Появится предупреждение о сертификате из службы федерации Active Directory при попытке входа в Office 365, Azure или Windows Intune

Переводы статьи Переводы статьи
Код статьи: 2523494 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ПРОБЛЕМА

При попытке войти в облачной службы Microsoft Office 365, Microsoft Azure или Windows Intune с помощью федеративной учетной записи, появится предупреждение о сертификате AD FS веб-службы в браузере.

ПРИЧИНА

Эта проблема возникает при ошибке проверки во время проверки сертификата.

Прежде чем сертификат можно использовать для обеспечения безопасности сеанса безопасности транспортного уровня (TLS) или Secure Sockets Layer (SSL), сертификат должен пройти следующие стандартные тесты:
  • Сертификат не допустимое время. Если дата на сервере или на клиенте является более ранней, чем дата выпуска сертификата или Действителен с даты или более поздней, чем дата окончания срока действия сертификата или действительно до даты даты на сервере или на клиенте, запрос на подключение выдает предупреждение, основанный на этом состоянии. Чтобы убедиться в том, что сертификат проходит этот тест, проверьте ли фактически истек или сертификат был применен, прежде чем он стал активным. Затем выполните одно из следующих действий.
    • Если в действительности сертификата истек или был применен, прежде чем он стал активным, новый сертификат должен быть создан с соответствующих дат поставки для обеспечения безопасности связи для трафика службы федерации Active Directory.
    • Если сертификат не истечет или не было применено, прежде чем он стал активным, проверьте время на компьютерах клиента и сервера и их обновления в соответствии с требованиями.
  • Несоответствие имени службы. Если URL-адрес, используемый для подключения не соответствует допустимые имена, для которых может использоваться сертификат, запрос на подключение выдает предупреждение, основанный на этом состоянии. Чтобы убедиться в том, что сертификат проходит этот тест, выполните следующие действия:
    1. Проверьте URL-адрес в адресной строке веб-обозревателя, используемого для установления подключения.

      Примечание Фокус на адрес сервера (например, sts.contoso.com), а не на конечные синтаксис HTTP (например, /? запрос =...).
    2. После воспроизведения ошибки, выполните следующие действия:
      1. Нажмите кнопку Просмотр сертификатови перейдите на вкладку сведения сравнения полей URL-адрес из пункта A в поле « Тема » и Имя субъекта в Свойства диалоговом окне сертификата.

        Свернуть это изображениеРазвернуть это изображение
        Снимок экрана: несоответствие адреса страницы
      2. Убедитесь, что адрес, используемый на шаге A отсутствует или не соответствует записи в этих полях, или оба. Если это так, сертификат должен быть выдан повторно, чтобы включить адрес сервера, который был использован в пункте а.
  • Сертификат не был выдан доверенным корневым центром сертификации (ЦС). Если клиентский компьютер, запрашивающий подключение не доверяете, создавший сертификат цепочки сертификации, запрос на подключение будет выдано предупреждение, основанный на этом состоянии. Чтобы убедиться в том, что сертификат проходит этот тест, выполните следующие действия:
    1. Повторно создать предупреждение о сертификате и нажмите кнопку Просмотр сертификата для проверки сертификата. На путь сертификации вкладке, обратите внимание, корневую запись заметок на, отображающийся в верхней.
    2. Нажмите кнопку Пуск, выберите пункт выполнить, введите MMCи нажмите кнопку ОК.
    3. Выберите файл, нажмите кнопку Добавить/удалить оснастку, щелкните сертификаты, нажмите кнопку Добавить, выберите Учетную запись компьютера, нажмите кнопку Далее, нажмите кнопку Готовои нажмите кнопку ОК.
    4. В оснастке MMC найдите Корень консоли, разверните сертификаты, Доверенные корневые центры сертификации, щелкните сертификатыи убедитесь, что сертификат для корневую запись заметок, записанное на шаге A не существует.

РЕШЕНИЕ

Чтобы устранить эту проблему, используйте один из следующих способов в зависимости от предупреждающее сообщение.

