Anda menerima peringatan sertifikat dari AD FS ketika Anda mencoba untuk masuk ke Office 365, Azure, atau Windows Intune

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2523494 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

MASALAH

Ketika Anda mencoba untuk masuk ke Microsoft awan layanan Office 365, Microsoft Azure atau Windows Intune dengan menggunakan account Federasi, Anda menerima peringatan sertifikat dari Layanan Web AD FS di browser Anda.

PENYEBAB

Masalah ini terjadi ketika validasi kesalahan selama tes sertifikat.

Sebelum Sertifikat dapat digunakan untuk membantu mengamankan sesi Secure Sockets Layer (SSL) atau Transport Layer Security (TLS), sertifikat harus lulus tes standar berikut:
  • Sertifikat tidak valid waktu. Jika tanggal pada server atau klien lebih awal dari berlaku dari tanggal atau tanggal penerbitan sertifikat, atau jika tanggal pada server atau klien selambat-lambatnya tanggal berlaku untuk atau kedaluwarsa sertifikat, permintaan koneksi isu peringatan yang didasarkan pada keadaan ini. Untuk memastikan bahwa sertifikat melewati tes ini, memeriksa apakah sertifikat benar-benar berakhir atau diterapkan sebelum menjadi aktif. Kemudian, mengambil salah satu tindakan berikut:
    • Jika sertifikat benar-benar berakhir atau diterapkan sebelum menjadi aktif, sertifikat baru harus dibuat yang memiliki tanggal pengiriman sesuai untuk membantu mengamankan komunikasi untuk lalu lintas AD FS.
    • Jika Sertifikat tidak berakhir atau tidak diterapkan sebelum menjadi aktif, memverifikasi waktu pada komputer klien dan server, dan kemudian memperbarui mereka seperti yang diperlukan.
  • Nama Layanan ketidakcocokan. Jika URL yang digunakan untuk membuat sambungan tidak sesuai nama yang valid yang Sertifikat dapat digunakan, permintaan koneksi isu peringatan yang didasarkan pada keadaan ini. Untuk memastikan bahwa sertifikat melewati tes ini, ikuti langkah berikut:
    1. Memeriksa URL di address bar browser yang digunakan untuk membangun koneksi.

      Catatan Fokus pada alamat penyuratan server (misalnya, sts.contoso.com) dan bukan pada trailing HTTP sintaks (misalnya, /? permintaan =...).
    2. Setelah Anda mereproduksi kesalahan, ikuti langkah berikut:
      1. Klik Lihat Sertifikat, dan kemudian klik rincian tab. Bandingkan bidang URL dari langkah A untuk bidang subjek dan Nama alternatif subjek di properti kotak dialog sertifikat.

        Perkecil gambar iniPerbesar gambar ini
        Screen shot dari halaman alamat penyuratan serasi
      2. Pastikan bahwa alamat penyuratan yang digunakan dalam langkah A tidak terdaftar atau tidak cocok setiap entri dalam bidang ini, atau keduanya. Jika hal ini terjadi, sertifikat harus kembali untuk memasukkan alamat penyuratan server yang digunakan dalam langkah A.
  • Sertifikat tidak dikeluarkan oleh akar terpercaya (CA otoritas sertifikasi). Jika komputer klien yang meminta sambungan tidak mempercayai rantai CA yang dihasilkan sertifikat, permintaan koneksi akan mengeluarkan peringatan yang didasarkan pada keadaan ini. Untuk memastikan bahwa sertifikat melewati tes ini, ikuti langkah berikut:
    1. Regenerasi peringatan sertifikat, dan kemudian klik melihat sertifikat untuk memeriksa sertifikat. Pada sertifikasi jalan tab, melihat entri catatan akar pada yang ditampilkan di atas.
    2. Klik mulai, klik menjalankan, jenis MMC, dan kemudian klik OK.
    3. Klik File, klik Tambah/Hapus snap-in, klik sertifikat, klik Tambah, pilih Account komputer, klik berikutnya, klik selesai, dan kemudian klik OK.
    4. snap-in MMC, menemukan Akar konsol, memperluas sertifikat, memperluas Dipercaya akar sertifikasi otoritas, klik sertifikatdan kemudian memverifikasi bahwa sertifikat untuk entri catatan akar yang Anda dijelaskan dalam langkah A tidak ada.

SOLUSI

Untuk mengatasi masalah ini, gunakan salah satu metode berikut, tergantung pada pesan peringatan.

