AuthenticationOptionsHandler.Process(ProtocolContext context)

  
at Microsoft.IdentityServer.Web.PassiveProtocolTlsClientListener.OnGetContext（WrappedHttpListenerContext context）

   at Microsoft.IdentityServer.Web.PassiveProtocolTlsClientListener.OnGetContext(WrappedHttpListenerContext context)

我现在处于亏损状态，除此之外我还应该尝试使用它。有人可以建议我应该如何处理或者我应该如何解决这个问题？

I’m now at a loss as what else I should try to get this working. Can anyone advise how I should proceed or how I should be troubleshooting this problem?

非常感谢提前

推荐答案

证书上的UPN字段是否填充了用户的userPrincipalName？ 是否使用标志，EKU，CRL以及证书上的所有其他位是否适合ADFS的特定要求？

Is the UPN field on the certificate populated with the user's userPrincipalName?  Are the usage flags, EKUs, CRL, and all the other bits on the cert proper and appropriate for ADFS's particular requirements?

这篇关于ADFS 3.0客户端证书身份验证不起作用的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！