Sie erhalten eine Zertifikatwarnung von AD FS, wenn Sie sich bei Microsoft 365, Azure oder Intune

Problem

Wenn Sie versuchen, sich mit einem Verbundkonto bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune anzumelden, erhalten Sie eine Zertifikatwarnung vom AD FS-Webdienst in Ihrem Browser.

Ursache

Dieses Problem tritt auf, wenn während eines Zertifikattests ein Validierungsfehler auftritt.

Bevor ein Zertifikat verwendet werden kann, um eine SSL-Sitzung (Secure Sockets Layer) oder TLS-Sitzung (Transport Layer Security) zu schützen, muss das Zertifikat die folgenden Standardtests bestehen:

• Das Zertifikat ist nicht gültig. Wenn das Datum auf dem Server oder Client vor dem Datum Gültig ab oder dem Ausstellungsdatum des Zertifikats liegt oder das Datum auf dem Server oder Client nach dem Datum Gültig bis datum oder dem Ablaufdatum des Zertifikats liegt, gibt die Verbindungsanforderung eine Warnung aus, die auf diesem Zustand basiert. Um sicherzustellen, dass das Zertifikat diesen Test besteht, überprüfen Sie, ob das Zertifikat tatsächlich abgelaufen ist oder angewendet wurde, bevor es aktiv wurde. Führen Sie dann eine der folgenden Aktionen aus:

  • Wenn das Zertifikat tatsächlich abgelaufen ist oder angewendet wurde, bevor es aktiv wurde, muss ein neues Zertifikat mit den entsprechenden Übermittlungsdaten generiert werden, um die Kommunikation für AD FS-Datenverkehr zu schützen.
  • Wenn das Zertifikat nicht abgelaufen ist oder nicht angewendet wurde, bevor es aktiv wurde, überprüfen Sie die Uhrzeit auf den Client- und Servercomputern, und aktualisieren Sie sie dann nach Bedarf.

• Dienstname stimmt nicht überein. Wenn die URL, die zum Herstellen der Verbindung verwendet wird, nicht mit den gültigen Namen übereinstimmt, für die das Zertifikat verwendet werden kann, gibt die Verbindungsanforderung eine Warnung aus, die auf diesem Zustand basiert. Führen Sie die folgenden Schritte aus, um sicherzustellen, dass das Zertifikat diesen Test besteht:

  1. Überprüfen Sie die URL in der Adressleiste des Browsers, der zum Herstellen der Verbindung verwendet wird.

     Hinweis

     Konzentrieren Sie sich auf die Serveradresse (z. B. sts.contoso.com) und nicht auf die nachfolgende HTTP-Syntax (z. B. /?request=...).

  2. Nachdem Sie den Fehler reproduzieren, führen Sie die folgenden Schritte aus:

     1. Klicken Sie auf Zertifikate anzeigen, und klicken Sie dann auf die Registerkarte Details . Vergleichen Sie die URL aus Schritt A mit dem Feld Betreff und mit den Feldern alternativer Antragstellername im Dialogfeld Eigenschaften des Zertifikats.

        

     2. Stellen Sie sicher, dass die in Schritt A verwendete Adresse nicht aufgeführt ist oder nicht mit Einträgen in diesen Feldern oder beidem übereinstimmt. Wenn dies der Fall ist, muss das Zertifikat erneut ausgestellt werden, sodass es die Serveradresse enthält, die in Schritt A verwendet wurde.

• Das Zertifikat wurde nicht von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt. Wenn der Clientcomputer, der die Verbindung anfordert, der Zertifizierungsstellenkette, die das Zertifikat generiert hat, nicht vertraut, gibt die Verbindungsanforderung eine Warnung aus, die auf diesem Zustand basiert. Führen Sie die folgenden Schritte aus, um sicherzustellen, dass das Zertifikat diesen Test besteht:

  1. Generieren Sie die Zertifikatwarnung erneut, und klicken Sie dann auf Zertifikat anzeigen , um das Zertifikat zu untersuchen. Beachten Sie auf der Registerkarte Zertifizierungspfad den Stammnotizeintrag, der oben angezeigt wird.
  2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie MMC ein, und klicken Sie dann auf OK.
  3. Klicken Sie auf Datei, klicken Sie auf Snap-In hinzufügen/entfernen, klicken Sie auf Zertifikate, klicken Sie auf Hinzufügen, wählen Sie Computerkonto aus, klicken Sie auf Weiter, klicken Sie auf Fertig stellen und dann auf OK.
  4. Suchen Sie im MMC-Snap-In nach Konsolenstamm, erweitern Sie Zertifikate, erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, klicken Sie auf Zertifikate, und überprüfen Sie dann, ob kein Zertifikat für den Stammnotizeintrag vorhanden ist, das Sie sich in Schritt A notiert haben.

