Sie erhalten eine Zertifikatwarnung von AD FS beim Versuch der Anmeldung bei Office 365, Azure oder Windows Intune

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2523494 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

PROBLEM

Wenn Sie versuchen, einen Microsoft Cloud-Dienst wie Office 365, Microsoft Azure oder Windows Intune anmelden, ein föderativen verwenden, erhalten Sie eine Zertifikatwarnung des AD FS-Web-Service in Ihrem Browser.

URSACHE

Dieses Problem tritt auf, wenn ein Validierungsfehler während eines Tests Zertifikat gefunden wird.

Bevor ein Zertifikat zum Sichern eine Secure Sockets Layer (SSL) oder Transport Layer Security (TLS)-Sitzung verwendet werden kann, muss das Zertifikat folgende Standardtests übergeben:
  • Zertifikat nicht gültig. Wenn das Datum auf dem Server oder Client älter als das gültig ab -Datum oder das Datum des Zertifikats ist oder das Datum auf dem Server oder Client hinter dem Datum gültig, oder das Ablaufdatum des Zertifikats liegt, gibt die Verbindungsanforderung eine Warnung, die auf diesen Zustand basiert. Um sicherzustellen, dass das Zertifikat bestanden, überprüfen Sie, ob das Zertifikat tatsächlich abgelaufen oder angewendet wurde, bevor es aktiviert wurde. Dann nehmen Sie eine der folgenden Aktionen aus:
    • Wenn das Zertifikat tatsächlich abgelaufen oder angewendet wurde, bevor es aktiviert wurde, muss ein neues Zertifikat generiert werden, die die geeigneten Lieferdaten zum Sichern die Kommunikation für den AD FS-Verkehr hat.
    • Wenn das Zertifikat nicht abgelaufen oder wurde nicht übernommen, bevor Sie aktiv geworden ist, überprüfen Sie die Zeit auf den Client- und Servercomputern und dann nach Bedarf aktualisieren.
  • Dienst-Name stimmt nicht überein. Wenn der URL, der zum Herstellen die Verbindung verwendet wird die gültigen Namen entspricht für die das Zertifikat verwendet werden kann, gibt die Verbindungsanforderung eine Warnung, die auf diesen Zustand basiert. Gehen Sie folgendermaßen vor, um sicherzustellen dass das Zertifikat bestanden:
    1. Überprüfen Sie die URL in der Adressleiste des Browsers, der zum Herstellen der Verbindung verwendet wird.

      Hinweis Fokus auf die Serveradresse (z. B. sts.contoso.com) und nicht auf die nachfolgenden HTTP-Syntax (z. B. /? Anforderung =...).
    2. Nachdem Sie den Fehler reproduzieren, gehen Sie folgendermaßen vor:
      1. Klicken Sie auf Zertifikate anzeigen, und klicken Sie dann auf die Registerkarte Details Compare-die URL aus Schritt A in der Betreffzeile und den Alternativen Antragstellernamen Felder der Eigenschaften das Dialogfeld des Zertifikats.

        Bild minimierenBild vergrößern
        Bildschirmabbildung der Seite nicht übereinstimmende Adresse
      2. Überprüfen Sie, ob die Adresse, die in Schritt A verwendet wird, ist nicht aufgeführt oder keine Einträge in diesen Feldern oder beides passt. Wenn dies der Fall ist, muss das Zertifikat neu ausgestellt werden nehmen Sie die Adresse des Servers ein, die verwendet wurde, in Schritt A.
  • Zertifikat wurde nicht von einer vertrauenswürdigen Stammzertifizierungsstelle (CA ausgestellt.). Wenn der Client-Computer, der die Verbindung anfordert der Zertifizierungsstellen-Zertifikatskette nicht, die das Zertifikat generiert hat vertrauen, wird die Verbindungsanforderung Warnung, die auf diesen Zustand basiert. Gehen Sie folgendermaßen vor, um sicherzustellen dass das Zertifikat bestanden:
    1. Regenerieren Warnmeldung bezüglich des Zertifikats, und klicken Sie dann auf Zertifikat anzeigen das Zertifikat überprüfen. Auf der Zertifizierungspfad Registerkarte, und beachten Sie den Hinweis Basiseintrag auf, der oben angezeigt wird.
    2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie MMCein, und klicken Sie auf OK.
    3. Klicken Sie auf Datei, klicken Sie auf Snap-In hinzufügen/entfernen, klicken Sie auf Zertifikate, klicken Sie auf Hinzufügen, wählen Sie Computerkonto, klicken Sie auf Weiter, klicken Sie auf Fertig stellen, und klicken Sie dann auf OK.
    4. Suchen Sie im MMC-Snap-in Konsolenstamm, erweitern Sie Zertifikate, erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, klicken Sie auf Zertifikateund vergewissern Sie sich, dass ein Zertifikat für die Basiseintrag Notiz, die Sie in Schritt A notierten nicht vorhanden ist.

LÖSUNG

Um dieses Problem zu beheben, verwenden Sie eine der folgenden Methoden an, je nach der Warnmeldung.

