根据从网络团队收到的信息,我确定问题很可能出在 WAN 上的应用服务器上。
- 替换证书后,我运行了 PowerShell 命令 Set-AdfsSslCertificate –Thumbprint XXXX(此命令设置新证书的指纹)
- 运行上述命令后,运行命令 Get-AdfsSslCertificate 此命令确认设置了正确的证书指纹。
- 可能需要完成的唯一其他任务是设置服务帐户的权限。根据我的研究,这看起来不错。
- 为什么会调用下面引用 0.0.0.0:443 的错误?
服务器和版本 Windows Server 2012 R2 ADFS 3.0
问题:更换证书并执行所需步骤后,QA 系统无法运行。日志中生成错误。
应用程序服务器日志:使用端点 0.0.0.0:443 的 SSL 配置时发生错误。错误状态代码包含在返回的数据中。错误代码 15021
Web 应用程序代理日志:Web 应用程序代理服务启动失败
Web 应用程序代理服务:服务因以下错误而终止:无法与服务器建立连接。错误代码 7023
答案1
首先以管理员身份运行 CMD
netsh http 显示 sslcert
查找已失效的证书或以下示例使用以下命令删除它们:
netsh http 删除 sslcert ipport=0.0.0.0:443
那你应该会很好。
答案2
443转到您的 IIS 网站的绑定,检查您是否为端口选择了有效的证书。- 如果您已经拥有,请检查该证书的有效性(如果已用尽)。尝试更改证书以查看其是否已损坏。
答案3
在提升的命令提示符中运行以下命令并检查 AD FS 端的配置。
netsh http sh sslcert
您将看到多个端点以及与每个端点关联的证书。AD FS 使用基于名称的绑定,因此默认情况下不会为 0.0.0.0:443 创建一个。除非您有 IIS 或已经为 http.sys 做了自己的绑定,否则它们不会出现在那里。
我期望您有一个在 0.0.0.0:443 中引用的旧证书。这是根据可用数据做出的猜测。
您应该进行网络跟踪并在 WAP 服务启动时查看是否成功与 AD FS 建立 TLS 会话。