Du får en certifikatvarning från AD FS när du loggar in på Microsoft 365, Azure eller Intune

  • Artikel
  • Gäller för:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

När du försöker logga in på en Microsoft-molntjänst som Microsoft 365, Microsoft Azure eller Microsoft Intune med hjälp av ett federerat konto får du en certifikatvarning från AD FS-webbtjänsten i webbläsaren.

Orsak

Det här problemet uppstår när ett valideringsfel påträffas under ett certifikattest.

Innan ett certifikat kan användas för att skydda en SSL-session (Secure Sockets Layer) eller TLS-session (Transport Layer Security) måste certifikatet klara följande standardtester:

  • Certifikatet är inte tidsgiltigt. Om datumet på servern eller klienten är tidigare än giltighetsdatumet eller certifikatets utfärdandedatum, eller om datumet på servern eller klienten är senare än det giltiga datumet eller certifikatets förfallodatum, utfärdar anslutningsbegäran en varning som baseras på det här tillståndet. Kontrollera att certifikatet klarar det här testet genom att kontrollera om certifikatet faktiskt har upphört att gälla eller tillämpats innan det aktiverades. Utför sedan någon av följande åtgärder:

    • Om certifikatet faktiskt upphörde att gälla eller tillämpades innan det blev aktivt måste ett nytt certifikat genereras som har lämpliga leveransdatum för att skydda kommunikationen för AD FS-trafik.
    • Om certifikatet inte upphörde att gälla eller inte tillämpades innan det blev aktivt kontrollerar du tiden på klient- och serverdatorerna och uppdaterar dem sedan efter behov.

  • Matchningsfel för tjänstnamn. Om den URL som används för att upprätta anslutningen inte matchar de giltiga namn som certifikatet kan användas för, utfärdar anslutningsbegäran en varning som baseras på det här tillståndet. Följ dessa steg för att se till att certifikatet klarar det här testet:

    1. Granska URL:en i adressfältet i webbläsaren som används för att upprätta anslutningen.

      Obs!

      Fokusera på serveradressen (till exempel sts.contoso.com) och inte på den avslutande HTTP-syntaxen (till exempel /?request=...).

    2. När du har återskapat felet följer du dessa steg:

      1. Klicka på Visa certifikat och sedan på fliken Information . Jämför URL:en från steg A med fältet Ämne och fälten Alternativt ämnesnamn i dialogrutan Egenskaper för certifikatet.

        Skärmbild som visar felet på sidan Felaktig adress.

      2. Kontrollera att adressen som används i steg A inte visas eller att den inte matchar några poster i dessa fält eller båda. I så fall måste certifikatet återutfärdas för att inkludera den serveradress som användes i steg A.

  • Certifikatet utfärdades inte av en betrodd rotcertifikatutfärdare (CA). Om klientdatorn som begär anslutningen inte litar på ca-kedjan som genererade certifikatet utfärdar anslutningsbegäran en varning som baseras på det här tillståndet. Följ dessa steg för att se till att certifikatet klarar det här testet:

    1. Återskapa certifikatvarningen och klicka sedan på Visa certifikat för att undersöka certifikatet. På fliken Certifieringssökväg ser du rotanteckningsposten längst upp.
    2. Klicka på Start, klicka på Kör, skriv MMC och klicka sedan på OK.
    3. Klicka på Arkiv, klicka på Lägg till/ta bort snapin-modul, klicka på Certifikat, klicka på Lägg till, välj Datorkonto, klicka på Nästa, klicka på Slutför och klicka sedan på OK.
    4. I MMC-snapin-modulen letar du upp Konsolrot, expanderar Certifikat, expanderar Betrodda rotcertifikatutfärdare, klickar på Certifikat och kontrollerar sedan att ett certifikat för rotanteckningsposten som du antecknade i steg A inte finns.

Lösning

Lös problemet genom att använda någon av följande metoder, beroende på varningsmeddelandet.

Metod 1: Tidsgiltigt problem

Följ dessa steg för att lösa tidsgiltigt problem.

  1. Återutfärda certifikatet med ett lämpligt giltighetsdatum. Mer information om hur du installerar och konfigurerar ett nytt SSL-certifikat för AD FS finns i Så här ändrar du AD FS 2.0-tjänstkommunikationscertifikatet när det upphör att gälla.

  2. Om en AD FS-proxy har distribuerats måste du även installera certifikatet på AD FS-proxyns standardwebbplats med hjälp av funktionerna för export och import av certifikat. Mer information finns i Ta bort, importera och exportera digitala certifikat.

    Viktigt

    Kontrollera att den privata nyckeln ingår i export- eller importprocessen. AD FS-proxyservern eller -servrarna måste också ha en kopia av den privata nyckeln installerad.

  3. Kontrollera att datum- och tidsinställningarna på klientdatorn eller på alla AD FS-servrar är korrekta. Varningen visas i felfall om inställningarna för operativsystemets datum är felaktiga och felaktigt anger ett värde som ligger utanför inställningarna Giltiga frånoch Giltiga.

Metod 2: Problem med matchningsfel för tjänstnamn

AD FS-tjänstnamnet anges när du kör konfigurationsguiden för AD FS och baseras på certifikatet som är bundet till standardwebbplatsen. Följ dessa steg för att lösa problem med matchningsfel för tjänstnamn:

  1. Om fel certifikatnamn användes för att generera ett ersättningscertifikat följer du dessa steg:

    1. Kontrollera att certifikatnamnet är felaktigt.
    2. Återutfärda rätt certifikat. Mer information om hur du installerar och konfigurerar ett nytt SSL-certifikat för AD FS finns i Så här ändrar du AD FS 2.0-tjänstkommunikationscertifikatet när det upphör att gälla.

  2. Om AD FS idP-slutpunkten eller smarta länkar används för en anpassad inloggningsupplevelse kontrollerar du att servernamnet som används matchar certifikatet som har tilldelats AD FS-tjänsten.

  3. I sällsynta fall kan det här villkoret också orsakas av ett felaktigt försök att ändra AD FS-tjänstens namn efter implementeringen.

    Viktigt

    Den här typen av ändringar orsakar avbrott i AD FS-tjänsten. Efter uppdateringen måste du följa de här stegen för att återställa funktionen för enkel inloggning (SSO):

    1. Kör cmdleten Update-MSOLFederatedDomain på alla federerade namnområden.
    2. Kör konfigurationsguiden igen för alla AD FS-proxyservrar i miljön.

Obs!

Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

Metod 3: Utfärda förtroendeproblem för certifieringskedjan

Du kan lösa problem med certifikatutfärdares förtroende genom att utföra någon av följande uppgifter:

  • Hämta och använd ett certifikat från en källa som deltar i Microsofts rotcertifikatprogram.
  • Begär att certifikatutfärdaren registreras i Microsoft Root Certificate Program. Mer information om rotcertifikatprogrammet och hur rotcertifikat fungerar i Windows finns i Microsoft Root Certificate Program.

Varning

Vi rekommenderar inte att AD FS använder en intern ca när den används för enkel inloggning med Microsoft 365. Om du använder en certifikatkedja som inte är betrodd av Microsoft 365-datacentret kommer Microsoft Outlook-anslutningen att Microsoft Exchange Online misslyckas när Outlook används med SSO-funktioner.

Mer information

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.