[W2012][ADFS] Certificaat probleem Event ID 133

dinsdag 16 augustus 2016 09:31

Acties:

Topicstarter

- Windows Server 2012 Standaard (dus geen R2!)
- ADFS v2.1 (a.k.a. ADFS 2012)

Het volgende probleem doet zich voor:

De ADFS service start wel (althans, status is "running"), echter functioneert niet.
In het eventlog zie ik onderstaande melding:

code:

During processing of the Federation Service configuration, the element 'serviceIdentityToken' was found to have invalid data. The private key for the certificate that was configured could not be accessed. The following are the values of the certificate: 
Element: serviceIdentityToken 
Subject: CN=*** (edited)
Thumbprint: *** (edited)
storeName: My 
storeLocation: 0 
Federation Service identity: NT AUTHORITY\NETWORK SERVICE 

The Federation Service will not be able to start until this configuration element is corrected. 

This condition can occur when the certificate is found in the specified store but there is a problem accessing the certificate's private key. Common causes for this condition include the following: 
(1) The certificate was installed from a source that did not include the private key, such as a .cer or .p7b file. 
(2) The certificate's private key was imported (for example, from a .pfx file) into a store that is different from the store specified above. 
(3) The certificate was generated as part of a certificate request that did not specify the "Machine Key" option. 
(4) The Federation Service identity 'NT AUTHORITY\NETWORK SERVICE' has not been granted read access to the certificate's private key. 

User Action 
If the certificate was imported from a source with no private key, choose a certificate that does have a private key, or import the certificate again from a source that includes the private key (for example, a .pfx file). 

If the certificate was imported in a user context, verify that the store specified above matches the store the certificate was imported into. 

If the certificate was generated by a certificate request that did not specify the "Machine Key" option and the key is marked as exportable, export the certificate with a private key from the user store to a .pfx file and import it again directly into the store specified in the configuration file. If the key is not marked as exportable, request a new certificate using the "Machine Key" option. 

If the Federation Service identity has not been granted read access to the certificate's private key, correct this condition using the Certificates  snap-in.

De melding suggereert dat het NETWORK_SERVICE account geen rechten zou hebben tot de private key van het certificaat, echter dit is wel degelijk het geval.

Bij het genereren van de CSR voor het certificaat heb ik gekozen voor een SHA256 hash omdat SHA-1 certificaten tegenwoordig als onveilig gezien worden.

Dit lijkt dan ook het probleem te zijn.
ADFS 2.1 lijkt alleen certificaten te ondersteunen gebaseerd op een CSR vanuit een Legacy template.
Ik heb de standaard CNG template gebruikt en dat lijkt niet te werken.

Het probleem is echter dat wanneer ik kies voor Legacy template, ik onmogelijk een SHA256 hash kan kiezen. Deze template ondersteund alleen SHA-1, dus onveilig.

Na het zoeken op internet kom ik op de volgende blogpost:
http://blog.viitaila.fi/2...rivate-keys-event-id-133/

Dit beschrijft EXACT het probleem wat ik ook ervaar, echter de oplossing kan ik niet implementeren omdat mijn leverancier (RapidSSL) aangeeft geen SHA-1 certificaat meer te kunnen leveren.

Zover ik het zie heb ik dus 2 opties:

1) Toch een SSL leverancier zoeken die nog SHA-1 levert en accepteren dat het onveilig is
2) Server upgraden naar 2012 R2 zodat ik ADFS 3.0 kan gebruiken. -> Erg kostbaar i.v.m. branchespecifieke applicatie met dure consultancy bij deze upgrade. Server 2012 zit nog gewoon in Support bij Microsoft en zou dan toch ook met moderne certificaten overweg moeten kunnen?

Ik neig naar optie 1, maar wil eigenlijk geen onveilige situatie creëren.

Heeft iemand nog een optie om ADFS 2.1 toch aan de gang te krijgen met een SHA256 hashed SSL certificaat?

dinsdag 16 augustus 2016 14:06

Acties:

PerfectPC

https://technet.microsoft...ry/dd807040(v=ws.11).aspx :

In AD FS you can change the Secure Hash Algorithm (SHA) level that is used for digital signatures to either SHA-1 or SHA-256 (more secure). AD FSdoes not support the use of certificates with other hash methods, such as MD5 (the default hash algorithm that is used with the Makecert.exe command-line tool). As a security best practice, we recommend that you use SHA-256 (which is set by default) for all signatures. SHA-1 is recommended for use only in scenarios in which you must interoperate with a product that does not support communications using SHA-256, such as a non-Microsoft product or AD FS 1. x.

https://technet.microsoft...ry/dn554247(v=ws.11).aspx :

By default, AD FS creates a self-signed certificate with 2048 bit keys.
CA issued certificates are also supported and can be changed using the AD FS Management snap-in
CA issued certificates must be stored & accessed through a CSP Crypto Provider.
The token signing certificate cannot be a certificate that uses CNG keys.
AD FS does not require externally enrolled certificates for token signing.

