Recebe um aviso de certificado da AD FS quando iniciar sação no Office 365, Azure ou Intune

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Problema

Quando tenta iniciar sação num serviço de cloud da Microsoft, como o Office 365, Microsoft Azure ou Microsoft Intune, utilizando uma conta federada, recebe um aviso de certificado do serviço web AD FS no seu navegador.

Causa

Esta questão ocorre quando um erro de validação é encontrado durante um teste de certificado.

Antes de um certificado poder ser utilizado para ajudar a garantir uma sessão de Segurança de Tomadas Seguras (SSL) ou segurança da camada de transporte (TLS), o certificado deve passar nos seguintes testes padrão:

  • O certificado não é válido. Se a data no servidor ou cliente for mais cedo do que o Válido a partir da data ou da data de emissão do certificado, ou se a data no servidor ou cliente for mais tarde do que o Válido até à data ou a data de validade do certificado, o pedido de ligação emite um aviso baseado neste estado. Para se certificar de que o certificado passa neste teste, verifique se o certificado realmente expirou ou foi aplicado antes de entrar em vigor. Em seguida, tome uma das seguintes ações:

    • Se o certificado tiver efetivamente expirado ou tiver sido aplicado antes de se tornar ativo, deve ser gerado um novo certificado que tenha as datas de entrega adequadas para ajudar a garantir a comunicação para o tráfego de FS AD.
    • Se o certificado não expirou ou não foi aplicado antes de se tornar ativo, verifique a hora nos computadores do cliente e do servidor e, em seguida, atualize-os conforme necessário.
  • Incompatibilidade de nome de serviço. Se o URL que é usado para fazer a ligação não corresponder aos nomes válidos para os quais o certificado pode ser usado, o pedido de ligação emite um aviso baseado neste estado. Para garantir que o certificado passa neste teste, siga estes passos:

    1. Examine o URL na barra de endereços do navegador que é usado para estabelecer a ligação.

      Nota

      Concentre-se no endereço do servidor (por exemplo, sts.contoso.com) e não na sintaxe HTTP (por exemplo, /?request=...).

    2. Depois de reproduzir o erro, siga estes passos:

      1. Clique em Ver Certificadose, em seguida, clique no separador Detalhes. Compare o URL do passo A para o campo Subject e para os campos nome alternativo sujeito na caixa de diálogo Propriedades do certificado.

        Imagem de tela de página de endereço desajustada

      2. Verifique se o endereço que é usado no passo A não está listado ou não corresponde a nenhuma entrada nestes campos, ou em ambos. Se for esse o caso, o certificado deve ser reemitido para incluir o endereço do servidor que foi utilizado no passo A.

  • O certificado não foi emitido por uma autoridade de certificação de raiz fidedigna (CA). Se o computador cliente que está a solicitar a ligação não confiar na cadeia de CA que gerou o certificado, o pedido de ligação emitirá um aviso baseado neste estado. Para garantir que o certificado passa neste teste, siga estes passos:

    1. Regenerar o aviso de certificado e, em seguida, clicar em Ver Certificado para examinar o certificado. No separador Caminho de Certificação, note a entrada de nota de raiz em que é exibida no topo.
    2. Clique em Iniciar, clique em Executar, digite MMCe, em seguida, clique em OK.
    3. Clique em Arquivar, clique em Adicionar/remover Snap-in, clique em Certificados, clique em Adicionar, selecione Conta de Computador, clique em Seguinte, clique em Terminare, em seguida, clique em OK.
    4. No snap-in MMC, localizar a Raiz da Consola, expandir Certificados, expandir As Autoridades de Certificação de Raiz Fidedignas, clicar em Certificadose, em seguida, verificar se não existe um certificado para a entrada de nota de raiz que notou no passo A.

Solução

Para resolver este problema, utilize um dos seguintes métodos, dependendo da mensagem de aviso.

Método 1: Questões válidas no tempo

Para resolver questões válidas no tempo, siga estes passos.

  1. Reeditar o certificado com data de validade adequada. Para obter mais informações sobre como instalar e configurar um novo certificado SSL para AD FS, consulte como alterar o certificado de comunicações de serviço AD FS 2.0 após o seu termo.

  2. Se um representante da AD FS foi implementado, também tem de instalar o certificado no site padrão do representante da AD FS utilizando as funções de exportação e importação de certificados. Para mais informações, consulte Como remover, importar e exportar certificados digitais.

    Importante

    Certifique-se de que a chave privada está incluída no processo de exportação ou importação. O servidor ou servidores AD FS Proxy também devem ter uma cópia da chave privada instalada.

  3. Certifique-se de que as definições de data e hora no computador cliente ou em todos os servidores AD FS estão corretas. O aviso será apresentado por engano se as definições da data do sistema operativo estiverem incorretas, e indicará incorretamente um valor que está fora do torange Válido e Válido.

Método 2: Problemas de incompatibilidade do nome de serviço

O nome do serviço AD FS é definido quando executou o Assistente de Configuração AD FS e baseia-se no certificado que está ligado ao website predefinido. Para resolver problemas de incompatibilidade de nomes de serviço, siga estes passos:

  1. Se o nome do certificado errado foi utilizado para gerar um certificado de substituição, siga estes passos:

    1. Verifique se o nome do certificado está incorreto.
    2. Reeditar o certificado correto. Para obter mais informações sobre como instalar e configurar um novo certificado SSL para AD FS, consulte como alterar o certificado de comunicações de serviço AD FS 2.0 após o seu termo.
  2. Se o ponto final do IdP AD FS ou as ligações inteligentes forem alavancados para uma experiência de inscrição personalizada, certifique-se de que o nome do servidor utilizado corresponde ao certificado atribuído ao serviço AD FS.

  3. Em casos raros, esta condição também pode ser causada por uma tentativa incorreta de alterar o nome de serviço AD FS após a implementação. Para obter mais informações sobre como alterar manualmente o nome do serviço de serviço de ponta final AD FS, consulte AD FS 2.0: Como Alterar o Nome de Serviço da Federação.

    Importante

    Este tipo de alterações causará uma paragem de serviço AD FS. Após a atualização, deve seguir estes passos para restaurar a funcionalidade de sso (SSO) única:

    1. Executar o cmdlet DeDomínio De Update-MSOLFederated em todos os espaços de nome federados.
    2. Reexecutar o assistente de configuração de configuração para quaisquer servidores de procuração AD FS no ambiente.

Método 3: Emissão de questões de confiança da cadeia de certificação

Pode resolver questões de confiança da autoridade de certificação (CA) através da realização de uma das seguintes tarefas:

  • Obtenha e use um certificado de uma fonte que participe no Microsoft Root Certificate Program.
  • Solicite que o emitente de certificado se inscreva no Programa de Certificados de Raiz da Microsoft. Para obter mais informações sobre o Programa de Certificados de Raiz e o funcionamento de certificados de raiz no Windows, consulte o Microsoft Root Certificate Program.

Aviso

Não recomendamos que a AD FS use um CA interno quando é alavancado para SSO com o Office 365. A utilização de uma cadeia de certificados que não é fidedigna pelo centro de dados do Office 365 fará com que a conectividade do Microsoft Outlook com o Microsoft Exchange Online falhe quando o Outlook for utilizado com funcionalidades SSO.

Mais informações

Ainda necessita de ajuda? Vá para a página web Comunidade Microsoft ou Fóruns do Azure Active Directory.