Recibirá una advertencia de certificado de AD FS cuando intenta iniciar sesión en Office 365, Windows Azure y Windows Intune

Seleccione idioma Seleccione idioma
Id. de artículo: 2523494 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

PROBLEMA

Cuando intenta iniciar sesión en un servicio de nube de Microsoft como Office 365, Windows Azure o Windows Intune utilizando una cuenta federada, recibirá una advertencia de certificado desde el servicio web de AD FS en su explorador.

CAUSA

Este problema se produce cuando se encuentra un error de validación durante una prueba de certificado.

Antes de que un certificado puede utilizarse para ayudar a proteger una sesión de Secure Sockets Layer (SSL) o seguridad de capa de transporte (TLS), el certificado debe pasar las pruebas estándar siguientes:
  • Certificado no válido de tiempo. Si es anterior a la fecha de emisión del certificado o de la fecha válido desde la fecha en el servidor o cliente, o si es posterior a la fecha de caducidad del certificado o de la fecha válida hasta la fecha en el servidor o el cliente, la solicitud de conexión emite una advertencia en el que se basa en este estado. Para asegurarse de que el certificado pasa esta prueba, compruebe si realmente ha caducado el certificado o se ha aplicado antes de que se active. A continuación, realizar una de las siguientes acciones:
    • Si, en realidad, el certificado caducado o se ha aplicado antes de que se active, debe generar un nuevo certificado con las fechas de entrega adecuadas para ayudar a proteger la comunicación para el tráfico de AD FS.
    • Si el certificado no caduca o no se ha aplicado antes de que se active, compruebe la hora en los equipos cliente y servidor y, a continuación, actualizarlos según sea necesario.
  • Nombre de servicio no coincide. Si la dirección URL que se utiliza para realizar la conexión no coincide con los nombres válidos para los que se puede utilizar el certificado, la solicitud de conexión emite una advertencia en el que se basa en este estado. Para asegurarse de que el certificado pasa esta prueba, siga estos pasos:
    1. Examine la dirección URL en la barra de direcciones del explorador que se utiliza para establecer la conexión.

      Nota Enfoque en la dirección del servidor (por ejemplo, sts.contoso.com) y no en la sintaxis HTTP al final (por ejemplo, /? solicitud =...).
    2. Después de reproducir el error, siga estos pasos:
      1. Haga clic en Ver certificadosy haga clic en la ficha Detalles de comparación de campos de la dirección URL del paso al campo asunto y el Nombre alternativo del sujeto en la propiedades el cuadro de diálogo del certificado.

        Contraer esta imagenAmpliar esta imagen
        Captura de pantalla de la página de dirección no coincidente
      2. Compruebe que la dirección que se utiliza en el paso A no aparece o no coinciden con las entradas de estos campos, o ambos. Si éste es el caso, el certificado debe emitirse para incluir la dirección del servidor que se utilizó en el paso A.
  • Certificado no emitido por una entidad emisora de certificados (CA de raíz de confianza). Si el equipo cliente que solicita la conexión no confía en la cadena de entidad emisora de certificados que generó el certificado, la solicitud de conexión emite una advertencia en el que se basa en este estado. Para asegurarse de que el certificado pasa esta prueba, siga estos pasos:
    1. Volver a generar la advertencia de certificado y, a continuación, haga clic en Ver certificado para examinar el certificado. En la ruta de certificación ficha, observe la entrada de la nota de raíz en que se muestra en la parte superior.
    2. Haga clic en Inicio, haga clic en Ejecutar, escriba MMCy, a continuación, haga clic en Aceptar.
    3. Haga clic en archivo, haga clic en Agregar o quitar complemento, haga clic en certificados, haga clic en Agregar, seleccione la Cuenta de equipo, haga clic en siguiente, haga clic en Finalizary, a continuación, haga clic en Aceptar.
    4. En el complemento de MMC, busque la Raíz de la consola, certificados, Entidades emisoras de certificados raíz de confianza, haga clic en certificadosy, a continuación, compruebe que no existe un certificado para la entrada de nota raíz que anotó en el paso A.

SOLUCIÓN

Para resolver este problema, utilice uno de los métodos siguientes, según el mensaje de advertencia.

