Veți primi un avertisment referitor la certificat de AD FS, atunci când încercați să faceți sign in la Office 365, Azure sau Windows Intune

Traduceri articole Traduceri articole
ID articol: 2523494 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

PROBLEMA

Când încercați să faceți sign in la un serviciu de nor Microsoft Office 365, Microsoft Azure sau Windows Intune cu un cont federalizate, veți primi un avertisment referitor la certificat la serviciul de web AD FS în browser-ul.

CAUZA

Această problemă apare atunci când o eroare de validare este întâlnit în timpul unui test de certificat.

Înainte un certificat poate fi folosit pentru a ajuta asigura o sesiune de Secure Sockets Layer (SSL) sau protocol TLS (TLS), certificatul trebuie să treacă teste standard următoarele:
  • Certificatul nu este valabil de marcă de timp. Dacă data pe server sau clientul este mai devreme decât valabil la data sau data emiterii certificatului, sau dacă data pe server sau clientul este mai târziu decât valabil la data sau dată de expirare a certificatului, solicitarea de conexiune emite un avertisment care se bazează pe această stare. Pentru a vă asigura că certificatul trece acest test, pentru a verifica dacă certificatul de fapt a expirat sau a fost aplicat înainte de a devenit activ. Apoi, ia una din următoarele acțiuni:
    • Dacă certificatul de fapt a expirat sau a fost aplicat înainte de a devenit activ, un nou certificat trebuie să fie generat, care are datele de livrare corespunzătoare pentru a asigura o comunicare AD FS trafic.
    • În cazul în care certificatul nu expira sau nu a fost aplicat înainte de a devenit activ, verificarea în marcă de timp pe computerele client și server și apoi actualizați-le necesare.
  • Nepotrivire de nume serviciu. Dacă URL-ul care este folosit pentru a face conexiunea nu se potrivește cu nume de sign-in valide pentru care poate fi utilizat certificatul, solicitarea de conexiune emite un avertisment care se bazează pe această stare. Pentru a vă asigura că certificatul trece acest test, urmați acești pași:
    1. Examina URL-ul în bara Adrese a browser-ul utilizat pentru a stabili conexiunea.

      Notă Adresa de server (de exemplu, sts.contoso.com) și nu la final HTTP sintaxa (de exemplu, /? cerere =...).
    2. După ce ați reproduce eroarea, urmați acești pași:
      1. Faceți clic pe vizualizare Proiect certificate, și apoi faceți clic pe fila detalii compara URL-ul din Pasul A câmpul subiect și Subiect alternativă nume câmpuri în proprietăți casetă de dialog a certificatului.

        Reduceți imagineaMăriți imaginea
        Captură de ecran a adresa greșită filme
      2. Verifica?i că adresa este folosită în pasul A nu este listat sau nu se potrivește cu orice intrări în aceste domenii, sau ambele. Dacă acesta este cazul, certificatul trebuie să fie emise din nou pentru a include adresa de server care a fost utilizat în pas A.
  • Certificatul nu a fost emis de o autoritate de certificare rădăcină de încredere (CA). Dacă computer client care solicită conexiunea nu încredere CA lanțul care a generat certificatul, solicitarea de conexiune va emite un avertisment care se bazează pe această stare. Pentru a vă asigura că certificatul trece acest test, urmați acești pași:
    1. Regenera avertisment referitor la certificat, și apoi faceți clic pe Vezi certificatul pentru a examina certificatul. Pe cale de certificare tab, observa rădăcină Notă intrarea pe care este afișat în partea de sus.
    2. Faceți clic pe Start, faceți clic pe Run, tip MMC, și apoi faceți clic pe OK.
    3. Faceți clic pe fișier, faceți clic pe Adăugare/eliminare de completare Snap-in, faceți clic pe certificate, faceți clic pe Adăugare, selectați cont pentru computer, faceți clic pe Next, faceți clic pe Terminare, și apoi faceți clic pe OK.
    4. În completare snap-in MMC, localizați Consolă Root, extinde certificate, extinde Autorită?i de certificare rădăcină de încredere, faceți clic pe certificate, și apoi verificați că nu există un certificat rădăcină Notă intrare notat în pasul A.

SOLUȚIE

Pentru a rezolva această problemă, utilizați una dintre următoarele metode, în funcție de mesajul de avertizare.

