Při přihlášení k Office 365, Azure nebo Intune se zobrazuje upozornění na certifikát od AD FS.

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Problém

Když se pokusíte přihlásit ke cloudové službě Microsoftu, jako je Office 365, Microsoft Azure nebo Microsoft Intune, pomocí federovaného účtu, dostanete ve svém prohlížeči upozornění na certifikát od webové služby AD FS.

Příčina

Tento problém nastane, když se během testu certifikátu vyskytne chyba ověřování.

Abyste mohli certifikát použít k zabezpečení relace SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security), musí certifikát projít následující standardní testy:

  • Certifikát není platný. Pokud je datum na serveru nebo klientovi dřívější než datum platnosti nebo datum vydání certifikátu, nebo pokud je datum na serveru nebo klientovi pozdější než datum platné do nebo datum vypršení platnosti certifikátu, požadavek na připojení vydá upozornění, které je založené na tomto stavu. Abyste měli jistotu, že certifikát provedl tento test, zkontrolujte, jestli platnost certifikátu skutečně vypršela nebo jste ho ještě nefungovali. Pak proveďte jednu z následujících akcí:

    • Pokud už vypršela platnost certifikátu nebo jste ho použili dřív, než se stalo aktivním, musí být vygenerovaný nový certifikát, který má odpovídající data pro doručování, aby se chránila komunikace pro přenosy AD FS.
    • Pokud platnost certifikátu nevyprší nebo jste nepoužili předtím, než se stalo aktivní, ověřte čas na klientských a serverových počítačích a pak je aktualizujte podle potřeby.
  • Neshoda názvu služby. Pokud adresa URL, která se používá k připojení, neodpovídá platným názvům, pro které se dá certifikát použít, požadavek na připojení vydá upozornění, které je založené na tomto stavu. Abyste měli jistotu, že certifikát projde tento test, postupujte takto:

    1. Podívejte se na adresu URL na panelu Adresa prohlížeče, který se používá k navázání připojení.

      Poznámka

      Zaostřete na adresu serveru (například sts.contoso.com) a ne na koncové syntaxi protokolu HTTP (třeba/? Request =...).

    2. Po reprodukování chyby postupujte takto:

      1. Klikněte na Zobrazit certifikátya potom na kartu Podrobnosti . Porovnejte adresu URL od kroku A do pole Předmět a do polí alternativní název předmětu v dialogovém okně vlastnosti certifikátu.

        Snímek obrazovky s neshodnou adresou

      2. Ověřte, že adresa, která se používá v kroku A, není uvedená nebo neodpovídá žádným položkám v těchto polích nebo obojímu. V takovém případě musí být certifikát znovu vydaný, aby obsahoval adresu serveru, která byla použita v kroku A.

  • Certifikát nebyl vydán důvěryhodnou kořenovou certifikační autoritou (CA). Pokud klientský počítač žádající o připojení nedůvěřuje řetězu CÚ, který vygeneroval certifikát, vydá žádost o připojení upozornění, které je založené na tomto stavu. Abyste měli jistotu, že certifikát projde tento test, postupujte takto:

    1. Znovu vygenerujte upozornění na certifikát a kliknutím na tlačítko Zobrazit certifikát Prozkoumejte certifikát. Na kartě cesta certifikátu se zobrazí položka kořenové poznámky, která se zobrazuje nahoře.
    2. Klikněte na tlačítko Start, na příkaz Spustit, zadejte příkaz MMCa klikněte na tlačítko OK.
    3. Klikněte na soubor, na Přidat nebo odebrat modul snap- in, klikněte na certifikáty, klikněte na Přidat, vyberte účet počítače, klikněte na Další, na Dokončita potom na OK.
    4. V modulu snap-in konzoly MMC vyhledejte kořenový adresář konzoly, rozbalte certifikáty, rozbalte Důvěryhodné kořenové certifikační úřady, klikněte na certifikátya ověřte, že certifikát pro položku kořenové poznámky, kterou jste si poznamenali v kroku a, neexistuje.