Способ 1: время vпроблемы с alid

Чтобы решить проблемы действителен, выполните следующие действия.
  1. Повторите с датой соответствующего срока действия сертификата. Дополнительные сведения о том, как установить и настроить новый сертификат SSL для службы федерации Active Directory обратитесь к следующей статье Microsoft Knowledge Base:
    2921805 Как изменить Объявление связи службы федерации Active Directory 2.0 сертификат после истечения срока его действия
  2. Если прокси-сервер службы федерации Active Directory была развернута, необходимо также установить сертификат на веб-узел по умолчанию прокси-сервер службы федерации Active Directory с помощью экспорта сертификатов и импортировать функции. Для получения дополнительных сведений обратитесь к следующей статье Microsoft Knowledge Base:
    179380 Как удалить, Импорт и экспорт сертификатов
    Важно Убедитесь в том, что закрытый ключ включается в экспорт или импорт процесса. AD FS прокси-сервер или серверы также должны иметь копию установлен закрытый ключ.
  3. Убедитесь в правильности настроек даты и времени на клиентском компьютере или на всех серверах службы федерации Active Directory. Если системные настройки даты указаны неверно и неправильно покажет значение, выходящее за пределы диапазонеalid для Vи Valid из по ошибке отображается предупреждение.

Способ 2:Проблемы несовпадения имен службы

При запуске мастера настройки AD FS и основана на сертификат, связанный с веб-узла по умолчанию, задается имя службы AD FS. Чтобы решить проблемы несоответствия имя службы, выполните следующие действия.
  1. Если имя не тот сертификат был использован для создания замены сертификата, выполните следующие действия.
    1. Убедитесь, что имя сертификата неправильный.
    2. Повторите правильный сертификат. Дополнительные сведения о том, как установить и настроить новый сертификат SSL для службы федерации Active Directory обратитесь к следующей статье Microsoft Knowledge Base:
      2921805 Как изменить Объявление связи службы федерации Active Directory 2.0 сертификат после истечения срока его действия
  2. Если AD FS idP конечной точки или смарт-ссылки используемой для индивидуализированного вход, убедитесь, что соответствие имени сервера, который используется сертификат, назначенный службой AD FS. Дополнительные сведения о проверки подлинности смарт-ссылки и idP посетите следующий веб-узел корпорации Майкрософт:

    С помощью смарт-ссылки или IdP инициировал проверку подлинности с помощью Office 365
  3. В редких случаях это условие может также быть вызвана неправильной попытке изменить имя службы AD FS после реализации. Дополнительные сведения о том, как вручную изменить имя конечной точки службы федерации Active Directory, перейдите на следующий веб-узел корпорации Майкрософт:

    AD FS 2.0: Как изменить имя службы федерации

    Предупреждение Такие изменения приведет к сбою службы AD FS. После обновления необходимо выполнить следующие действия для восстановления единого входа (SSO) функциональные возможности:
    1. Выполните командлет Update-MSOLFederatedDomain на все федеративного пространства имен.
    2. Вновь запустите мастер настройки установки для всех прокси-серверов службы федерации Active Directory в среде.

Способ 3:Выдача вопросы доверия цепочки сертификации


Проблемы с проверкой выдачи сертификации центра сертификации (ЦС) можно устранить, выполнив одно из следующих действий:
  • Получить и использовать сертификат из источника, который принимает участие в программе корневых сертификатов. Для просмотра списка сертификатов доверенных источников, перейдите на следующий веб-узел:
    Программы корневых сертификатов Windows - список членов (все ЦС)
  • Запрос, что поставщик сертификата регистрации в программе корневых сертификатов. Дополнительные сведения о программе корневых сертификатов и операции корневых сертификатов в Windows перейдите на следующий веб-узел корпорации Майкрософт:
    Программы Microsoft Root Certificate Program
Предупреждение Не рекомендуется использовать во внутреннем центре сертификации AD FS, когда он будет доступен для единого входа в Office 365. Использование цепочки сертификатов, который не является доверенным центром данных Office 365 приведет к подключения Microsoft Outlook к Microsoft Exchange Online, если программа Outlook используется с функциями единого входа.

ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ

По-прежнему нужна помощь? Последовательно выберите пункты Сообщество Office 365 веб-узел или Форумы Azure Active Directory веб-сайт.

Свойства

Код статьи: 2523494 - Последний отзыв: 12 июля 2014 г. - Revision: 39.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Azure
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Ключевые слова: 
o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 2523494

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com