Viene visualizzato un avviso di certificato da ADFS, quando si tenta di accedere a Office 365, Windows Azure o Windows Intune

Traduzione articoli Traduzione articoli
Identificativo articolo: 2523494 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

PROBLEMA

Quando si tenta di accedere a un servizio cloud di Microsoft Office 365, Windows Azure o Windows Intune utilizzando un account federato, viene visualizzato un avviso certificato dal servizio web ADFS nel browser.

CAUSA

Questo problema si verifica quando viene rilevato un errore di convalida durante un test di certificato.

Prima di poter utilizzare un certificato per la protezione di una sessione di Secure Sockets Layer (SSL) o Transport Layer Security (TLS), il certificato deve superare i test standard seguenti:
  • Certificato non č ora valida. Se la data del server o client č precedente alla data valido dal o la data di emissione del certificato, o se la data del server o client č successiva alla data di validitā o la data di scadenza del certificato, la richiesta di connessione genera un avviso che si basa su questo stato. Per assicurarsi che il certificato passa questo test, controllare se il certificato effettivamente scaduto o č stato applicato prima che diventasse attivo. Quindi, effettuare una delle seguenti operazioni:
    • Se il certificato č effettivamente scaduto o č stato applicato prima che diventasse attivo, deve essere generato un nuovo certificato con le date di consegna appropriate per proteggere la comunicazione per il traffico di ADFS.
    • Se il certificato non ha scadenza o non č stato applicato prima che diventasse attivo, verificare l'ora nei computer client e server e quindi eseguire l'aggiornamento come obbligatorio.
  • Nome del servizio non corrispondente. Se l'URL utilizzato per effettuare la connessione non corrisponde ai nomi validi per i quali il certificato puō essere utilizzato, la richiesta di connessione genera un avviso che si basa su questo stato. Per assicurarsi che il certificato passi questo test, attenersi alla seguente procedura:
    1. Esaminare l'URL nella barra degli indirizzi del browser che consente di stabilire la connessione.

      Nota. Lo stato attivo per l'indirizzo del server (ad esempio, sts.contoso.com) e non per la sintassi HTTP finale (ad esempio, /? richiesta =...).
    2. Dopo che di riprodurre l'errore, attenersi alla seguente procedura:
      1. Fare clic su Visualizza certificatie quindi scegliere la scheda Dettagli confrontare l'URL dal passaggio A per il campo oggetto e il Nome alternativo soggetto campi la proprietā nella finestra di dialogo del certificato.

        Riduci l'immagineEspandi l'immagine
        Schermata della pagina di indirizzo non corrispondente
      2. Verificare che l'indirizzo viene utilizzato nel passaggio A non č presente o non corrisponde a tutte le voci in questi campi, o entrambi. Se questo č il caso, il certificato deve essere aggiornato per includere l'indirizzo del server che č stato utilizzato nel passaggio A.
  • Certificato non č stato rilasciato da un'autoritā di certificazione (CA principale attendibile). Se il computer client che richiede la connessione non considera attendibile la catena di autoritā di certificazione che ha generato il certificato, la richiesta di connessione emetterā un avviso che si basa su questo stato. Per assicurarsi che il certificato passi questo test, attenersi alla seguente procedura:
    1. Rigenerare l'avviso certificato, quindi fare clic su Visualizza certificato per esaminare il certificato. Nel percorso di certificazione scheda, notate che la voce della nota principale su che viene visualizzata nella parte superiore.
    2. Fare clic su Start, scegliere Esegui, digitare MMCe quindi fare clic su OK.
    3. Fare clic su File, fare clic su Aggiungi/Rimuovi Snap-in, fare clic su certificati, fare clic su Aggiungi, selezionare Account del Computer, fare clic su Avanti, fare clic su Finee quindi fare clic su OK.
    4. Nello snap-in MMC, individuare la Directory principale Console, i certificati, Autoritā di certificazione radice attendibili, fare clic su certificatie quindi verificare che non esiste un certificato per la voce della nota principale annotato nel passaggio A.

SOLUZIONE

Per risolvere questo problema, utilizzare uno dei metodi seguenti, a seconda del messaggio di avviso.

