Office 365, Azure 또는 Intune에 로그인 하면 AD FS에서 인증서 경고가 표시 됩니다.

참고

Office 365 ProPlus엔터프라이즈용 Microsoft 365 앱으로 이름이 바뀌고 있습니다. 이 변경에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

문제

페더레이션 계정을 사용 하 여 Office 365, Microsoft Azure 또는 Microsoft Intune과 같은 Microsoft 클라우드 서비스에 로그인 하려고 하면 브라우저의 AD FS 웹 서비스에서 인증서 경고가 표시 됩니다.

원인

이 문제는 인증서 테스트 중에 유효성 검사 오류가 발생 한 경우에 발생 합니다.

인증서를 사용 하 여 SSL (Secure Sockets layer) 또는 TLS (전송 계층 보안) 세션의 보안을 유지 하려면 인증서가 다음과 같은 표준 테스트를 통과 해야 합니다.

  • 인증서가 유효 하지 않습니다. 서버 또는 클라이언트의 날짜가 인증서의 유효 기간 날짜 또는 발행일 보다 이전 이거나, 서버 또는 클라이언트의 날짜가 인증서의 유효 기간 만료 날짜나 만료 날짜 보다 늦은 경우에는 연결 요청이이 상태를 기반으로 하는 경고를 보냅니다. 인증서가이 테스트를 통과 하는지 확인 하려면 인증서가 실제로 만료 되었거나 활성 상태가 되기 전에 적용 되었는지 확인 합니다. 그리고 나 서 다음 작업 중 하나를 수행 합니다.

    • 인증서가 실제로 만료 되었거나 활성 상태가 되기 전에 적용 된 경우 AD FS 트래픽에 대 한 통신 보안을 유지 하기 위한 적절 한 배달 날짜가 포함 된 새 인증서를 생성 해야 합니다.
    • 인증서가 활성화 되기 전에 만료 되거나 적용 되지 않은 경우에는 클라이언트 및 서버 컴퓨터의 시간을 확인 한 다음 필요에 따라 업데이트 합니다.
  • 서비스 이름이 일치 하지 않습니다. 연결을 설정 하는 데 사용 되는 URL이 인증서를 사용할 수 있는 유효한 이름과 일치 하지 않는 경우에는 연결 요청이이 상태를 기반으로 하는 경고를 보냅니다. 인증서가이 테스트를 통과 하는지 확인 하려면 다음 단계를 수행 합니다.

    1. 연결을 설정 하는 데 사용 되는 브라우저의 주소 표시줄에 있는 URL을 검사 합니다.

      참고

      후행 HTTP 구문이 아닌 서버 주소 (예: sts.contoso.com)에 중점을 둘 수 있습니다 (예:/? request = ...).

    2. 오류를 재현 한 후에는 다음 단계를 수행 합니다.

      1. 인증서 보기를 클릭 한 다음 세부 정보 탭을 클릭 합니다. URL을 A 단계에서 제목 필드 및 인증서의 속성 대화 상자에 있는 주체 대체 이름 필드에 비교 합니다.

        일치 하지 않는 주소 페이지 스크린샷

      2. 단계 A에서 사용 된 주소가 나열 되어 있지 않거나 이러한 필드의 항목과 일치 하지 않거나 둘 다 인지 확인 합니다. 이 경우에는 A 단계에서 사용 된 서버 주소를 포함 하도록 인증서를 다시 발급 해야 합니다.

  • 신뢰할 수 있는 루트 CA (인증 기관)에서 인증서를 발급 하지 않았습니다. 연결을 요청 하는 클라이언트 컴퓨터에서 인증서를 생성 한 CA 체인을 신뢰 하지 않는 경우이 상태를 기반으로 하는 경고가 연결 요청에 표시 됩니다. 인증서가이 테스트를 통과 하는지 확인 하려면 다음 단계를 수행 합니다.

    1. 인증서 경고를 다시 생성 한 다음 인증서 보기 를 클릭 하 여 인증서를 검사 합니다. 인증 경로 탭에서 맨 위에 표시 되는 루트 메모 항목을 확인 합니다.
    2. 시작, 실행을 차례로 클릭 하 고 MMC를 입력 한 다음 확인을 클릭 합니다.
    3. 파일을 클릭 하 고 스냅인 추가/제거를 클릭 한 다음 인증서, 추가, 컴퓨터 계정을차례로 클릭 하 고 다음을 클릭 한 후 마침을클릭 하 고 확인을 클릭 합니다.
    4. MMC 스냅인에서 콘솔 루트를 찾고, 인증서, 신뢰할 수 있는 루트 인증 기관을차례로 확장 한 다음 인증서를 클릭 하 고 a 단계에서 기록해 둔 루트 메모 항목에 대 한 인증서가 존재 하지 않는지 확인 합니다.

