Viene visualizzato un avviso di certificato da AD FS quando si accede a Microsoft 365, Azure o Intune

Problema

Quando si tenta di accedere a un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Azure o Microsoft Intune usando un account federato, viene visualizzato un avviso di certificato dal servizio Web AD FS nel browser.

Causa

Questo problema si verifica quando si verifica un errore di convalida durante un test del certificato.

Prima di poter usare un certificato per proteggere una sessione SSL (Secure Sockets Layer) o TLS (Transport Layer Security), il certificato deve superare i test standard seguenti:

  • Il certificato non è valido in base al tempo. Se la data del server o del client è precedente alla data Di origine valida o alla data di rilascio del certificato o se la data del server o del client è successiva alla data Valida fino alla data o alla data di scadenza del certificato, la richiesta di connessione genera un avviso basato su questo stato. Per assicurarsi che il certificato superi questo test, verificare se il certificato è effettivamente scaduto o è stato applicato prima che diventasse attivo. Eseguire quindi una delle azioni seguenti:

    • Se il certificato è effettivamente scaduto o è stato applicato prima che diventasse attivo, è necessario generare un nuovo certificato con le date di recapito appropriate per proteggere la comunicazione per il traffico AD FS.
    • Se il certificato non è scaduto o non è stato applicato prima che diventasse attivo, verificare l'ora nei computer client e server e quindi aggiornarli in base alle esigenze.
  • Mancata corrispondenza del nome del servizio. Se l'URL usato per stabilire la connessione non corrisponde ai nomi validi per cui è possibile usare il certificato, la richiesta di connessione genera un avviso basato su questo stato. Per assicurarsi che il certificato superi questo test, seguire questa procedura:

    1. Esaminare l'URL nella barra degli indirizzi del browser usato per stabilire la connessione.

      Nota

      Concentrarsi sull'indirizzo del server (ad esempio, sts.contoso.com) e non sulla sintassi HTTP finale (ad esempio, /?request=...).

    2. Dopo aver riprodotto l'errore, seguire questa procedura:

      1. Fare clic su Visualizza certificati e quindi sulla scheda Dettagli . Confrontare l'URL del passaggio A con il campo Oggetto e con i campi Nome alternativo soggetto nella finestra di dialogo Proprietà del certificato.

        Screenshot che mostra l'errore nella pagina Indirizzo non corrispondente.

      2. Verificare che l'indirizzo usato nel passaggio A non sia elencato o non corrisponda ad alcuna voce in questi campi o in entrambi. In questo caso, il certificato deve essere riemesso per includere l'indirizzo del server usato nel passaggio A.

  • Il certificato non è stato emesso da un'autorità di certificazione radice (CA) attendibile. Se il computer client che richiede la connessione non considera attendibile la catena di autorità di certificazione che ha generato il certificato, la richiesta di connessione genererà un avviso basato su questo stato. Per assicurarsi che il certificato superi questo test, seguire questa procedura:

    1. Rigenerare l'avviso del certificato e quindi fare clic su Visualizza certificato per esaminare il certificato. Nella scheda Percorso di certificazione notare la voce della nota radice visualizzata nella parte superiore.
    2. Fare clic su Start, fare clic su Esegui, digitare MMC e quindi fare clic su OK.
    3. Fare clic su File, fare clic su Aggiungi/rimuovi snap-in, fare clic su Certificati, fare clic su Aggiungi, selezionare Account computer, fare clic su Avanti, fare clic su Finee quindi fare clic su OK.
    4. Nello snap-in MMC individuare Radice console, espandere Certificati, Espandere Autorità di certificazione radice attendibili, fare clic su Certificati e quindi verificare che non esista un certificato per la voce della nota radice annotata nel passaggio A.

Soluzione

Per risolvere questo problema, usare uno dei metodi seguenti, a seconda del messaggio di avviso.

Metodo 1: Problemi validi per il tempo

Per risolvere i problemi validi per il tempo, seguire questa procedura.

