我的环境中有 ADFS,它目前通过 Active Directory 进行身份验证非常顺利。我正在尝试启用证书身份验证,以便他们可以使用智能卡进行身份验证。目前,智能卡已导入他们的 AD 帐户,他们可以成功提示选择正确的证书和登录(只是不是从 ADFS)。我还检查了客户端根 CA 是否都位于受信任的根证书颁发机构证书存储区内,并且它们都存在。
在 ADFS 中,我启用了证书身份验证,入站端口为 49443(从客户端到 ADFS 服务器的入站),证书登录选择显示在 ADFS 登录页面上。当我点击证书登录时,我收到以下错误:
“发生错误。请求中未找到有效的客户端证书。用户的证书存储中未找到有效的证书。请关闭并重新打开浏览器后重试并选择其他身份验证方法。
活动 ID:25ef4526-fcb4-4f64-0c00
错误详细信息:MSIS7121:请求不包含可用于身份验证的有效客户端证书。当客户端计算机上没有有效证书时会发生这种情况,例如,如果所有证书都已过期或被撤销。错误代码:0x490
节点名称:a22ee49a-fa2d
错误时间:2022 年 12 月 20 日星期二 14:55:31 GMT
Cookie:已启用
用户代理字符串:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,如 Gecko) Chrome/108.0.0.0 Safari/537.36”
无论是在客户端计算机上还是直接在 Web 浏览器中的 ADFS 服务器上,我都会遇到这种情况。有人遇到过这种情况吗?
答案1
我认为在这种情况下您需要将证书映射到用户。请在您的 AD 服务器上尝试此操作:
要将 x509 证书映射到单个用户,请转到:dsa.msc(AD 用户和计算机)-> 启用高级功能 -> 右键单击用户 -> 名称映射。
您可以在那里将证书映射到尝试使用证书认证进行身份验证的用户。
希望有所帮助。