Met andere woorden: je kan wel SHA-256 gebruiken, maar niet in combinatie met (EC)DH etc.

[ Voor 30% gewijzigd door PerfectPC op 16-08-2016 14:10 ]

dinsdag 16 augustus 2016 17:17

Acties:

Zoetjuh

Mijn ervaring is dat het genereren van een aanvraag vanuit de IIS Manager het prettigst werkt.
Vervolgens vanuit daar de aanvraag afronden wanneer je 't certificaat binnen hebt.

De laatste stap is dan om via MMC met de Certificates-Snapin met rechts op je certificaat te drukken en via All Tasks -> Manage Private Keys ook het betreffende account rechten geven.

Dit zou ook gewoon met SHA256 certificaten moeten werken (althans, ik heb dat vaker met dergelijke certificaten opgezet)

[ Voor 13% gewijzigd door Zoetjuh op 16-08-2016 17:18 ]

woensdag 17 augustus 2016 11:14

Acties:

jimbo123

Topicstarter

@PerfectPC, hartelijk dank voor je reactie. ADFS blijkt dus standaard gewoon met SHA256 om te kunnen gaan, echter niet met een CNG based certificaat en ik kon dus geen SHA256 CSR genereren zonder CNG te gebruiken.

@Zoetjuh, via IIS kun je geen SHA256 CSR genereren.

De oplossing was uiteindelijk om naar een andere SSL leverancier te gaan welke mij met een SHA1 CSR toch een SHA256 certificaat uitleverde. Mijn vorige leverancier wilde persé een SHA256 CSR hebben maar dat is dus blijkbaar helemaal niet nodig voor het genereren van een SHA256 certificaat!

woensdag 17 augustus 2016 13:43

Acties:

Zoetjuh

Is niet helemaal waar. Wij genereren ons certificaat ook via IIS (we kiezen voor 2048-bit tijdens de wizard): https://www.ssllabs.com/s...w.ppros.nl&hideResults=on

woensdag 17 augustus 2016 14:32

Acties:

jimbo123

Topicstarter

Zoetjuh schreef op woensdag 17 augustus 2016 @ 13:43:
Is niet helemaal waar. Wij genereren ons certificaat ook via IIS (we kiezen voor 2048-bit tijdens de wizard): https://www.ssllabs.com/s...w.ppros.nl&hideResults=on

Dat is een sleutellengte van 2048 bits.
Er zit dan gewoon een SHA1 hash over het CSR, geen SHA256.

Je zult van je leverancier wel gewoon een SHA256 certificaat krijgen verwacht ik, dus verder maakt het niet uit.

Echter wanneer een leverancier persé een SHA256 CSR wil hebben dan kun je dit niet via IIS genereren.

woensdag 17 augustus 2016 14:48

Acties:

Qwerty-273

Meukposter

***** ***

De hash algo van het uiteindelijke cert geef je niet aan in je csr! De hash algo die je aangeeft bij het maken van een csr, wordt gebruikt voor de hash van je request. De CA kant kan dus perfect een ander algo gebruiken voor de hash. Sommige CA's kiezen echter voor de cert hash alleen hetzelfde algo als de request hash. Hoe dat werkt met RapidSSL is een vraag aan hun.

Wel alle genoemde zaken gecheckt van dit event?

User Action
If the certificate was imported from a source with no private key, choose a certificate that does have a private key, or import the certificate again from a source that includes the private key (for example, a .pfx file).
If the certificate was imported in a user context, verify that the store specified above matches the store the certificate was imported into.
If the certificate was generated by a certificate request that did not specify the "Machine Key" option and the key is marked as exportable, export the certificate with a private key from the user store to a .pfx file and import it again directly into the store specified in the configuration file. If the key is not marked as exportable, request a new certificate using the "Machine Key" option.
If the Federation Service identity has not been granted read access to the certificate's private key, correct this condition using the Certificates snap-in.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

woensdag 17 augustus 2016 19:25

Acties:

jimbo123

Topicstarter

Qwerty-273, je beschrijft exact datgene wat ik een paar posts hoger al heb aangegeven.
Het probleem is daardoor opgelost, echter ik reageerde nog even op de reactie van Zoetjuh.

donderdag 18 augustus 2016 08:13

Acties:

Zoetjuh

En die leert zo ook iedere dag weer bij.

Vraag

Alle reacties