Když se přihlásíte k Office 365, Azure nebo Intune, zobrazí se vám upozornění na certifikát ze služby AD FS.

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Problém

Když se pokusíte přihlásit k cloudové službě Microsoftu, jako je Office 365, Microsoft Azure nebo Microsoft Intune pomocí federovaného účtu, zobrazí se upozornění na certifikát od webové služby AD FS v prohlížeči.

Příčina

K tomuto problému dochází, když během testu certifikátu dojde k chybě ověření.

Aby bylo možné certifikát použít k zabezpečení relace protokol SSL (Secure Sockets Layer) (SSL) nebo TLS (Transport Layer Security), musí certifikát projít následujícími standardními testy:

  • Certifikát není platný čas. Pokud je datum na serveru nebo klientovi dřívější než datum Platné od nebo datum vydání certifikátu nebo pokud je datum na serveru nebo klientovi pozdější než datum Platné k datu nebo datum vypršení platnosti certifikátu, zobrazí žádost o připojení upozornění založené na tomto stavu. Abyste se ujistili, že certifikát úspěšně projde tímto testem, zkontrolujte, jestli certifikát skutečně vypršel nebo byl použit, než se stal aktivním. Potom udělejte jednu z těchto akcí:

    • Pokud platnost certifikátu vypršela nebo byla použita před tím, než se stal aktivním, musí být vygenerován nový certifikát, který obsahuje příslušná data doručení, aby byla zabezpečena komunikace pro provoz služby AD FS.
    • Pokud platnost certifikátu nevyprší nebo nebyla použita před tím, než se aktivoval, ověřte čas na klientských a serverových počítačích a podle potřeby je aktualizujte.
  • Neshoda názvu služby Pokud adresa URL použitá k připojení neodpovídá platným názvům, pro které může být certifikát použit, zobrazí žádost o připojení upozornění založené na tomto stavu. Abyste se ujistili, že certifikát projde tímto testem, postupujte takto:

    1. Zkontrolujte adresu URL v adresovém řádku prohlížeče, který se používá k navázání připojení.

      Poznámka

      Soustřeďte se na adresu serveru (například sts.contoso.com) a ne na koncové syntaxi PROTOKOLU HTTP (například /?request=...).

    2. Po reprodukci chyby postupujte takto:

      1. Klikněte na Zobrazit certifikáty a potom klikněte na kartu Podrobnosti. Porovnejte adresu URL od kroku A k poli Předmět a k polím Alternativní název předmětu v dialogovém okně Vlastnosti certifikátu.

        Snímek obrazovky znázorňuje chybu na stránce Neodpovídající adresa.

      2. Ověřte, že adresa použitá v kroku A není uvedená nebo neodpovídá žádným položkách v těchto polích nebo obojím. V takovém případě musí být certifikát znovu vysuován tak, aby zahrnoval adresu serveru, která byla použita v kroku A.

  • Certifikát nevydá důvěryhodná kořenová certifikační autorita (CA). Pokud klientský počítač, který žádá o připojení, nepověřuje řetězci certifikační autority, který certifikát vygeneroval, zobrazí žádost o připojení upozornění založené na tomto stavu. Abyste se ujistili, že certifikát projde tímto testem, postupujte takto:

    1. Znovu vygenerujte upozornění na certifikát a kliknutím na Zobrazit certifikát certifikát zkontrolujte. Na kartě Cesta k certifikaci si všimněte položky kořenové poznámky zobrazené nahoře.
    2. Klikněte na Start, klikněte na Spustit, zadejte MMC a potom klikněte na OK.
    3. Klikněte na Soubor, klikněte na Přidat nebo odebrat modul snap-in, klikněte na Certifikáty, klikněte na Přidat, vyberte Účet počítače, klikněte na Další, klikněte na Dokončit a potom klikněte na OK.
    4. V modulu snap-in konzoly MMC vyhledejte kořenový adresář konzoly , rozbalte certifikáty , rozbalte položku Důvěryhodné kořenové certifikační autority, klikněte na Certifikáty a ověřte, že certifikát pro položku kořenové poznámky, kterou jste si v kroku A uvedli, neexistuje.

