Du får en advarsel om sertifikatfeil fra AD FS når du prøver å logge på Office 365, Azure eller Windows Intune

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 2523494 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

PROBLEMET

Når du prøver å logge på en skytjeneste for Microsoft Office 365, Azure Microsoft eller Windows Intune ved hjelp av en konto for medlemmer av organisasjonsnettverk, mottar du en advarsel om sertifikatfeil fra AD FS-webtjenesten i webleseren.

ÅRSAK

Dette problemet oppstår når det oppstår en feil ved validering av under en test for sertifikatet.

Før et sertifikat kan brukes til å sikre en Secure Sockets Layer (SSL) eller Transport Layer Security (TLS) økt, må sertifikatet sende følgende standard tester:
  • Sertifikatet er ikke gyldig tid. Hvis datoen på serveren eller klienten er tidligere enn gyldig fra -dato eller utstedelsesdatoen for sertifikatet, eller hvis den på serveren eller klienten er senere enn gyldig til -dato eller utløpsdatoen for sertifikatet, utstedt en advarsel som er basert på denne tilstanden i tilkoblingsforespørselen. Hvis du vil forsikre deg om at sertifikatet sender denne testen, kontroller om sertifikatet faktisk har utløpt eller ble brukt før de ble aktivt. Deretter gjør du ett av følgende:
    • Hvis sertifikatet faktisk er utløpt eller ble brukt før de ble aktive, må et nytt sertifikat genereres som har de riktige leveringsdatoene for å sikre kommunikasjonen for AD FS-trafikk.
    • Hvis sertifikatet ikke utløper, eller ble ikke brukt før det ble aktivt, kontroller tiden på klienten og serveren, og deretter oppdatere dem etter behov.
  • Tjenesten navnekonflikt. Hvis URL-adressen som brukes til å opprette tilkoblingen ikke samsvarer med de gyldige navnene som sertifikatet kan brukes, utstedt en advarsel som er basert på denne tilstanden i tilkoblingsforespørselen. Hvis du vil forsikre deg om at sertifikatet sender denne testen, følger du denne fremgangsmåten:
    1. Kontroller URL-adressen i adresselinjen i webleseren som brukes til å opprette tilkoblingen.

      Obs! Fokus på serveradressen (for eksempel sts.contoso.com) og ikke på etterfølgende HTTP-syntaksen (for eksempel /? forespørselen =...).
    2. Når du reprodusere feilen, kan du følge disse trinnene:
      1. Klikk Vis sertifikater, og klikk deretter kategorien Detaljer Sammenlign URL-adressen fra trinn A til Emne -feltet og Alternative emnenavnet felt i de Egenskaper dialogboks for sertifikatet.

        Skjul dette bildetVis dette bildet
        Skjermbilde av siden adressen ikke samsvarer
      2. Kontroller at adressen som ble brukt i trinn A ikke finnes i listen, eller samsvarer ikke med noen oppføringer i disse feltene, eller begge deler. Hvis dette er tilfellet, må sertifikatet være utgitt for å inkludere serveradressen som ble brukt i trinn A.
  • Sertifikatet ble utstedt av en klarert rotsertifiseringsinstans (CA). Hvis klientdatamaskinen som ber om tilkoblingen ikke stoler kjeden Sertifiseringsinstansen som genererte sertifikatet, gi tilkoblingsforespørselen en advarsel som er basert på denne tilstanden. Hvis du vil forsikre deg om at sertifikatet sender denne testen, følger du denne fremgangsmåten:
    1. Lag en advarsel om sertifikatfeil, og klikk deretter Vis sertifikat til å undersøke sertifikatet. På den sertifiseringsbanen kategorien, Legg merke til roten notat oppføring på som vises øverst.
    2. Klikk Start, klikk Kjør, Skriv inn MMC, og klikk deretter OK.
    3. Klikk fil, klikk Legg til/fjern snapin-modul, klikk sertifikater, klikker du Legg til, velg Kontoen, klikk Neste, klikk Fullfør, og klikk deretter OK.
    4. I MMC-snapin-modulen, Finn Konsollroten, utvid sertifikater, utvid Klarerte rotsertifiseringsinstanser, klikk sertifikater, og deretter kontrollerer du at det ikke finnes et sertifikat for den primære notatet som du noterte i trinn A.

LØSNING

Hvis du vil løse dette problemet, bruker du én av følgende metoder, avhengig av advarselen.