Methode 1: Zeit-V-Alid-Probleme

Gehen Sie folgendermaßen vor, um Zeit gültige Probleme zu beheben.
  1. Wiederholen Sie das Zertifikat mit einem entsprechenden Gültigkeitsdatum. Weitere Informationen dazu, wie Sie installieren, und richten Sie ein neues SSL-Zertifikat für AD FS finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2921805 So ändern Sie das AD FS 2.0 Service-Kommunikation nach Zertifikat läuft diese
  2. Wenn ein AD FS-Proxy bereitgestellt wurde, müssen Sie auch installieren Sie das Zertifikat auf der Standardwebsite des AD FS-Proxys mit dem Zertifikat exportieren und Importieren von Funktionen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    179380 Wie entfernen, importieren und Exportieren von digitalen Zertifikaten
    Wichtig: Stellen Sie sicher, dass der private Schlüssel im Export enthalten ist, oder importieren Sie Prozess. Der AD FS-Proxy-Server oder Server müssen auch eine Kopie des privaten Schlüssels installiert haben.
  3. Stellen Sie sicher, dass die Datums- und Zeiteinstellungen auf dem Client-Computer oder für alle ADFS-Server richtig sind. Die Warnung wird fälschlicherweise angezeigt werden Wenn die Betriebssystemeinstellungen Datum falsch sind und darauf einen Wert, der außerhalb der VAlid aus und Vzu Alid Bereich ist falsch.

Methode 2:Service Name Mismatch-Probleme

Der AD FS-Dienstname wird festgelegt, wenn Sie den AD FS-Konfigurations-Assistenten ausführen und werden basierend auf dem Zertifikat, das auf der Standardwebsite gebunden ist. Gehen Sie folgendermaßen vor, um den Service Name Mismatch-Probleme zu beheben:
  1. Wenn der falsche Name verwendet wurde, um ein Ersatzzertifikat generieren, gehen Sie folgendermaßen vor:
    1. Stellen Sie sicher, dass der Name des Zertifikats falsch ist.
    2. Wiederholen Sie das richtige Zertifikat. Weitere Informationen dazu, wie Sie installieren, und richten Sie ein neues SSL-Zertifikat für AD FS finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      2921805 So ändern Sie das AD FS 2.0 Service-Kommunikation nach Zertifikat läuft diese
  2. Wenn die AD FS-idP-Endpunkt oder smart Links für angepasste anmelden genutzt werden, stellen Sie sicher, dass der Servername, der verwendet wird, mit dem Zertifikat übereinstimmt, das die den AD FS-Dienst zugeordnet ist. Weitere Informationen zu idP und SmartLinks-Authentifizierung finden Sie auf der folgenden Microsoft-Website:

    Mit smart Links oder IdP-Authentifizierung mit Office 365 initiiert
  3. In seltenen Fällen kann dies auch durch Fehler beim Ändern der AD FS-Dienstname nach der Implementierung verursacht werden. Weitere Informationen dazu, wie Sie manuell den Dienstnamen der AD FS-Endpunkt ändern finden Sie auf der folgenden Microsoft-Website:

    AD FS 2.0: Wie Sie die Föderation Namensänderung

    Warnung Diese Art von Änderungen werden ein AD FS-Dienstausfall verursachen. Nach der Aktualisierung müssen Sie zum Wiederherstellen der einzelnen anmelden (SSO) Funktionalität folgendermaßen:
    1. Führen Sie das Cmdlet Update-MSOLFederatedDomain für alle verbundenen Namespaces.
    2. Führen Sie den Setup-Konfigurations-Assistenten für alle AD FS-Proxy-Server in der Umgebung erneut aus.

Methode 3:Ausstellende Zertifizierungsstelle Kette Vertrauensprobleme


Sie können ausstellende Certification Authority (CA) Vertrauensprobleme beheben, indem Sie eine der folgenden Aufgaben ausführen:
  • Abrufen und Verwenden eines Zertifikats von einer Quelle, die im Microsoft-Programm für Stammzertifikate teilnimmt. Um eine Liste der vertrauenswürdigen Zertifikatquellen anzuzeigen, gehen Sie auf der folgenden Website:
    Windows-Programm für Stammzertifikate - Mitgliederliste (alle CAs)
  • Bitten Sie der Aussteller des Zertifikats im Microsoft Root Certificate Program registrieren. Weitere Informationen zu den Root Certificate Program und den Betrieb der Stammzertifikate in Windows finden Sie auf der folgenden Microsoft-Website:
    Microsoft Root Certificate Program
Warnung Wird nicht empfohlen, dass AD FS eine interne Zertifizierungsstelle verwenden, wenn sie für SSO mit Office 365 genutzt wird. Mit einer Zertifikatskette, die nicht als vertrauenswürdig gilt vom Datenzentrum Office 365 führen die Microsoft Outlook-Verbindungen zu Microsoft Exchange Online schlagen fehl, wenn Outlook mit SSO-Funktionen verwendet wird.

WEITERE INFORMATIONEN

Benötigen Sie weitere Hilfe? Klicken Sie auf der Office 365-Community Website oder die Active Directory Azure-Foren Website.

Eigenschaften

Artikel-ID: 2523494 - Geändert am: Donnerstag, 10. Juli 2014 - Version: 27.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Azure
  • Microsoft Office 365
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Keywords: 
o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 2523494
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com