Řešení

Pokud chcete tento problém vyřešit, použijte jednu z následujících metod v závislosti na zprávě s upozorněním.

Metoda 1: Pokaždé platné problémy

Pokud chcete vyřešit krát platné problémy, postupujte takto.

  1. Znovu prodáte certifikát s příslušným datem platnosti. Další informace o tom, jak nainstalovat a nastavit nový certifikát SSL pro službu AD FS, najdete v článku Jak změnit komunikační certifikát služby AD FS 2.0po vypršení jeho platnosti.

  2. Pokud byl nasazen proxy server služby AD FS, musíte certifikát nainstalovat také na výchozí web proxy serveru služby AD FS pomocí funkcí exportu a importu certifikátů. Další informace najdete v tématu Odebrání, import a export digitálních certifikátů.

    Důležité

    Ujistěte se, že je soukromý klíč zahrnutý do procesu exportu nebo importu. Proxy server nebo servery služby AD FS musí mít nainstalovanou kopii soukromého klíče.

  3. Zkontrolujte, jestli je nastavení data a času na klientském počítači nebo na všech serverech služby AD FS správné. Upozornění se zobrazí chybně, pokud je nastavení data operačního systému nesprávné a nesprávně označí hodnotu, která není platná a platná pro uspořádání.

Metoda 2: Problémy s neshodou názvů služeb

Název služby AD FS se nastaví při spuštění Průvodce konfigurací služby AD FS a je založený na certifikátu, který je svázán s výchozím webem. Pokud chcete vyřešit problémy s neshodou názvů služeb, postupujte takto:

  1. Pokud se k vygenerování náhradního certifikátu použil nesprávný název certifikátu, postupujte takto:

    1. Ověřte, jestli je název certifikátu nesprávný.
    2. Znovu vysílte správný certifikát. Další informace o tom, jak nainstalovat a nastavit nový certifikát SSL pro službu AD FS, najdete v článku Jak změnit komunikační certifikát služby AD FS 2.0po vypršení jeho platnosti.
  2. Pokud se koncový bod IDP služby AD FS nebo inteligentní odkazy využívají pro přizpůsobené přihlašovací prostředí, zkontrolujte, jestli použitý název serveru odpovídá certifikátu, který je přiřazený ke službě AD FS.

  3. Ve výjimečných případech může být tato podmínka způsobena také nesprávným pokusem o změnu názvu služby AD FS po implementaci. Další informace o ruční změně názvu služby koncových bodů služby AD FS najdete v tématu AD FS 2.0: Jak změnitnázev služby FEDERATION SERVICE .

    Důležité

    Tyto typy změn způsobí výpadku služby AD FS. Po aktualizaci je nutné obnovit funkce jednotného přihlašování (SSO) následujícím postupem:

    1. Spusťte rutinu Update-MSOLFederatedDomain na všech federovaných oborech názvů.
    2. Spusťte znovu průvodce konfigurací instalace pro všechny proxy servery služby AD FS v prostředí.

Metoda 3: Vydávání problémů s důvěryhodností certifikačního řetězce

Problémy s důvěryhodností vystavující certifikační autority (CA) můžete vyřešit provedením jednoho z následujících úkolů:

  • Získejte a používejte certifikát ze zdroje, který se účastní programu Microsoft Root Certificate Program.
  • Požádejte vydavatele certifikátu, aby se zaregistroval v programu Microsoft Root Certificate Program. Další informace o programu kořenových certifikátů a o fungování kořenových certifikátů v Windows najdete v tématu Microsoft Root Certificate Program.

Upozornění

Nedoporučujeme, aby služba AD FS při používání jednotného přihlašování s Office 365. Použití řetězu certifikátů, který není důvěryhodný datovým centrem Office 365, způsobí, že připojení Microsoftu Outlook k Microsoft Exchange Online selže při použití Outlook s funkcemi jednotného přihlašování.

Další informace

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.