登录 Azure、Azure 或 Intune 时,会收到来自 AD FS 的Office 365警告

备注

Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章

问题

尝试使用联合帐户登录 Microsoft 云服务(如 Office 365、Microsoft Azure 或 Microsoft Intune)时,将在浏览器中收到来自 AD FS Web 服务的证书警告。

原因

在证书测试过程中遇到验证错误时,会出现此问题。

证书必须先通过以下标准测试,然后才能用于帮助保护安全套接字层 (SSL) 或传输层安全性 (TLS) 会话的安全:

  • 证书在时间上无效。 如果服务器或客户端上的日期早于证书的"有效开始日期"或颁发日期,或者服务器或客户端上的日期晚于证书的"有效日期"或到期日期,则连接请求将基于此状态发出警告。 若要确保证书通过此测试,请检查证书实际上是否已过期或是否在证书处于活动状态之前应用。 然后,执行下列操作之一:

    • 如果证书实际上已过期或在证书处于活动状态之前应用,则必须生成一个具有适当送达日期的新证书,以帮助保护 AD FS 通信的通信安全。
    • 如果证书在处于活动状态之前未过期或未应用,请验证客户端和服务器计算机上的时间,然后按要求更新它们。
  • 服务名称不匹配。 如果用于建立连接的 URL 与证书可能用于的有效名称不匹配,则连接请求将发出基于此状态的警告。 若要确保证书通过此测试,请按照以下步骤操作:

    1. 检查用于建立连接的浏览器的地址栏中的 URL。

      备注

      重点关注服务器地址 (例如,sts.contoso.com) 而不是尾部 HTTP 语法 (例如 /?request=...) 。

    2. 重现错误后,请按照以下步骤操作:

      1. 单击 "查看证书",然后单击"详细信息" 选项卡。将步骤 A 中的 URL 与 证书 的"属性"对话框中的"主题"字段和"主题备用 名称"字段 进行比较。

        Screenshot shows the error on the Mismatched Address page.

      2. 验证步骤 A 中使用的地址是否未列出或与这些字段中的任何条目不匹配,或两者均不匹配。 如果是这种情况,则必须重新颁发证书以包含步骤 A 中使用的服务器地址。

  • 证书不是由受信任的根证书颁发机构或 CA (颁发的) 。 如果请求连接的客户端计算机不信任生成证书的 CA 链,则连接请求将基于此状态发出警告。 若要确保证书通过此测试,请按照以下步骤操作:

    1. 重新生成证书警告,然后单击" 查看证书 "以检查证书。 在" 证书路径 "选项卡上,注意显示在顶部的根注释条目。
    2. 单击 "开始",单击 "运行**",键入 MMC,** 然后单击"确定 "。
    3. 单击 文件,单击 添加/删除 管理单元,单击 证书**,单击添加**,选择计算机 帐户,单击 下一 步,单击 完成,然后单击确定。
    4. 在 MMC 管理单元中,找到"控制台根",展开"证书",展开"受信任的根证书颁发机构",单击"证书",然后验证步骤 A 中记下的根注释条目的证书是否不存在。

解决方案

若要解决此问题,请使用下列方法之一,具体取决于警告消息。

方法 1:时间有效问题

若要解决时间有效的问题,请按照以下步骤操作。

  1. 使用适当的有效期重新颁发证书。 若要详细了解如何为 AD FS 安装和设置新的 SSL 证书,请参阅如何在 AD FS 2.0服务通信证书过期后更改它。

  2. 如果已部署 AD FS 代理,则还必须使用证书导出和导入功能在 AD FS 代理的默认网站上安装证书。 有关详细信息,请参阅 如何删除、导入和导出数字证书

    重要

    确保私钥包含在导出或导入过程中。 AD FS 代理服务器还必须安装私钥的副本。

  3. 确保客户端计算机或所有 AD FS 服务器上日期和时间设置正确。 如果操作系统日期设置不正确,则警告将出现错误,并且会错误地指示值在有效 from 和 Valid torange 之外。

方法 2:服务名称不匹配问题

AD FS 服务名称是在运行 AD FS 配置向导时设置的,并且基于绑定到默认网站的证书。 若要解决服务名称不匹配问题,请按照以下步骤操作:

  1. 如果使用错误的证书名称生成替换证书,请按照以下步骤操作:

    1. 验证证书名称不正确。
    2. 重新颁发正确的证书。 若要详细了解如何为 AD FS 安装和设置新的 SSL 证书,请参阅如何在 AD FS 2.0服务通信证书过期后更改它。
  2. 如果 AD FS idP 终结点或智能链接用于自定义登录体验,请确保所使用的服务器名称与分配给 AD FS 服务的证书匹配。

  3. 在极少数情况下,在实现后错误地尝试更改 AD FS 服务名称也可能导致此情况。 若要详细了解如何手动更改 AD FS 终结点服务名称,请参阅 AD FS 2.0:如何更改联合身份验证服务名称

    重要

    这些类型的更改将导致 AD FS 服务中断。 更新后,必须按照以下步骤还原 SSO (单一) 功能:

    1. 在所有Update-MSOLFederatedDomain运行此 cmdlet。
    2. 为环境中的任何 AD FS 代理服务器重新运行安装配置向导。

方法 3:颁发证书链信任问题

通过执行以下任务之一, (CA) 颁发机构解决信任问题:

  • 从参与 Microsoft 根证书计划的源获取和使用证书。
  • 请求证书颁发者注册 Microsoft 根证书计划。 有关根证书计划以及根证书在证书Windows,请参阅Microsoft 根证书计划

警告

在将 AD FS 用于 SSO 时,建议不要将 AD FS 用于Office 365。 使用不受信任的 Office 365 数据中心的证书链将导致 Microsoft Outlook 与 Microsoft Exchange Online 的连接在将 Outlook 与 SSO 功能一Outlook失败。

更多信息

仍然需要帮助? 转到 Microsoft 社区Azure Active Directory 论坛网站。