Metoda 1: timp-vprobleme de alex

Pentru a rezolva problemele de timp-valabile, urmați acești pași.
  1. Reemiterea certificatului cu o dată de valabilitatea corespunzătoare. Pentru mai multe informații despre cum să instalați și a înființat un nou certificat SSL pentru AD FS, consultați următorul articol din bază de cunoștințe Microsoft:
    2921805 Cum de a schimba AD FS 2.0 serviciu de comunicații certificat dupa expirarea acestuia
  2. Dacă a fost desfășurat un proxy AD FS, aveți, de asemenea, instalați certificatul pe site-ul implicit AD FS proxy utilizând certificatul de export și funcții de import. Pentru mai multe informații, consultați următorul articol din bază de cunoștințe Microsoft:
    179380 Cum să eliminați, de import și export certificate digitale
    Important Asigurați-vă că cheia privată este inclusă în exportul sau procesul de import. Serverul AD FS Proxy sau fermă de servere trebuie să aibă, de asemenea, o copie a cheii private instalat.
  3. Asigurați-vă că setările data și ora de pe computer client sau pe toate serverele de AD FS sunt corecte. Avertizare vor fi afișate în eroare dacă sistemul de operare data setările sunt incorecte, și acesta va indica incorect o valoare care este în afara Valex la și gama dealex la V.

Metoda 2:Probleme de nepotrivire serviciu nume

AD FS serviciu nume este stabilit atunci când executați Expertul de configurare AD FS și se bazează pe certificatul de care este legat de site-ul implicit. Pentru a rezolva probleme de nepotrivire serviciu nume, urmați acești pași:
  1. Dacă nume de sign-in greșit certificat a fost utilizat pentru a genera un certificat înlocuitor, urmați acești pași:
    1. Verificați că nume de sign-in de certificat este incorectă.
    2. Reemiterea certificatului corect. Pentru mai multe informații despre cum să instalați și a înființat un nou certificat SSL pentru AD FS, consultați următorul articol din bază de cunoștințe Microsoft:
      2921805 Cum de a schimba AD FS 2.0 serviciu de comunicații certificat dupa expirarea acestuia
  2. Dacă pentru o experiență de conectare personalizate sunt leveraged endpoint AD FS idP sau smart link-uri, asigurați-vă că nume de sign-in de server, care este folosit se potrivește cu certificatul care este asociat serviciul AD FS. Pentru mai multe informații despre autentificare smart link-uri și idP, du-te la următorul site Web Microsoft:

    Folosind smart link-uri sau IdP inițiat autentificare cu Office 365
  3. În cazuri rare, această condiție, de asemenea, pot fi cauzate de incorect încercarea de a schimba nume de sign-in de serviciu AD FS după punerea în aplicare. Pentru mai multe informații despre cum să modificați manual AD FS punctului final de serviciu nume, du-te la următorul site Web Microsoft:

    AD FS 2.0: Cum de a schimba nume de sign-in de serviciu Federația

    Avertizare Aceste tipuri de schimbari va cauza o întrerupere de serviciu AD FS. După actualizare, trebuie să urmați acești pași pentru a restabili single sign-on unic (SSO) funcționalitate:
    1. Executați cmdlet-ul Update-MSOLFederatedDomain pe toate namespaces Federate.
    2. Executa?i din nou Expertul de configurare instalare pentru orice fermă de servere proxy AD FS în mediul înconjurător.

Metoda 3:Eliberarea probleme de încredere de certificare lanț


Puteți rezolva emitent certificare autoritate (CA) probleme de încredere efectuând una dintre următoarele sarcini:
  • Obține și de a folosi un certificat de la o sursă care participă la programul de certificat rădăcină Microsoft. Pentru a vizualiza o listă de certificat de încredere surse, du-te la următorul site web:
    Program certificat rădăcină Windows - Listă tabel de membri (toate CAs)
  • Cerere că emitentul certificatului se înscrie în programul de certificat rădăcină Microsoft. Pentru mai multe informații despre programul de certificat rădăcină și funcționarea Certificatele rădăcină în Windows, du-te la următorul site Web Microsoft:
    Program de certificat Microsoft rădăcină
Avertizare Nu recomandăm că AD FS folosi CA un intern atunci când acesta este leveraged pentru SSO cu Office 365. Folosind un lanț de certificat care nu este de încredere de către centrul acoperire de date Office 365 va determina conectivitatea Microsoft Outlook la Microsoft Exchange Online să nu atunci când Outlook este folosit cu caracteristici SSO.

MAI MULTE INFORMAȚII

Încă mai aveți nevoie de ajutor? Du-te la Birou 365 comunitare site-ul sau Forumuri de Azur Active Directory .

Proprietă?i

ID articol: 2523494 - Ultima examinare: 12 iulie 2014 - Revizie: 23.0
Se aplică la:
  • Microsoft Azure
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Cuvinte cheie: 
o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtro
Traducere automată
IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată ?i poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate ?i articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cuno?tin?e în mai multe limbi. Articolele traduse automat ?i post-editate pot con?ine gre?eli de vocabular, sintaxă ?i/sau gramatică. Microsoft nu este responsabil de inexactită?ile, erorile sau daunele cauzate de traducerea gre?ită a con?inutului sau de utilizarea acestuia de către clien?i. Găsi?i mai multe informa?ii despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2523494

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com