Você recebe um aviso de certificado do AD FS quando você tentar entrar no Office 365, o Azure ou o Windows Intune

Traduções deste artigo Traduções deste artigo
ID do artigo: 2523494 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

PROBLEMA

Quando você tentar entrar em um serviço de nuvem da Microsoft, como o Office 365, Microsoft Azure ou Windows Intune usando uma conta federada, você receberá um aviso de certificado do serviço da web do AD FS no seu navegador.

CAUSA

Esse problema ocorre quando é encontrado um erro de validação durante um teste de certificado.

Antes de um certificado pode ser usado para ajudar a proteger uma sessão Secure Sockets Layer (SSL) ou segurança de camada de transporte (TLS), o certificado deve passar os testes padrão a seguir:
  • Certificado não é válido de tempo. Se a data no servidor ou no cliente é anterior a data válida de ou a data de emissão do certificado, ou se a data no servidor ou no cliente é posterior a data válida para ou a data de validade do certificado, a solicitação de conexão emite um aviso que se baseia nesse estado. Para certificar-se de que o certificado passa este teste, verifique se o certificado expirou ou foi aplicado antes de se tornar ativo realmente. Em seguida, execute uma das seguintes ações:
    • Se, na verdade, o certificado expirou ou foi aplicado antes de se tornar ativo, um novo certificado deverá gerado com as datas de entrega adequadas para ajudar a proteger as comunicações para o tráfego do AD FS.
    • Se o certificado não expira ou não tiver sido aplicado antes de se tornar ativo, verifique se a hora nos computadores cliente e servidor e, em seguida, atualizá-los conforme necessário.
  • Incompatibilidade de nome de serviço. Se a URL é usada para fazer a conexão não corresponder os nomes válidos para os quais o certificado pode ser usado, a solicitação de conexão emite um aviso que se baseia nesse estado. Para certificar-se de que o certificado passa esse teste, execute as seguintes etapas:
    1. Examine o URL na barra de endereços do navegador que é usado para estabelecer a conexão.

      Observação Concentre-se no endereço de servidor (por exemplo, sts.contoso.com) e não sobre a sintaxe HTTP à direita (por exemplo, /? solicitação =...).
    2. Depois de reproduzir o erro, execute as seguintes etapas:
      1. Clique em Exibir certificadose, em seguida, clique na guia detalhes Compare a URL do passo A passo para o campo de assunto e o Nome alternativo do assunto campos de propriedades caixa de diálogo do certificado.

        Recolher esta imagemExpandir esta imagem
        Captura de tela da página endereço incompatível
      2. Verifique se o endereço é usado no passo A passo não estiver listado ou não coincide com nenhuma entrada nesses campos, ou ambos. Se esse for o caso, o certificado deve ser reeditado para incluir o endereço do servidor que foi usado na etapa A.
  • Certificado não foi emitido por uma autoridade de certificação (autoridade de certificação raiz confiável). Se o computador cliente que está solicitando a conexão não confiar a cadeia de autoridade de certificação que gerou o certificado, a solicitação de conexão emitirá um aviso se baseia nesse estado. Para certificar-se de que o certificado passa esse teste, execute as seguintes etapas:
    1. Gerar o aviso de certificado e, em seguida, clique em Exibir certificado para examinar o certificado. Sobre o caminho de certificação guia, observe a entrada de nota raiz em que é exibido na parte superior.
    2. Clique em Iniciar, clique em Executar, digite MMCe, em seguida, clique em OK.
    3. Clique em arquivo, clique em Adicionar/Remover Snap-in, clique em certificados, clique em Adicionar, selecione Conta de computador, clique em Avançar, clique em Concluire, em seguida, clique em OK.
    4. No snap-in do MMC, localize a Raiz do Console, expanda certificados, expanda Autoridades de certificação raiz confiáveis, clique em certificadose, em seguida, verifique se que não existe um certificado para a entrada de observação de raiz que você anotou na etapa A.

SOLUÇÃO

Para resolver esse problema, use um dos seguintes métodos, de acordo com a mensagem de aviso.

