當您嘗試登入 Office 365、 Azure 或 Windows Intune 時,從 AD FS 接收憑證警告

文章翻譯 文章翻譯
文章編號: 2523494 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

問題

當您嘗試使用聯盟的帳戶登入 Microsoft 定域機組服務,例如辦公室 365、 Microsoft Azure 或 Windows Intune 時,會收到憑證警告 AD FS 網路服務從瀏覽器中。

原因

憑證測試期間發生驗證錯誤時,就會發生這個問題。

憑證可以用來協助保護安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 工作階段之前,憑證必須通過下列的標準測試:
  • 憑證不是有效的時間.如果伺服器或用戶端上的日期是否早於有效開始日期或發行日期的憑證,或者伺服器或用戶端上的日期會晚到的有效日期或憑證的到期日,連線要求就會發出警告,根據此狀態。若要確定憑證通過此測試,檢查憑證是否實際過期或已套用之前它成為使用中。接著,採取下列動作之一:
    • 如果實際的憑證過期,或套用之前它成為使用中,新的憑證必須產生具有適當的傳送日期,以協助保護 AD FS 流量通訊的安全。
    • 如果憑證未過期或未被套用之前它成為使用中,請確認用戶端和伺服器電腦上的時間,然後視需要加以更新。
  • 服務名稱不相符.如果用來進行連線的 URL 不符合有效的名稱可能會使用憑證,連線要求就會發出警告,根據此狀態。若要確定憑證通過此測試,請依照下列步驟執行:
    1. 檢查用來建立連線的瀏覽器的 [網址] 列中的 URL。

      附註 焦點上的伺服器位址 (例如,sts.contoso.com),而不是在行尾的 HTTP 語法 (例如,/? 要求 =...)。
    2. 重現錯誤之後,請依照下列步驟執行:
      1. 按一下 [檢視憑證],然後按一下 [詳細資料] 索引標籤中的 URL,從步驟 A 到主旨欄位以及主體替代名稱欄位的比較屬性 的憑證] 對話方塊。

        摺疊此圖像展開此圖像
        不相符的位址] 頁面的螢幕擷取畫面
      2. 請確認在步驟 A 中使用的位址並未列出,或不符合任何在這些欄位中的項目,或兩者。如果發生這種情形,必須要包含在步驟 a 中所使用的伺服器位址發出憑證
  • 未受信任的根憑證授權單位 (CA 發行憑證).如果正在要求連線的用戶端電腦不信任產生憑證的 CA 鏈結,連線要求會發出警告,根據此狀態。若要確定憑證通過此測試,請依照下列步驟執行:
    1. 重新產生憑證警告,然後按一下 [檢視憑證 要檢查憑證。在 [憑證路徑 索引標籤上,注意到根附註項目,會顯示在頂端。
    2. 按一下 [開始],按一下 [執行]、 輸入MMC,然後按一下[確定]
    3. 按一下 [檔案]、 按一下 [新增/移除嵌入式管理單元、 按一下 [憑證]、 按一下 [新增]、 選取 [電腦帳戶、 按一下 [下一步]、 按一下 [完成],然後按一下[確定]
    4. 在 MMC 嵌入式管理單元中,找出主控台根目錄、 展開 [憑證、 展開 [信任的根憑證授權單位、 按一下 [憑證],然後確認根附註項目,您在步驟 A 中記下的憑證不存在。

方案

若要解決這個問題,請使用下列方法之一,視警告訊息。

方法 1: 時間-valid 問題

若要解決有效期間的問題,請遵循下列步驟。
  1. 重新簽發的憑證與適當的有效日期。如需有關如何安裝並設定新的 SSL 憑證,AD fs 的詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
    2921805 如何變更 AD FS 2.0 服務通訊憑證後過期
  2. 如果部署 AD FS proxy,您必須也在 AD FS proxy 的預設網站上安裝憑證,藉由使用憑證匯出和匯入函式。如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
    179380 如何移除、 匯入和匯出數位憑證
    重要請確定私用金鑰已包含在匯出或匯入程序。AD FS Proxy 伺服器也必須有一份已安裝的私密金鑰。
  3. 請確定所有的 AD FS 伺服器或用戶端電腦上的日期和時間設定正確。如果作業系統日期設定不正確,而且它會錯誤地表示為V從 alidValid 到範圍之外的值,將錯誤顯示警告。

方法 2:服務名稱不相符的問題

當您執行 AD FS 設定精靈],並根據繫結至預設網站的憑證時,會設定 AD FS 服務名稱。若要解決服務名稱不相符的問題,請依照下列步驟執行:
  1. 如果錯誤的憑證名稱已用於產生取代的憑證,請依照下列步驟執行:
    1. 請確認憑證名稱不正確。
    2. 重新提交正確的憑證。如需有關如何安裝並設定新的 SSL 憑證,AD fs 的詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
      2921805 如何變更 AD FS 2.0 服務通訊憑證後過期
  2. 如果 AD FS idP 端點或智慧型連結運用自訂的登入經驗中,請確定使用的伺服器名稱符合指定給 AD FS 服務的憑證。如需 idP 和智慧型連結驗證的詳細資訊,請移至下列 Microsoft 網站:

    使用智慧型連結或 IdP 啟動 Office 365 驗證
  3. 在極少數的情況下,這種情況也會造成不正確地嘗試實作之後變更 AD FS 服務名稱。如需有關如何以手動方式變更 AD FS 端點的服務名稱的詳細資訊,請移至下列 Microsoft 網站:

    AD FS 2.0: 如何變更同盟服務名稱

    警告這些類型的變更將會造成 AD FS 服務中斷。更新之後, 您必須遵循這些步驟來還原單一登入 (SSO) 功能:
    1. 在所有聯盟的命名空間中執行更新 MSOLFederatedDomain指令程式。
    2. 請重新執行安裝程式設定精靈,在環境中的任何 AD FS proxy 伺服器。

方法 3:發行憑證鏈結信任問題


您可以藉由執行下列工作之一來解決發行的憑證授權單位 (CA) 信任問題:
  • 取得和使用憑證來自參與 Microsoft 根憑證計的來源。若要檢視的受信任的憑證來源清單,請至下列網站:
    Windows 根憑證計的成員] 清單 (所有 Ca)
  • 憑證簽發者註冊 Microsoft 根憑證計中的要求。在 Windows 中的根憑證的作業和多個根憑證計的詳細資訊,請移至下列 Microsoft 網站:
    Microsoft 根憑證計
警告我們不建議 AD FS 會使用內部 CA,負責 Office 365 含 SSO 時。使用不受信任的憑證鏈結由 Office 365 資料中心將導致 Microsoft Outlook 連線 Microsoft Exchange Online SSO 功能搭配使用 Outlook 時失敗。

更多資訊

還是需要協助嗎?移至 Office 365 社群 網站或 Azure 的 Active Directory 論壇 網站。

屬性

文章編號: 2523494 - 上次校閱: 2014年7月12日 - 版次: 25.0
這篇文章中的資訊適用於:
  • Microsoft Azure
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
關鍵字:?
o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:2523494
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com