Řešení

Pokud chcete tento problém vyřešit, použijte v závislosti na varovné zprávě jednu z následujících metod.

Metoda 1: problémy s dobou platnosti

Pokud chcete vyřešit problémy s časově platnými, postupujte takto:

  1. Opakujte vystavení certifikátu s odpovídajícím datem platnosti. Další informace o tom, jak nainstalovat a nastavit nový certifikát SSL pro AD FS, najdete v článku jak po vypršení platnosti změnit certifikát komunikace služby AD FS 2,0.

  2. Pokud je proxy server AD FS nasazený, musíte nainstalovat taky certifikát na výchozí web proxy serveru AD FS pomocí funkcí pro export a import certifikátů. Další informace najdete v tématu odebrání, import a export digitálních certifikátů.

    Důležité

    Ujistěte se, že je soukromý klíč součástí procesu exportu nebo importu. Na proxy serveru nebo serverech AD FS musí být nainstalovaná kopie soukromého klíče.

  3. Zkontrolujte, že nastavení data a času v klientském počítači nebo na všech serverech AD FS jsou správná. Upozornění se zobrazí omylem, pokud je nastavení data operačního systému nesprávné, a nesprávně označuje hodnotu, která je mimo platný fromand platný torange.

Metoda 2: problémy se neshodou názvů služeb

Název služby AD FS se nastaví při spuštění Průvodce konfigurací AD FS a je založen na certifikátu, který je svázaný s výchozím webem. Pokud chcete vyřešit problémy s neshodou názvů služeb, postupujte takto:

  1. Pokud se k vygenerování náhradního certifikátu použil nesprávný název certifikátu, postupujte takto:

    1. Ověřte, že název certifikátu není správný.
    2. Znovu vydejte správný certifikát. Další informace o tom, jak nainstalovat a nastavit nový certifikát SSL pro AD FS, najdete v článku jak po vypršení platnosti změnit certifikát komunikace služby AD FS 2,0.
  2. Pokud je idP koncový bod AD FS nebo inteligentní odkazy pro vlastní přihlášení, zkontrolujte, jestli se název příslušného serveru shoduje s certifikátem, který je k AD FS přiřazený.

  3. Ve výjimečných případech může být tato podmínka také způsobena nesprávným pokusem o změnu názvu služby AD FS po implementaci. Další informace o tom, jak ručně změnit název služby AD FS, najdete v tématu AD FS 2,0: jak změnit název služby FS.

    Důležité

    Tyto změny způsobí výpadek služby AD FS. Po aktualizaci musíte pomocí těchto kroků obnovit funkce jednotného přihlašování (SSO):

    1. Spusťte rutinu Update-MSOLFederatedDomain na všech federovaných oborech názvů.
    2. Znovu spusťte Průvodce konfigurací nastavení pro všechny proxy serverů AD FS v prostředí.

Metoda 3: vydávání vztahů důvěryhodnosti certifikačních řetězců

Problémy s důvěryhodností vystavující certifikační autority můžete vyřešit pomocí jedné z následujících úloh:

  • Získejte a používejte certifikát ze zdroje, který se účastní programu Microsoft Root Certificate.
  • Požádejte vystavitele certifikátu do programu Microsoft Root Certificate. Další informace o kořenovém certifikačním programu a provozu kořenových certifikátů v systému Windows naleznete v tématu program Microsoft Root Certificate.

Upozornění

Nedoporučujeme, aby služba AD FS používala interní certifikační autoritu, když je pro jednotné přihlašování k Office 365. Pokud použijete řetěz certifikátů, který není důvěryhodný pro datové centrum Office 365, způsobí selhání připojení Microsoft Outlooku k Microsoft Exchange Online, když se Outlook používá s funkcemi jednotného přihlašování.

Další informace

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.