Tanúsítványértességgel kapcsolatos figyelmeztetés jelenik meg az AD FS szolgáltatástól, amikor bejelentkezik az Office 365-be, az Azure-ba vagy az Intune-ba

Megjegyzés

Az Office 365 ProPlus átnevezésre került Microsoft 365 Vállalati alkalmazásokra. A változásról további információért olvassa el ezt a blogbejegyzést.

Probléma

Amikor összevont fiókkal próbál bejelentkezni egy Microsoft felhőszolgáltatásba, például az Office 365-be, a Microsoft Azure-ba vagy a Microsoft Intune-ba, tanúsítványértességgel kapcsolatos figyelmeztetést kap az AD FS webszolgáltatástól a böngészőben.

A probléma oka

Ez a probléma akkor fordul elő, ha érvényesítési hiba történik egy tanúsítványteszt során.

Mielőtt egy tanúsítványt használva biztonságossá tene egy SSL- vagy TLS-munkamenetet, a tanúsítványnak el kell végeznie az alábbi szokásos teszteket:

  • A tanúsítvány nem érvényes. Ha a kiszolgálón vagy ügyfélen a dátum korábbi, mint az Érvényesség dátuma és a tanúsítvány kibocsátásának dátuma, vagy ha a kiszolgálón vagy az ügyfélen későbbi a dátum, mint az Érvényes dátum vagy a tanúsítvány lejárati dátuma, a kapcsolatkérés egy, az állapoton alapuló figyelmeztetést ad ki. Ha meg kell győződni arról, hogy a tanúsítvány megfelel ennek a tesztnek, ellenőrizze, hogy a tanúsítvány valóban lejárt-e, vagy alkalmazva lett-e, mielőtt aktívvá vált. Ezután az alábbi műveletek közül választhat:

    • Ha a tanúsítvány valóban lejárt, vagy mielőtt aktívvá vált volna, egy új tanúsítványt kell generálni, amely rendelkezik a megfelelő kézbesítési dátumokkal az AD FS-adatforgalom kommunikáció biztonságának érdekében.
    • Ha a tanúsítvány nem jár le, vagy nem volt alkalmazva az aktívvá vált, ellenőrizze az időt az ügyfélszámítógépeken és a kiszolgálói számítógépeken, majd szükség szerint frissítse őket.
  • Szolgáltatásnév eltérés. Ha a kapcsolat létesítéhez használt URL-cím nem egyezik meg az érvényes névvel, amelyhez a tanúsítványt fel lehet használni, a kapcsolatkérés egy figyelmeztetést ad ki, amely ezen az állapoton alapul. Ha meg kell győződni arról, hogy a tanúsítvány megfelel a tesztnek, kövesse az alábbi lépéseket:

    1. Vizsgálja meg a kapcsolatot létesítő böngésző címsorában található URL-címet.

      Megjegyzés

      A kiszolgáló címére (például a cím sts.contoso.com) koncentráljon, ne a http szintaxisra (például :?request=...).

    2. A hiba reprodukálásához kövesse az alábbi lépéseket:

      1. Kattintson a Tanúsítványok megtekintése gombra, majd a Részletek fülre. Hasonlítsa össze az A lépés URL-címét a Tárgy és a tanúsítvány Tulajdonságok párbeszédpaneljének Tulajdonos alternatív neve mezőivel.

        Képernyőkép: nem egyező címlap

      2. Győződjön meg arról, hogy az A. lépésben használt cím nem szerepel a listában, vagy nem egyezik a mezők egyik bejegyzésével sem, sem mindkét mezővel. Ebben az esetben a tanúsítványt újra ki kell mondani, hogy tartalmazza az A. lépésben használt kiszolgálócímet.

  • A tanúsítványt nem egy megbízható legfelső szintű hitelesítésszolgáltató bocsátotta ki. Ha a kapcsolatot kérő ügyfélszámítógép nem bízik meg a tanúsítványt generáló hitelesítésszolgáltatói láncban, a csatlakozási kérelem egy, az adott állapoton alapuló figyelmeztetést ad ki. Ha meg kell győződni arról, hogy a tanúsítvány megfelel a tesztnek, kövesse az alábbi lépéseket:

    1. A tanúsítványra vonatkozó figyelmeztetés újragenerálása után kattintson a Tanúsítvány megtekintése gombra a tanúsítvány vizsgálatának vizsgálathoz. Figyelje meg a Legfelső szintű megjegyzés bejegyzést a Minősítési út lapon.
    2. Kattintson a Start gombra, majd a Futtatás parancsra, írja be az MMC parancsot, majd kattintson az OK gombra.
    3. Kattintson a Fájl, a Beépülő modul hozzáadása/eltávolítása, a Tanúsítványok , majd a Hozzáadás , a Számítógépfiók elemre, a Tovább , a Befejezés gombra, végül az OK gombra.
    4. Az MMC beépülő modulban keresse meg a Konzolgyök, a Tanúsítványok et, bontsa ki a Megbízható legfelső szintű hitelesítésszolgáltatók gombra, kattintson a Tanúsítványok elemre, majd ellenőrizze, hogy nem létezik-e az A. lépésben említett gyökérjegyzetbejegyzés tanúsítványa.

