Po zalogowaniu się do usługi Office 365, Azure lub Intune otrzymujesz ostrzeżenie dotyczące certyfikatu z usług AD FS

Uwaga

Nazwa usługi Office 365 ProPlus została zmieniona na Aplikacje usługi Microsoft 365 dla przedsiębiorstw. Aby uzyskać więcej informacji na temat tej zmiany, przeczytaj ten wpis w blogu.

Problem

Gdy próbujesz zalogować się do usługi w chmurze firmy Microsoft, takiej jak Office 365, Microsoft Azure lub Microsoft Intune, za pomocą konta federwczego, otrzymujesz ostrzeżenie o certyfikacie z usługi sieci Web AD FS w przeglądarce.

Przyczyna

Ten problem występuje, gdy podczas testu certyfikatu występuje błąd sprawdzania poprawności.

Aby można było użyć certyfikatu w celu zabezpieczenia sesji protokołu Secure Sockets Layer (SSL) lub Transport Layer Security (TLS), certyfikat musi przejść następujące testy standardowe:

  • Certyfikat jest nieprawidłowy. Jeśli data na serwerze lub kliencie jest wcześniejsza niż data obowiązuje od daty lub daty emisji certyfikatu albo jeśli data na serwerze lub kliencie jest późniejsza niż data ważności certyfikatu lub data wygaśnięcia certyfikatu, w żądaniu połączenia jest wyświetlane ostrzeżenie oparte na tym stanie. Aby upewnić się, że certyfikat pomyślnie przejdzie ten test, sprawdź, czy certyfikat rzeczywiście wygasł, czy został zastosowany, zanim stał się aktywny. Następnie należy podjąć jedną z następujących czynności:

    • Jeśli certyfikat rzeczywiście wygasł lub został zastosowany, zanim stał się aktywny, musi zostać wygenerowany nowy certyfikat z odpowiednimi datami dostarczenia, aby ułatwić zabezpieczanie komunikacji dla ruchu usług AD FS.
    • Jeśli certyfikat nie wygasł lub nie został zastosowany przed jego wygaśnięciem, sprawdź czas na komputerach klienckich i serwera, a następnie zaktualizuj je zgodnie z wymaganiami.
  • Niezgodność nazw usług. Jeśli adres URL używany do nawiązaniu połączenia nie jest zgodne z prawidłowymi nazwami, do których może zostać użyty certyfikat, w żądaniu połączenia zostanie wyświetlane ostrzeżenie oparte na tym stanie. Aby upewnić się, że certyfikat pomyślnie przejdzie ten test, wykonaj następujące czynności:

    1. Sprawdź adres URL na pasku adresu przeglądarki, który został użyty do nawiązania połączenia.

      Uwaga

      Fokus należy się skupić na adresie serwera (na sts.contoso.com) a nie na końcowej składni HTTP (na przykład /?request=...).

    2. Po odtworzeniu błędu wykonaj następujące czynności:

      1. Kliknij pozycję Wyświetl certyfikaty, a następnie kliknij kartę Szczegóły. Porównaj adres URL z polami Temat i Nazwa alternatywna tematu w oknie dialogowym Właściwości certyfikatu.

        Zrzut ekranu: niedopasowana strona adresu

      2. Sprawdź, czy adres użyty w kroku A nie jest wymieniony na liście lub że nie pasuje do żadnych wpisów w tych polach lub obu tych pól. W takim przypadku certyfikat musi zostać ponownie użyty w kroku A.

  • Certyfikat nie został wystawiony przez zaufany główny urząd certyfikacji. Jeśli klient żądający połączenia nie ufa łańcuchowi urzędu certyfikacji, który wygenerował certyfikat, żądanie połączenia spowoduje wygenerowanie ostrzeżenia opartego na tym stanie. Aby upewnić się, że certyfikat pomyślnie przejdzie ten test, wykonaj następujące czynności:

    1. Ponownie wygeneruj ostrzeżenie dotyczące certyfikatu, a następnie kliknij pozycję Wyświetl certyfikat, aby sprawdzić certyfikat. Na karcie Ścieżka certyfikacji zwróć uwagę na wpis notatki głównej, który jest wyświetlany u góry.
    2. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz MMC, a następnie kliknij przycisk OK.
    3. Kliknij pozycję Plik , kliknij pozycję Dodaj/usuń przystawkę , kliknij pozycję Certyfikaty , kliknij pozycję Dodaj , wybierz pozycję Konto komputera , kliknij przycisk Dalej , kliknij przycisk Zakończ, a następnie kliknij przycisk OK.
    4. W przystawki MMC znajdź pozycję Katalog główny konsoli, rozwiń pozycję Certyfikaty, rozwiń pozycję Zaufane główne urzędy certyfikacji, kliknij pozycję Certyfikaty, a następnie sprawdź, czy certyfikat wpisu głównej notatki zanotował w kroku A nie istnieje.

