Když se přihlásíte k Microsoftu 365, Azure nebo Intune, obdržíte upozornění certifikátu ze služby AD FS.

  • Článek
  • Platí pro:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problém

Když se pomocí federovaného účtu pokusíte přihlásit ke cloudové službě Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune, obdržíte z webové služby AD FS v prohlížeči upozornění na certifikát.

Příčina

K tomuto problému dochází, když během testu certifikátu dojde k chybě ověření.

Aby bylo možné certifikát použít k zabezpečení relace SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security), musí certifikát projít následujícími standardními testy:

  • Certifikát není časově platný. Pokud je datum na serveru nebo klientovi dřívější než datum Platnost od nebo datum vydání certifikátu nebo pokud je datum na serveru nebo klientovi pozdější než datum Platnost k datu platnosti nebo vypršení platnosti certifikátu, zobrazí žádost o připojení upozornění založené na tomto stavu. Pokud chcete mít jistotu, že certifikát projde tímto testem, zkontrolujte, jestli platnost certifikátu skutečně vypršela nebo jestli byl použit před tím, než se stal aktivním. Pak proveďte jednu z následujících akcí:

    • Pokud platnost certifikátu skutečně vypršela nebo byl použit před jeho aktivací, musí se vygenerovat nový certifikát s odpovídajícími daty doručení, které pomáhají zabezpečit komunikaci pro provoz služby AD FS.
    • Pokud platnost certifikátu nevypršela nebo se nepoužil před tím, než se stal aktivním, ověřte čas na klientských a serverových počítačích a pak je podle potřeby aktualizujte.

  • Neshoda názvů služeb Pokud adresa URL použitá k vytvoření připojení neodpovídá platným názvům, pro které je možné certifikát použít, zobrazí žádost o připojení upozornění založené na tomto stavu. Pokud chcete mít jistotu, že certifikát projde tímto testem, postupujte takto:

    1. Zkontrolujte adresu URL na panelu Adresa prohlížeče, který se používá k navázání připojení.

      Poznámka

      Zaměřte se na adresu serveru (například sts.contoso.com) a ne na syntaxi HTTP na konci (například /?request=...).

    2. Po reprodukování chyby postupujte takto:

      1. Klikněte na Zobrazit certifikáty a potom klikněte na kartu Podrobnosti . Porovnejte adresu URL z kroku A do pole Předmět a pole Alternativní název subjektu v dialogovém okně Vlastnosti certifikátu.

        Snímek obrazovky znázorňující chybu na stránce Neshodná adresa

      2. Ověřte, že adresa použitá v kroku A není uvedená nebo se neshoduje s žádnými položkami v těchto polích nebo s oběma. V takovém případě musí být certifikát znovu vydán tak, aby zahrnoval adresu serveru použitou v kroku A.

  • Certifikát nebyl vydán důvěryhodnou kořenovou certifikační autoritou (CA). Pokud klientský počítač, který žádá o připojení, nedůvěřuje řetězu certifikační autority, která certifikát vygenerovala, vydá žádost o připojení upozornění založené na tomto stavu. Pokud chcete mít jistotu, že certifikát projde tímto testem, postupujte takto:

    1. Znovu vygenerujte upozornění certifikátu a kliknutím na Zobrazit certifikát certifikát zkontrolujte. Na kartě Cesta k certifikaci si všimněte položky kořenové poznámky, která se zobrazuje nahoře.
    2. Klikněte na Start, klikněte na Spustit, zadejte MMC a potom klikněte na OK.
    3. Klikněte na Soubor, klikněte na Přidat nebo odebrat modul snap-in, klikněte na Certifikáty, na Přidat, vyberte Účet počítače, klikněte na Další, na Dokončit a potom na OK.
    4. V modulu snap-in MMC vyhledejte kořen konzoly, rozbalte Certifikáty, rozbalte Položku Důvěryhodné kořenové certifikační autority, klikněte na Certifikáty a ověřte, že neexistuje certifikát pro položku kořenové poznámky, kterou jste si poznamenali v kroku A.

Řešení

Pokud chcete tento problém vyřešit, použijte jednu z následujících metod v závislosti na zprávě upozornění.