  1. Rilasciare nuovamente il certificato con una data di validità appropriata. Per altre informazioni su come installare e configurare un nuovo certificato SSL per AD FS, vedi Come modificare il certificato di comunicazione del servizio AD FS 2.0 dopo la scadenza.

  2. Se è stato distribuito un proxy ADFS, è necessario installare anche il certificato nel sito Web predefinito del proxy ADFS usando le funzioni di esportazione e importazione del certificato. Per altre info, vedi Come rimuovere, importare ed esportare certificati digitali.

    Importante

    Assicurarsi che la chiave privata sia inclusa nel processo di esportazione o importazione. Anche il server o i server proxy ADFS devono avere una copia della chiave privata installata.

  3. Assicurarsi che le impostazioni di data e ora nel computer client o in tutti i server AD FS siano corrette. L'avviso verrà visualizzato in errore se le impostazioni della data del sistema operativo non sono corrette e indicherà erroneamente un valore esterno a Valido da e Valido per l'intervallo.

Metodo 2: Problemi di mancata corrispondenza del nome del servizio

Il nome del servizio ADFS viene impostato quando si esegue la Configurazione guidata AD FS e si basa sul certificato associato al sito Web predefinito. Per risolvere i problemi di mancata corrispondenza dei nomi del servizio, seguire questa procedura:

  1. Se per generare un certificato sostitutivo è stato usato il nome del certificato errato, seguire questa procedura:

    1. Verificare che il nome del certificato non sia corretto.
    2. Rilasciare nuovamente il certificato corretto. Per altre informazioni su come installare e configurare un nuovo certificato SSL per AD FS, vedi Come modificare il certificato di comunicazione del servizio AD FS 2.0 dopo la scadenza.
  2. Se l'endpoint idP o gli smart link di AD FS vengono sfruttati per un'esperienza di accesso personalizzata, assicurarsi che il nome del server usato corrisponda al certificato assegnato al servizio AD FS.

  3. In rari casi, questa condizione può essere causata anche dal tentativo errato di modificare il nome del servizio AD FS dopo l'implementazione.

    Importante

    Questi tipi di modifiche causeranno un'interruzione del servizio AD FS. Dopo l'aggiornamento, è necessario seguire questa procedura per ripristinare la funzionalità Single Sign-On (SSO):

    1. Eseguire il cmdlet Update-MSOLFederatedDomain in tutti gli spazi dei nomi federati.
    2. Eseguire di nuovo la configurazione guidata dell'installazione per tutti i server proxy AD FS nell'ambiente.

Nota

Azure AD PowerShell è previsto per la deprecazione il 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Microsoft Graph PowerShell consente l'accesso a tutte le API di Microsoft Graph ed è disponibile in PowerShell 7. Per le risposte alle query di migrazione comuni, vedere Domande frequenti sulla migrazione.

Metodo 3: Emissione di problemi di attendibilità della catena di certificazione

È possibile risolvere i problemi di attendibilità dell'autorità di certificazione emittente eseguendo una delle attività seguenti:

  • Ottenere e usare un certificato da un'origine che partecipa a Microsoft Root Certificate Program.
  • Richiedere che l'autorità di certificazione del certificato si registri nel programma certificato radice Microsoft. Per altre informazioni sul programma certificato radice e sul funzionamento dei certificati radice in Windows, vedere Microsoft Root Certificate Program.For more information about the Root Certificate Program and the operation of root certificates in Windows, see Microsoft Root Certificate Program.

Avviso

Non è consigliabile che AD FS usi una CA interna quando viene sfruttata per l'accesso SSO con Microsoft 365. L'uso di una catena di certificati non attendibile dal data center di Microsoft 365 causerà l'esito negativo della connettività di Microsoft Outlook Microsoft Exchange Online quando Outlook viene usato con le funzionalità SSO.

Ulteriori informazioni

Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.