Método 1: tiempo-vproblemas de alid

Para resolver problemas de tiempo válido, siga estos pasos.
  1. Vuelva a emitir el certificado con una fecha de validez adecuado. Para obtener más información acerca de cómo instalar y configurar un nuevo certificado SSL de AD FS, consulte el siguiente artículo de Microsoft Knowledge Base:
    2921805 Cómo cambiar AD FS 2.0 comunicaciones de servicio certificado después de que caduque
  2. Si se ha implementado un servidor de proxy de AD FS, deberá también instalar el certificado en el sitio Web predeterminado del servidor proxy de AD FS mediante la exportación del certificado y las funciones de importación. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
    179380 Cómo quitar, importar y exportar certificados digitales
    Importante: Asegúrese de que la clave privada está incluida en la exportación o el proceso de importación. Los servidores o el servidor Proxy de AD FS también deben tener una copia de la clave privada instalada.
  3. Asegúrese de que la configuración de fecha y hora en el equipo cliente o en todos los servidores de AD FS es correcta. Se mostrará la advertencia de error si la configuración de la fecha de sistema operativo es incorrecta e incorrectamente, indicará un valor que está fuera de rango dealid a Vy Valid desde .

Método 2:Problemas de falta de coincidencia de nombres de servicio

El nombre de servicio de AD FS se establece cuando se ejecuta al Asistente para la configuración de AD FS y se basa en el certificado que está enlazado el sitio Web predeterminado. Para resolver problemas de falta de coincidencia de nombre de servicio, siga estos pasos:
  1. Si el nombre del certificado incorrecto se utilizó para generar un certificado de reemplazo, siga estos pasos:
    1. Compruebe que el nombre del certificado es incorrecto.
    2. Vuelva a emitir el certificado correcto. Para obtener más información acerca de cómo instalar y configurar un nuevo certificado SSL de AD FS, consulte el siguiente artículo de Microsoft Knowledge Base:
      2921805 Cómo cambiar AD FS 2.0 comunicaciones de servicio certificado después de que caduque
  2. Si se aprovechan el extremo idP de AD FS o enlaces inteligente para una experiencia de inicio de sesión personalizada, asegúrese de que el nombre del servidor que se utiliza coincide con el certificado que se asigna al servicio AD FS. Para obtener más información acerca de idP y autenticación de enlaces inteligentes, visite el siguiente sitio Web de Microsoft:

    Mediante enlaces inteligentes o IdP inicia la autenticación con Office 365
  3. En raras ocasiones, esta condición también puede deberse incorrectamente tratando de cambiar el nombre de servicio de AD FS después de la implementación. Para obtener más información acerca de cómo cambiar manualmente el nombre de servicio del extremo de AD FS, visite el siguiente sitio Web de Microsoft:

    AD FS 2.0: Cómo cambiar el nombre de servicio de federación

    Advertencia Estos tipos de cambios provocará una interrupción de servicio de AD FS. Después de la actualización, debe seguir estos pasos para restaurar la funcionalidad de (SSO) de inicio de sesión única:
    1. Ejecute el cmdlet Update-MSOLFederatedDomain en todos los espacios de nombres federados.
    2. Vuelva a ejecutar al Asistente para la configuración de instalación de los servidores proxy de AD FS en el entorno.

Método 3:Problemas de confianza de cadena de certificación de emisión


Puede resolver problemas de confianza de emisora entidad emisora de certificados (CA) realizando una de las siguientes tareas:
  • Obtener y utilizar un certificado de un origen que participa en el programa de certificados raíz de Microsoft. Para ver una lista de fuentes de confianza de certificados, visite el siguiente sitio Web:
    Programa de certificados raíz de Windows - lista de miembros (todas las entidades emisoras)
  • Solicitar que el emisor del certificado se inscribe en el programa de certificados raíz de Microsoft. Para obtener más información acerca del programa de certificados raíz y el funcionamiento de los certificados raíz en Windows, visite el siguiente sitio Web de Microsoft:
    Programa de certificados raíz de Microsoft
Advertencia No recomendamos que AD FS usar una CA interna al que se puede aprovechar para SSO con Office 365. Utilizando una cadena de certificados que no es de confianza por el centro de datos de Office 365 hará que la conectividad de Microsoft Outlook a Microsoft Exchange Online a fallar cuando se utiliza Outlook con funciones SSO.

Obtener más información

¿Sigue necesitando ayuda? Vaya a la Comunidad de Office 365 sitio Web o el Foros de Active Directory de Windows Azure .

Propiedades

Id. de artículo: 2523494 - Última revisión: domingo, 02 de marzo de 2014 - Versión: 25.0
La información de este artículo se refiere a:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Palabras clave: 
o365 o365a o365e kbgraphxlink o365022013 after upgrade o365062011 pre-upgrade o365m kbgraphic kbmt KB2523494 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2523494

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com