Metodo 1: tempo-vproblemi di alid

Per risolvere i problemi ora valido, attenersi alla seguente procedura.
  1. Riemettere il certificato con una data di validitā appropriato. Per ulteriori informazioni su come installare e configurare un nuovo certificato SSL per ADFS, vedere il seguente articolo della Microsoft Knowledge Base:
    2921805 Come per modificare l'annuncio di comunicazioni di servizio ADFS 2.0 certificato dopo la scadenza
  2. Se č stato distribuito un proxy di AD FS, č necessario inoltre installare il certificato sul sito Web predefinito del proxy di AD FS tramite l'esportazione del certificato e funzioni di importazione. Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
    179380 Come rimuovere, importare ed esportare i certificati digitali
    Importante Assicurarsi che la chiave privata č incluso nell'esportazione o il processo di importazione. I server Proxy di AD FS inoltre necessario disporre di una copia della chiave privata installata.
  3. Assicurarsi che le impostazioni di data e ora sul computer client o su tutti i server ADFS siano corrette. Verrā visualizzato l'avviso di errore se le impostazioni di data del sistema operativo sono errate e indicherā erroneamente un valore che corrisponde al Valid da e all'intervallo dialid a V.

Metodo 2:Problemi di mancata corrispondenza del nome di servizio

Il nome del servizio ADFS viene impostato quando si esegue la configurazione guidata di Active Directory FS č basata sul certificato di cui č associato il sito Web predefinito. Per risolvere problemi di mancata corrispondenza del nome di servizio, attenersi alla seguente procedura:
  1. Se il nome del certificato errato č stato utilizzato per generare un certificato sostitutivo, attenersi alla seguente procedura:
    1. Verificare che il nome del certificato non č corretto.
    2. Eseguire nuovamente il certificato corretto. Per ulteriori informazioni su come installare e configurare un nuovo certificato SSL per ADFS, vedere il seguente articolo della Microsoft Knowledge Base:
      2921805 Come per modificare l'annuncio di comunicazioni di servizio ADFS 2.0 certificato dopo la scadenza
  2. Se l'endpoint AD FS idP o collegamenti smart vengono utilizzati per un'esperienza di accesso personalizzata, assicurarsi che il nome del server utilizzato corrisponda al certificato assegnato al servizio ADFS. Per ulteriori informazioni su idP e l'autenticazione smart collegamenti, vedere il seguente sito Web Microsoft:

    Utilizzando collegamenti smart o IdP ha iniziato l'autenticazione con Office 365
  3. In rari casi, questa condizione puō essere causata anche in modo non corretto durante il tentativo di modificare il nome del servizio ADFS dopo l'implementazione. Per ulteriori informazioni su come modificare manualmente il nome di servizio dell'endpoint di ADFS, vedere il seguente sito Web Microsoft:

    AD FS 2.0: Come modificare il nome del servizio federativo

    Avviso. Questi tipi di modifiche causerā un'interruzione del servizio ADFS. Dopo l'aggiornamento, č necessario attenersi alla seguente procedura per ripristinare single sign-on (SSO) funzionalitā:
    1. Eseguire il cmdlet Update-MSOLFederatedDomain in tutti gli spazi dei nomi federati.
    2. Eseguire nuovamente l'installazione guidata di configurazione per tutti i server AD FS proxy nell'ambiente.

Metodo 3:Problemi di attendibilitā catena di certificazione di emissione


Č possibile risolvere i problemi di trust autoritā certificazione emittente effettuando una delle seguenti operazioni:
  • Ottenere e utilizzare un certificato da un'origine che partecipa al programma Microsoft Root Certificate. Per visualizzare un elenco di fonti attendibili certificati, visitare il seguente sito Web:
    Programma Windows Root Certificate - elenco di membri (tutte le CA)
  • Richiedere che l'autoritā di certificazione registrare nel programma Microsoft Root Certificate. Per ulteriori informazioni sul programma certificato radice e il funzionamento dei certificati radice in Windows, visitare il seguente sito Web Microsoft:
    Programma Microsoft Root Certificate
Avviso. Non č consigliabile che ADFS utilizza una CA interna quando in cui viene utilizzata per SSO con Office 365. Utilizzando una catena di certificati non č considerato attendibile dal centro dati di Office 365 causerā la connettivitā di Microsoft Outlook per Microsoft Exchange Online quando Outlook viene utilizzato con funzionalitā SSO.

ULTERIORI INFORMAZIONI

Ulteriore assistenza? Vai al Community di Office 365 sito Web o il Forum di Active Directory di Windows Azure .

Proprietā

Identificativo articolo: 2523494 - Ultima modifica: domenica 2 marzo 2014 - Revisione: 24.0
Le informazioni in questo articolo si applicano a:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Chiavi: 
o365 o365a o365e kbgraphxlink o365022013 after upgrade o365062011 pre-upgrade o365m kbgraphic kbmt KB2523494 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo č stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre č perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitā per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitā della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2523494
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com