Megoldás

A probléma megoldásához használja az alábbi módszerek egyikét a figyelmeztető üzenettől függően.

1. módszer: Idő-érvényes problémák

Az érvényes időkorreklú problémák megoldásához kövesse az alábbi lépéseket.

  1. A tanúsítványt a megfelelő érvényesség-dátummal újra ki kell egészítenünk. Az AD FS szolgáltatáshoz szükséges új SSL-tanúsítvány telepítésének és beállításának mikéntjéhez lásd: Az AD FS 2.0szolgáltatáskommunikációs tanúsítványának módosítása a lejárat után.

  2. Ha AD FS-proxyt telepített, a tanúsítványt az AD FS-proxy alapértelmezett webhelyén is telepítenie kell a tanúsítvány exportálási és importálási funkcióival. További információ: Digitális tanúsítványok eltávolítása, importálása és exportálása.

    Fontos

    Győződjön meg arról, hogy a személyes kulcs szerepel az exportálási vagy importálási folyamatban. Az AD FS-proxykiszolgálón vagy -kiszolgálókon is telepítve kell lennie a titkos kulcs másolatának.

  3. Győződjön meg arról, hogy helyesek a dátum- és időbeállítások az ügyfélszámítógépen vagy az AD FS-kiszolgálókon. A figyelmeztetés akkor jelenik meg hibásan, ha az operációs rendszer dátumbeállítása helytelen, és helytelenül jelöli az Érvényes fromand Érvényes beállítástartományon kívül esik.

2. módszer: Nem egyező szolgáltatásnévvel kapcsolatos problémák

Az AD FS szolgáltatás neve az AD FS Configuration Wizard futtatásakor van beállítva, és az alapértelmezett webhelyhez kötött tanúsítványon alapul. A szolgáltatásnév-eltéréssel kapcsolatos problémák megoldásához kövesse az alábbi lépéseket:

  1. Ha nem a megfelelő tanúsítványnevet használták a csere tanúsítvány létrehozásához, kövesse az alábbi lépéseket:

    1. Ellenőrizze, hogy helytelen-e a tanúsítvány neve.
    2. A helyes tanúsítvány újraértéke. Az AD FS szolgáltatáshoz szükséges új SSL-tanúsítvány telepítésének és beállításának mikéntjéhez lásd: Az AD FS 2.0szolgáltatáskommunikációs tanúsítványának módosítása a lejárat után.
  2. Ha az AD FS idP-végpontja vagy intelligens hivatkozásai testre szabott bejelentkezési élményt használnak, ellenőrizze, hogy a használt kiszolgáló neve megegyezik-e az AD FS szolgáltatáshoz rendelt tanúsítvánnyal.

  3. Ritkán előfordulhat, hogy ezt a feltételt az is okozhatja, hogy az implementáció után helytelenül próbáltuk módosítani az AD FS szolgáltatás nevét. Az AD FS végpontszolgáltatás nevének manuális módosíthatja a következőt: AD FS 2.0:Az összevonási szolgáltatás nevének módosítása.

    Fontos

    Az ilyen típusú módosítások az AD FS szolgáltatás kimaradását okják. A frissítés után az alábbi lépéseket követve állítsa vissza az egyszeri bejelentkezési funkciót:

    1. Futtassa Update-MSOLFederatedDomain parancsmagot az összes összevont névteren.
    2. Futtassa újra a beállítási varázslót a környezetben az AD FS proxykiszolgálóihoz.

3. módszer: A minősítési lánc megbízhatóságával kapcsolatos problémák kibocsátásával kapcsolatos problémák

A kibocsátó hitelesítésszolgáltatói megbízhatósági problémákat az alábbi műveletek egyikével oldhatja meg:

  • Szerezze be és használja a Microsoft Root Certificate Programban részt vett forrás tanúsítványát.
  • Kérje meg a tanúsítvány kibocsátóját, hogy regisztráljon a Microsoft Root Certificate Programba. A Gyökértanúsítvány programról és a Windows főtanúsítványok működéséről a Microsoft Root Certificate Program (Microsoft Root Certificate Program)nyújt további tájékoztatást.

Figyelmeztetés

Nem javasoljuk, hogy az AD FS belső hitelesítésszolgáltatót használjon, amikor azt az Office 365-ös SSO használatára használják. Ha az Office 365 adatközpontja nem megbízható tanúsítványláncot használ, a Microsoft Outlook Microsoft Exchange Online-hoz való csatlakozása sikertelen lesz, ha az Outlookot SSO-funkciókkal használja.

További információ

További segítségre van szüksége? Nyissa meg a Microsoft Community vagy az Azure Active Directory fórumainak weboldalát.