Rozwiązanie

Aby rozwiązać ten problem, użyj jednej z następujących metod, w zależności od komunikatu ostrzegawczego.

Metoda 1. Problemy z prawidłową godziną

Aby rozwiązać problemy z prawidłową godziną, wykonaj poniższe czynności.

  1. Ponownie wyedytuj certyfikat z odpowiednią datą ważności. Aby uzyskać więcej informacji na temat instalowania i konfiguracji nowego certyfikatu SSL dla usług AD FS, zobacz Jak zmienić certyfikat komunikacji usługi AD FS 2.0po jego wygaśnięciu.

  2. Jeśli wdrożono serwer proxy usług AD FS, musisz również zainstalować certyfikat w domyślnej witrynie internetowej serwera proxy usług AD FS przy użyciu funkcji eksportowania i importowania certyfikatów. Aby uzyskać więcej informacji, zobacz Jak usuwać, importować i eksportować certyfikaty cyfrowe.

    Ważne

    Upewnij się, że klucz prywatny jest uwzględniony w procesie eksportowania lub importowania. Serwer lub serwery proxy usług AD FS muszą również mieć zainstalowaną kopię klucza prywatnego.

  3. Upewnij się, że ustawienia daty i czasu na komputerze klienckim lub wszystkich serwerach usług AD FS są poprawne. Ostrzeżenie zostanie wyświetlone omyłnie, jeśli ustawienia daty systemu operacyjnego są niepoprawne i błędnie wskazują wartość spoza zakresów Prawidłowe i Prawidłowe.

Metoda 2. Problemy z niedopasowaniem nazwy usługi

Nazwa usługi AD FS jest ustawiana po uruchomieniu Kreatora konfiguracji usług AD FS i jest oparta na certyfikacie powiązanym z domyślną witryną sieci Web. Aby rozwiązać problemy z niezgodnością nazw usługi, wykonaj następujące czynności:

  1. Jeśli do wygenerowania certyfikatu zastępczego została użyta niewłaściwa nazwa certyfikatu, wykonaj następujące czynności:

    1. Sprawdź, czy nazwa certyfikatu jest nieprawidłowa.
    2. Ponownie wyeks odpowiedniego certyfikatu. Aby uzyskać więcej informacji na temat instalowania i konfiguracji nowego certyfikatu SSL dla usług AD FS, zobacz Jak zmienić certyfikat komunikacji usługi AD FS 2.0po jego wygaśnięciu.
  2. Jeśli punkt końcowy usługi AD FS idP lub inteligentne linki są używane na przykład na poziomie niestandardowego interfejsu logowania, upewnij się, że używana nazwa serwera jest taka sama jak certyfikat przypisany do usługi AD FS.

  3. W rzadkich przypadkach ten warunek może być również spowodowany niepoprawną próbą zmiany nazwy usługi AD FS po wdrożeniu. Aby uzyskać więcej informacji na temat ręcznego zmieniania nazwy usługi punktu końcowego usług AD FS, zobacz AD FS 2.0: Jak zmienić nazwę usługi federejnej.

    Ważne

    Tego rodzaju zmiany powodują wyłączenie usługi AD FS. Po aktualizacji należy wykonać następujące czynności, aby przywrócić funkcję logowania jednokrotnego (SSO):

    1. Uruchom Update-MSOLFederatedDomain cmdlet we wszystkich federowanych przestrzeniach nazw.
    2. Ponownie uruchomić kreatora konfiguracji dla dowolnych serwerów proxy usług AD FS w środowisku.

Metoda 3. Wystawianie problemów z zaufaniem do łańcucha certyfikatów

Problemy z zaufaniem urzędu certyfikacji można rozwiązać, wykonując jedno z następujących zadań:

  • Uzyskiwanie i używanie certyfikatu ze źródła, które uczestniczy w głównym programie certyfikatów firmy Microsoft.
  • Zażądaj zarejestrowania wystawcy certyfikatu w głównym programie certyfikatu firmy Microsoft. Aby uzyskać więcej informacji na temat programu certyfikatów głównych i operacji certyfikatów głównych w systemie Windows, zobacz Główny program certyfikatów firmy Microsoft.

Ostrzeżenie

Nie zalecamy używania przez usługi AD FS wewnętrznego urzędu certyfikacji, gdy jest on na przykład na użytek logowania jednokrotnego w usłudze Office 365. Użycie łańcucha certyfikatów, który nie jest zaufany przez centrum danych usługi Office 365, spowoduje niepowodzenie łączności programu Microsoft Outlook z usługą Microsoft Exchange Online, gdy program Outlook jest używany z funkcjami logowania jednokrotnego.

Więcej informacji

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community lub forów Azure Active Directory.