Metode 1: waktu-vmasalah alid

Untuk mengatasi masalah waktu berlaku, ikuti langkah berikut.
  1. Diterbitkan ulang sertifikat dengan tanggal berlaku sesuai. Untuk info lebih lanjut tentang cara menginstal dan mengatur sertifikat SSL baru untuk AD FS, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
    2921805 Bagaimana mengubah iklan FS 2.0 layanan komunikasi sertifikat setelah kadaluarsa
  2. Jika proksi AD FS dikerahkan, Anda harus juga menginstal sertifikat situs web standar dari AD FS proxy dengan menggunakan sertifikat ekspor dan fungsi impor. Untuk info lebih lanjut, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
    179380 Bagaimana menghapus, impor dan ekspor sertifikat digital
    Penting Pastikan bahwa bukti kunci pribadi disertakan dalam ekspor atau impor proses. AD FS server proksi atau server juga harus memiliki kopi karbon bukti kunci pribadi yang diinstal.
  3. Pastikan bahwa pengaturan tanggal dan waktu pada komputer klien atau pada semua server AD FS benar. Peringatan akan ditampilkan dalam kesalahan jika operasi sistem pengaturan tanggal salah, dan itu akan salah menunjukkan nilai di luar Valid dari dan Valid untuk rentang.

Metode 2:Masalah ketidakcocokan nama Layanan

Nama Layanan AD FS diatur ketika Anda menjalankan Wizard konfigurasi AD FS dan didasarkan pada sertifikat yang terikat ke situs web standar. Untuk mengatasi masalah ketidakcocokan nama layanan, ikuti langkah berikut:
  1. Jika nama sertifikat salah digunakan untuk menghasilkan penggantian sertifikat, ikuti langkah berikut:
    1. Pastikan nama sertifikat salah.
    2. Diterbitkan ulang sertifikat benar. Untuk info lebih lanjut tentang cara menginstal dan mengatur sertifikat SSL baru untuk AD FS, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
      2921805 Bagaimana mengubah iklan FS 2.0 layanan komunikasi sertifikat setelah kadaluarsa
  2. Jika AD FS idP endpoint atau smart link leverage untuk pengalaman disesuaikan masuk, pastikan bahwa nama server yang digunakan sesuai sertifikat yang ditugaskan ke layanan AD FS. Untuk informasi lebih lanjut tentang pengungsi dan smart link otentikasi, kunjungi website Microsoft berikut:

    Menggunakan smart link atau IdP dimulai otentikasi dengan Office 365
  3. Dalam kasus yang jarang, kondisi ini dapat juga disebabkan oleh salah mencoba untuk mengubah nama Layanan AD FS setelah implementasi. Untuk informasi lebih lanjut tentang bagaimana untuk secara manual mengubah nama Layanan endpoint AD FS, kunjungi website Microsoft berikut:

    AD FS 2.0: Cara mengubah nama Layanan Federasi

    Peringatan Jenis-jenis perubahan akan menyebabkan outage Layanan AD FS. Setelah update, Anda harus mengikuti langkah-langkah berikut untuk gulung balik tunggal terusan (SSO akses) fungsi:
    1. Jalankan cmdlet Update-MSOLFederatedDomain semua Federasi namespaces.
    2. Jalankan kembali wizard konfigurasi pengaturan untuk setiap AD FS server proksi di lingkungan.

Metode 3:Mengeluarkan masalah kepercayaan sertifikasi rantai


Anda bisa menyelesaikan masalah kepercayaan Otoritas Sertifikat (CA) yang mengeluarkan dengan melakukan salah satu tugas berikut:
  • Mendapatkan dan menggunakan sertifikat dari sumber yang berpartisipasi dalam Program Sertifikat akar Microsoft. Untuk melihat daftar sumber-sumber terpercaya sertifikat, pergi ke situs berikut:
    Program Sertifikat Windows akar - daftar anggota (semua CAs)
  • Permintaan bahwa pengeluar sertifikat mendaftar di Program Sertifikat akar Microsoft. Untuk informasi lebih lanjut tentang Program Sertifikat akar dan operasi akar sertifikat di Windows, kunjungi website Microsoft berikut:
    Program Sertifikat Microsoft akar
Peringatan Kami tidak merekomendasikan bahwa menggunakan AD FS CA internal ketika itu sangat berpengaruh SSO dengan Office 365. Menggunakan jaringan sertifikat yang tidak dipercaya oleh Office 365 data center akan menyebabkan konektivitas Microsoft Outlook untuk Microsoft Exchange Online gagal ketika Outlook yang digunakan dengan fitur SSO.

INFORMASI LEBIH LANJUT

Masih perlu bantuan? Pergi ke Komunitas Office 365 situs web atau Forum Azure Active Directory .

Properti

ID Artikel: 2523494 - Kajian Terakhir: 10 Juli 2014 - Revisi: 23.0
Berlaku bagi:
  • Microsoft Azure
  • Microsoft Office 365
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Kata kunci: 
o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 2523494

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com