当您尝试登录到 Office 365、 Azure 或 Windows Intune 从 AD FS 收到证书警告

文章翻译 文章翻译
文章编号: 2523494 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

问题

当您尝试通过使用联合的帐户登录到 Microsoft Office 365、 Microsoft Azure 或 Windows Intune 如云服务时,您收到证书来自 AD FS 的 web 服务在您的浏览器中。

原因

证书测试期间遇到验证错误,则会出现此问题。

在可以使用证书来帮助保护安全套接字层 (SSL) 或传输层安全 (TLS) 的会话之前,证书必须通过以下标准测试:
  • 证书不是有效的时间.如果服务器或客户端上的日期早于证书的有效期起始日期或发行日,或者如果服务器或客户端上的日期晚于证书的有效终止日期或到期日期,则连接请求发出基于此状态的警告。若要确保该证书通过此测试,检查证书是否确实过期或在变为活动状态之前应用。然后,执行下列操作之一:若要确保该证书通过此测试,检查证书是否实际到期或之前它变为活动状态时应用。然后,执行下列操作之一:
    • 如果实际的证书过期,或者之前它变为活动状态时应用,新的证书必须生成具有适当的交货日期,以帮助确保 AD FS 通信的通信安全。
    • 如果证书没有过期或未在变为活动状态之前应用,验证客户端和服务器计算机上的时间,然后根据需要对其进行更新。
  • 服务名称不匹配.如果用于建立连接的 URL 与可能使用该证书的有效名称不匹配,连接请求发出基于此状态的警告。若要确保该证书通过此测试,请执行以下步骤:
    1. 检查用于建立连接的浏览器的地址栏中的 URL。

      注意 服务器地址 (例如,sts.contoso.com) 而不是尾部的 HTTP 语法(例如,/?request=...)。
    2. 重现此错误后,请按照下列步骤:
      1. 单击查看证书,然后单击详细信息选项卡,为主题字段和主题备用名称的步骤 A 中 URL 字段中的比较属性 证书的对话框。

        收起这个图片展开这个图片
        不匹配的地址页面的屏幕抓图
      2. 验证在步骤 A 中使用的地址不在列表中,或与这些字段中的任何项不匹配或两者。这种情况下,必须重新颁发证书以包括步骤 a 所使用的服务器地址。
  • 证书不是由受信任的根证书颁发机构 (CA 颁发).如果正在请求连接的客户端计算机不信任生成的证书的 CA 链,连接请求将发出基于此状态的警告。若要确保该证书通过此测试,请执行以下步骤:
    1. 重新生成证书警告,然后单击查看证书 来检查证书。在证书路径 选项卡上,注意到根注释项显示在顶部。
    2. 单击开始,单击运行,键入MMC,然后单击确定
    3. 单击文件单击添加/删除管理单元证书单击添加,选择计算机帐户、 单击下一步,单击完成和,然后单击确定
    4. 在 MMC 管理单元中,找到控制台根节点,展开证书受信任的根证书颁发机构,单击证书,然后验证您在步骤 a 中记下的根注条目的证书不存在。

本地

若要解决此问题,请使用以下方法之一,具体取决于此警告消息。

方法 1: 时间有效问题

要解决有效时间的问题,请执行以下步骤。
  1. 重新颁发的适当有效日期的证书。有关如何安装和设置新的 SSL 证书,为 AD FS 的详细信息,请参阅下面的 Microsoft 知识库文章:
    2921805 如何在证书过期后更改 AD FS 2.0 服务通信证书
  2. 如果已部署 AD FS 代理服务器,则还需要通过使用证书导出并导入函数在AD FS 代理服务器默认网站上安装证书。有关详细信息,请参阅下面的 Microsoft 知识库文章:
    179380 如何删除、 导入和导出数字证书
    重要提示要确保私钥被包括在导出或导入过程。AD FS 代理服务器还必须安装的专用密钥的副本。
  3. 请确保客户端计算机上或在 AD FS 中的所有服务器上的日期和时间设置正确。如果操作系统的日期设置不正确,并且它会错误地指示有效期起始有效期终止范围之外的值,将显示错误警告。

方法 2:服务名称不匹配问题

当您运行 AD FS 配置向导和基于绑定到默认网站的证书设置 AD FS 服务名称。要解决服务名称不匹配的问题,请执行以下步骤:
  1. 如果使用了错误的证书名称来生成替换证书,请按照下列步骤:
    1. 请验证该证书名称不正确。
    2. 重新颁发正确的证书。有关如何安装和设置新的 SSL 证书,为 AD FS 的详细信息,请参阅下面的 Microsoft 知识库文章:
      2921805 如何在证书过期后更改 AD FS 2.0 服务通信证书
  2. 如果为自定义的登录体验利用的 AD FS idP 终结点或智能链接,请确保使用的服务器名称匹配的证书分配给 AD FS 服务。有关 idP 和智能链接身份验证的详细信息,请访问以下 Microsoft 网站:

    使用智能链接或 IdP 开始 Office 365 的身份验证
  3. 在极少数情况下,这种情况还可能导致通过错误地尝试实施后更改 AD FS 服务名称。有关如何手动更改 AD FS 端点服务名称的详细信息,请访问以下 Microsoft 网站:

    AD FS 2.0: 如何更改联合身份验证服务名称

    警告这些类型的更改将导致 AD FS 服务中断。此更新之后,必须执行以下步骤以还原单点登录 (SSO) 功能:
    1. 在所有的联合身份验证命名空间运行Update-MSOLFederatedDomain cmdlet。
    2. 请重新运行安装程序配置向导,以在该环境中任何 AD FS 代理服务器。

方法 3:颁发证书链信任问题


可以通过执行下列任务之一来解决颁发证书颁发机构 (CA) 信任问题:
  • 获取并参与 Microsoft 根证书项目源中使用的证书。查看受信任的证书来源的列表,请访问以下网站:
    Windows 根证书项目的成员列表(所有 Ca)
  • 证书颁发者注册 Microsoft 根证书项目中的请求。有关Windows 中的根证书项目和根证书操作的详细信息,请转到下面的 Microsoft 网站:
    Microsoft 根证书项目
警告不建议在利用它提供与 Office 365 的 SSO 时,AD FS 使用内部 CA。使用不受Office 365 数据中心信任的证书链将导致Outlook 使用SSO 功能时Microsoft Outlook到 Microsoft Exchange Online 的连接失败。

详细信息

仍需要帮助吗?请转到 Office 365 社区 网站或 Azure 的 活动目录(AD) 论坛 网站。

属性

文章编号: 2523494 - 最后修改: 2014年7月12日 - 修订: 27.0
这篇文章中的信息适用于:
  • Microsoft Azure
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
关键字:?
o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2523494
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com