해결 방법

이 문제를 해결 하려면 경고 메시지에 따라 다음 방법 중 하나를 사용 하십시오.

방법 1: 시간에 유효한 문제

시간이 유효한 문제를 해결 하려면 다음 단계를 수행 합니다.

  1. 적절 한 유효 날짜를 사용 하 여 인증서를 다시 발급 합니다. AD FS에 대 한 새 SSL 인증서를 설치 하 고 설정 하는 방법에 대 한 자세한 내용은 " 만료 후 AD fs 2.0 서비스 통신 인증서 변경 방법"을 참조 하십시오.

  2. AD FS 프록시를 배포한 경우 인증서 내보내기 및 가져오기 기능을 사용 하 여 AD FS 프록시의 기본 웹 사이트에 인증서도 설치 해야 합니다. 자세한 내용은 디지털 인증서 제거, 가져오기 및 내보내기 방법을참조 하세요.

    중요

    내보내기 또는 가져오기 프로세스에 개인 키가 포함 되어 있는지 확인 합니다. 또한 AD FS 프록시 서버에는 개인 키의 복사본이 설치 되어 있어야 합니다.

  3. 클라이언트 컴퓨터의 날짜 및 시간 설정이 올바른지, 아니면 모든 AD FS 서버에서 설정 되어 있는지 확인 합니다. 운영 체제 날짜 설정이 잘못 된 경우에는 경고가 표시 되 고 유효한 fromand 유효한 torange 외부에 있는 값은 제대로 표시 되지 않습니다.

방법 2: 서비스 이름 불일치 문제

Ad fs 구성 마법사를 실행 하 고 기본 웹 사이트에 바인딩된 인증서를 기반으로 하는 adfs 서비스 이름이 설정 됩니다. 서비스 이름 불일치 문제를 해결 하려면 다음 단계를 수행 합니다.

  1. 대체 인증서를 생성 하는 데 잘못 된 인증서 이름을 사용한 경우 다음 단계를 수행 합니다.

    1. 인증서 이름이 올바르지 않은지 확인 합니다.
    2. 올바른 인증서를 다시 발급 합니다. AD FS에 대 한 새 SSL 인증서를 설치 하 고 설정 하는 방법에 대 한 자세한 내용은 " 만료 후 AD fs 2.0 서비스 통신 인증서 변경 방법"을 참조 하십시오.
  2. AD FS idP 끝점 또는 스마트 링크가 사용자 지정 된 로그인 환경에 활용 되는 경우 사용 되는 서버 이름이 AD FS 서비스에 할당 된 인증서와 일치 하는지 확인 합니다.

  3. 드문 경우 지만이 조건은 구현 후에 AD FS 서비스 이름을 잘못 변경 하 여 발생할 수도 있습니다. AD FS 끝점 서비스 이름을 수동으로 변경 하는 방법에 대 한 자세한 내용은 AD fs 2.0: 페더레이션 서비스 이름을 변경하는 방법을 참조 하세요.

    중요

    이러한 종류의 변경으로 인해 AD FS 서비스가 중단 됩니다. 업데이트를 수행한 후에는 다음 단계를 수행 하 여 SSO (single sign-on) 기능을 복원 해야 합니다.

    1. 모든 페더레이션 네임 스페이스에서 New-msolfederateddomain cmdlet을 실행 합니다.
    2. 환경의 모든 AD FS 프록시 서버에 대 한 설치 구성 마법사를 다시 실행 합니다.

방법 3: 인증 체인 트러스트 문제 발급

다음 작업 중 하나를 수행 하 여 발급 CA (인증 기관) 트러스트 문제를 해결할 수 있습니다.

  • Microsoft 루트 인증서 프로그램에 참여 하는 원본의 인증서를 가져와 사용 합니다.
  • 인증서 발급자가 Microsoft 루트 인증서 프로그램에 등록 하도록 요청 합니다. Windows의 루트 인증서 프로그램 및 루트 인증서 작업에 대 한 자세한 내용은 Microsoft 루트 인증서 프로그램을 참조 하십시오.

경고

Office 365 SSO를 사용 하는 경우에는 AD FS가 내부 CA를 사용할 것을 권장 하지 않습니다. Office 365 데이터 센터에서 신뢰 하지 않는 인증서 체인을 사용할 경우 Outlook을 SSO 기능과 함께 사용 하면 microsoft Exchange Online에 대 한 microsoft Outlook 연결이 실패 하 게 됩니다.

추가 정보

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Azure Active Directory 포럼 웹 사이트를 방문해 보세요.