Método 1: tempo-vproblemas de alid

Para resolver problemas de tempo válido, execute estas etapas.
  1. Emita novamente o certificado com uma data de validade apropriado. Para obter mais informações sobre como instalar e configurar um novo certificado SSL do AD FS, consulte o seguinte artigo da Base de Conhecimento Microsoft:
    2921805 Como alterar o AD FS 2.0 service comunicações certificado após expirar
  2. Se um proxy do AD FS foi implantado, você precisa também instalar o certificado no site padrão do proxy do AD FS usando a exportação do certificado e importar funções. Para obter mais informações, consulte o seguinte artigo da Base de Conhecimento Microsoft:
    179380 Como remover, importar e exportar certificados digitais
    Importante Certifique-se de que a chave particular é incluída na exportação ou o processo de importação. O AD FS Proxy servidor ou servidores também devem ter uma cópia da chave particular instalada.
  3. Certifique-se de que as configurações de data e hora no computador cliente ou em todos os servidores do AD FS estão corretas. O aviso será exibido no erro se as configurações de data do sistema operacional estão incorretas e ela indicará incorretamente um valor que está fora da Valid do e Valid ao intervalo.

Método 2:Problemas de incompatibilidade de nome de serviço

O nome de serviço do AD FS é definido quando você executa o Assistente de configuração do AD FS e baseia-se no certificado que está vinculado ao site da Web padrão. Para resolver problemas de incompatibilidade de nome de serviço, siga estas etapas:
  1. Se o nome de certificado errado foi usado para gerar um certificado de substituição, execute as seguintes etapas:
    1. Verifique se o nome do certificado está incorreto.
    2. Emita novamente o certificado correto. Para obter mais informações sobre como instalar e configurar um novo certificado SSL do AD FS, consulte o seguinte artigo da Base de Conhecimento Microsoft:
      2921805 Como alterar o AD FS 2.0 service comunicações certificado após expirar
  2. Se o ponto de extremidade do AD FS idP ou SmartLinks sejam utilizados para uma experiência de logon personalizada, certifique-se de que o nome do servidor é usado corresponde ao certificado que é atribuído ao serviço do AD FS. Para obter mais informações sobre autenticação de SmartLinks e idP, vá para o seguinte site da Microsoft:

    Usando links inteligentes ou IdP iniciou a autenticação com o Office 365
  3. Em casos raros, essa condição também pode ser causada pela tentativa incorretamente alterar o nome de serviço do AD FS após a implementação. Para obter mais informações sobre como alterar manualmente o nome do serviço de ponto de extremidade do AD FS, consulte o seguinte site da Microsoft:

    O AD FS 2.0: Como alterar o nome do serviço de Federação

    Aviso Esses tipos de alteração fará com que uma paralisação de serviço do AD FS. Após a atualização, você deve seguir estas etapas para restaurar a única funcionalidade sign-on (SSO):
    1. Execute o cmdlet Update-MSOLFederatedDomain em todos os namespaces federados.
    2. Execute novamente o Assistente de configuração para todos os servidores proxy do AD FS no ambiente de instalação.

Método 3:Questões de confiança de cadeia de certificação de emissão


Você pode resolver questões de confiança de autoridade de certificação emissora, executando uma das seguintes tarefas:
  • Obtenha e use um certificado de uma fonte que participa no Microsoft Root Certificate Program. Para exibir uma lista de certificados confiáveis fontes, consulte o seguinte site:
    Windows Root Certificate Program - lista de membros (todas as CAs)
  • Solicite que o emissor do certificado se inscrever no Microsoft Root Certificate Program. Para obter mais informações sobre o programa de certificado raiz e a operação de certificados de raiz no Windows, vá para o seguinte site da Microsoft:
    Microsoft Root Certificate Program
Aviso Não recomendamos que o AD FS usa uma CA interna quando ele é aproveitado para o SSO com o Office 365. Usando uma cadeia de certificados não é confiável para o Centro de dados do Office 365 causará a conectividade do Microsoft Outlook para Microsoft Exchange Online falha quando o Outlook for usado com recursos SSO.

OBTER MAIS INFORMAÇÕES

Ainda precisa de ajuda? Vá para o Comunidade do Office 365 site ou o Fóruns do Azure do Active Directory no site da Web.

Propriedades

ID do artigo: 2523494 - Última revisão: sábado, 12 de julho de 2014 - Revisão: 26.0
A informação contida neste artigo aplica-se a:
  • Microsoft Azure
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Palavras-chave: 
o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 2523494

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com