Metoda 1: Problémy s časovou platností

Pokud chcete vyřešit problémy s časovým limitem, postupujte takto.

  1. Znovu vydáte certifikát s odpovídajícím datem platnosti. Další informace o tom, jak nainstalovat a nastavit nový certifikát SSL pro službu AD FS, najdete v tématu Změna certifikátu komunikace služby AD FS 2.0 po vypršení jeho platnosti.

  2. Pokud byl nasazen proxy server služby AD FS, musíte certifikát nainstalovat také na výchozí web proxy služby AD FS pomocí funkcí exportu a importu certifikátů. Další informace najdete v tématu Odebrání, import a export digitálních certifikátů.

    Důležité

    Ujistěte se, že je privátní klíč zahrnutý v procesu exportu nebo importu. Proxy server nebo servery služby AD FS musí mít také nainstalovanou kopii privátního klíče.

  3. Ujistěte se, že nastavení data a času na klientském počítači nebo na všech serverech služby AD FS je správné. Pokud je nastavení data operačního systému nesprávné, zobrazí se upozornění chybově a nesprávně se zobrazí hodnota, která je mimo rozsah Platné od a Platné.

Metoda 2: Problémy s neshodou názvů služeb

Název služby AD FS se nastaví při spuštění Průvodce konfigurací služby AD FS a je založený na certifikátu vázaném na výchozí web. Pokud chcete vyřešit problémy s neshodou názvů služeb, postupujte takto:

  1. Pokud se k vygenerování náhradního certifikátu použil nesprávný název certifikátu, postupujte takto:

    1. Ověřte, že je název certifikátu nesprávný.
    2. Znovu vyušte správný certifikát. Další informace o tom, jak nainstalovat a nastavit nový certifikát SSL pro službu AD FS, najdete v tématu Změna certifikátu komunikace služby AD FS 2.0 po vypršení jeho platnosti.

  2. Pokud se koncový bod zprostředkovatele identity služby AD FS nebo inteligentní propojení využívají pro přizpůsobené přihlašování, ujistěte se, že použitý název serveru odpovídá certifikátu přiřazeného ke službě AD FS.

  3. Ve výjimečných případech může být tato podmínka způsobena také nesprávným pokusem o změnu názvu služby AD FS po implementaci.

    Důležité

    Tyto druhy změn způsobí výpadek služby AD FS. Po aktualizaci je nutné obnovit funkci jednotného přihlašování (SSO) následujícím postupem:

    1. Ve všech federovaných oborech názvů spusťte rutinu Update-MSOLFederatedDomain.
    2. Znovu spusťte průvodce konfigurací instalace pro všechny proxy servery služby AD FS v prostředí.

Poznámka

Moduly PowerShellu Azure AD a MSOnline jsou k 30. březnu 2024 zastaralé. Další informace najdete v aktualizaci o vyřazení z provozu. Po tomto datu se podpora těchto modulů omezí na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou fungovat až do 30. března 2025.

Pokud chcete pracovat s Microsoft Entra ID (dříve Azure AD), doporučujeme migrovat na Microsoft Graph PowerShell. Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Po 30. červnu 2024 může dojít k přerušení verze 1.0.x nástroje MSOnline.

Metoda 3: Problémy s vydáváním důvěryhodnosti certifikačního řetězce

Problémy s důvěryhodností vydávající certifikační autority (CA) můžete vyřešit provedením jedné z následujících úloh:

  • Získejte a používejte certifikát ze zdroje, který se účastní programu Microsoft Root Certificate Program.
  • Požádejte vystavitele certifikátu, aby se zaregistroval do programu Microsoft Root Certificate Program. Další informace o programu kořenových certifikátů a provozu kořenových certifikátů v systému Windows naleznete v tématu Program kořenových certifikátů společnosti Microsoft.

Upozornění

Nedoporučujeme, aby služba AD FS používala interní certifikační autoritu, pokud se využívá pro jednotné přihlašování s Microsoftem 365. Použití řetězu certifikátů, který není pro datové centrum Microsoftu 365 důvěryhodný, způsobí, že připojení k Microsoft Outlooku Microsoft Exchange Online selže, když se Outlook používá s funkcemi jednotného přihlašování.

Další informace

Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.