Metode 1: tid-valid problemer

Følg disse trinnene for å løse problemer for tiden er gyldig.
  1. Utgitt sertifikat med en passende gyldighetsdato. For mer informasjon om hvordan du installerer og konfigurerer en ny SSL-sertifikatet for AD FS, kan du se følgende artikkel i Microsoft Knowledge Base:
    2921805 Hvordan for å endre AD FS 2.0 service kommunikasjon sertifikat etter utløper det
  2. Hvis en AD FS-proxyen ble distribuert, må du også installere sertifikat på standard webområde for AD FS-proxy ved hjelp av sertifikatet eksport og import funksjoner. For mer informasjon, kan du se følgende artikkel i Microsoft Knowledge Base:
    179380 Slik fjerner, importere og eksportere digitale sertifikater
    Viktig Kontroller at den private nøkkelen er inkludert i eksporten eller importen. AD FS-Proxy-serveren eller servere må også ha en kopi av den private nøkkelen som er installert.
  3. Kontroller at dato og klokkeslett på klientmaskinen, eller på alle AD FS-serverne er riktig. Advarselen vises feil hvis operativsystemet datoinnstillingene er feil, og det feilaktig angir en verdi som er utenfor Valid fra og Valid til området.

Metode 2:Tjenesteproblemer navnet feil

AD FS-tjenestenavnet er angitt når du kjører veiviseren for konfigurasjon av AD FS og er basert på sertifikatet som er bundet til standard webområde. Du kan løse serviceproblemer navnet feil, gjør du følgende:
  1. Hvis feil sertifikatnavnet ble brukt til å generere et sertifikat for erstatning, gjør du følgende:
    1. Kontroller at sertifikatnavnet på er feil.
    2. Utgi det riktige sertifikatet. For mer informasjon om hvordan du installerer og konfigurerer en ny SSL-sertifikatet for AD FS, kan du se følgende artikkel i Microsoft Knowledge Base:
      2921805 Hvordan for å endre AD FS 2.0 service kommunikasjon sertifikat etter utløper det
  2. Hvis AD FS idP endepunkt eller smart koblinger utnyttes for en tilpasset påloggingen, må du kontrollere at navnet på serveren som brukes samsvarer med sertifikatet som er tilordnet til AD FS-tjenesten. Hvis du vil ha mer informasjon om idP og smart koblinger-godkjenning, kan du gå til følgende Microsoft-webområde:

    Ved hjelp av smart koblinger eller IdP startet godkjenning med Office 365
  3. I sjeldne tilfeller kan kan denne tilstanden også skyldes feil prøver å endre navnet på AD FS-tjenesten etter implementering. Hvis du vil ha mer informasjon om hvordan du manuelt endrer tjenestenavnet AD FS sluttpunkt, kan du gå til følgende Microsoft-webområde:

    AD FS 2.0: Hvordan du endrer Federation Service-navn

    Advarsel Slike endringer, vil det føre til at en AD FS tjenesten ikke virker. Etter oppdateringen, må du følge denne fremgangsmåten for å gjenopprette enkel pålogging (SSO) funksjonaliteten:
    1. Kjøre cmdleten Oppdateringen MSOLFederatedDomain på alle navneområder for medlemmer av organisasjonsnettverk.
    2. Kjør installasjonsprogrammet for konfigurasjonsveiviseren for et hvilket som helst AD FS-proxy-servere i miljøet på nytt.

Metode 3:Utsteder sertifisering kjede trust problemer


Du kan løse utstedende sertifiseringsinstans sertifiseringsinstans trust problemer ved å gjøre ett av følgende oppgaver:
  • Få og bruke et sertifikat fra en kilde som deltar i Microsofts rotsertifikatprogram. Hvis du vil vise en liste over klarerte sertifikater kilder, kan du gå til følgende webområde:
    Windows rotsertifikatprogram - medlemsliste (alle CAer)
  • Be om at sertifikatutstederen registrere i Microsofts rotsertifikatprogram. Hvis du vil ha mer informasjon om den rotsertifikatprogram og driften av rotsertifikater i Windows, kan du gå til følgende Microsoft-webområde:
    Microsoft rotsertifikatprogram
Advarsel Vi anbefaler ikke at AD FS bruker en intern CA når det er også for SSO med Office 365. Ved hjelp av en sertifikatkjede som ikke er klarert av Office 365-datasenteret fører til at Microsoft Outlook-tilkobling til Microsoft Exchange Online til å mislykkes når Outlook brukes med SSO-funksjoner.

HVIS DU VIL HA MER INFORMASJON

Trenger du fortsatt hjelp? Gå til den Office 365-fellesskapet webområdet eller Azure Active Directory-forum .

Egenskaper

Artikkel-ID: 2523494 - Forrige gjennomgang: 12. juli 2014 - Gjennomgang: 15.0
Informasjonen i denne artikkelen gjelder:
  • Microsoft Azure
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Nøkkelord: 
o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtno
Maskinoversatt
VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.
Den engelske versjonen av denne artikkelen er den følgende: 2523494

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com