Lösung

Verwenden Sie je nach Warnmeldung eine der folgenden Methoden, um dieses Problem zu beheben.

Methode 1: Zeit gültige Probleme

Führen Sie die folgenden Schritte aus, um zeit gültige Probleme zu beheben.

1. Stellen Sie das Zertifikat mit einem geeigneten Gültigkeitsdatum erneut aus. Weitere Informationen zum Installieren und Einrichten eines neuen SSL-Zertifikats für AD FS finden Sie unter Ändern des AD FS 2.0-Dienstkommunikationszertifikats nach dessen Ablauf.

2. Wenn ein AD FS-Proxy bereitgestellt wurde, müssen Sie das Zertifikat auch auf der Standardwebsite des AD FS-Proxys mithilfe der Export- und Importfunktionen des Zertifikats installieren. Weitere Informationen finden Sie unter Entfernen, Importieren und Exportieren digitaler Zertifikate.

   Wichtig

   Stellen Sie sicher, dass der private Schlüssel im Export- oder Importprozess enthalten ist. Auf dem ODER den AD FS-Proxyservern muss auch eine Kopie des privaten Schlüssels installiert sein.

3. Stellen Sie sicher, dass die Datums- und Uhrzeiteinstellungen auf dem Clientcomputer oder auf allen AD FS-Servern korrekt sind. Die Warnung wird als Fehler angezeigt, wenn die Datumseinstellungen des Betriebssystems falsch sind, und sie gibt fälschlicherweise einen Wert an, der sich außerhalb des Bereichs Gültig von und Gültig befindet.

Methode 2: Probleme mit Dienstnamenkonflikten

Der AD FS-Dienstname wird beim Ausführen des AD FS-Konfigurations-Assistenten festgelegt und basiert auf dem Zertifikat, das an die Standardwebsite gebunden ist. Führen Sie die folgenden Schritte aus, um Probleme mit Dienstnamenkonflikten zu beheben:

1. Wenn der falsche Zertifikatname verwendet wurde, um ein Ersatzzertifikat zu generieren, führen Sie die folgenden Schritte aus:

   1. Stellen Sie sicher, dass der Zertifikatname falsch ist.
   2. Wiederholen Sie das richtige Zertifikat. Weitere Informationen zum Installieren und Einrichten eines neuen SSL-Zertifikats für AD FS finden Sie unter Ändern des AD FS 2.0-Dienstkommunikationszertifikats nach dessen Ablauf.

2. Wenn der AD FS-IdP-Endpunkt oder intelligente Links für eine angepasste Anmeldeoberfläche genutzt werden, stellen Sie sicher, dass der verwendete Servername mit dem Zertifikat übereinstimmt, das dem AD FS-Dienst zugewiesen ist.

3. In seltenen Fällen kann diese Bedingung auch dadurch verursacht werden, dass fälschlicherweise versucht wird, den AD FS-Dienstnamen nach der Implementierung zu ändern.

   Wichtig

   Diese Arten von Änderungen führen zu einem Ausfall des AD FS-Diensts. Nach dem Update müssen Sie die folgenden Schritte ausführen, um die Funktionalität des einmaligen Anmeldens (Single Sign-On, SSO) wiederherzustellen:

   1. Führen Sie das Cmdlet Update-MSOLFederatedDomain für alle Verbundnamespaces aus.
   2. Führen Sie den Setupkonfigurations-Assistenten für alle AD FS-Proxyserver in der Umgebung erneut aus.

Methode 3: Ausstellen von Vertrauensstellungen in der Zertifizierungskette

Sie können Probleme mit der Vertrauensstellung der ausstellenden Zertifizierungsstelle beheben, indem Sie eine der folgenden Aufgaben ausführen:

• Rufen Sie ein Zertifikat aus einer Quelle ab, die am Microsoft Root Certificate Program teilnimmt, und verwenden Sie es.
• Fordern Sie an, dass sich der Zertifikataussteller für das Microsoft-Stammzertifikatprogramm registriert. Weitere Informationen zum Stammzertifikatprogramm und zum Betrieb von Stammzertifikaten in Windows finden Sie unter Microsoft Root Certificate Program.

Weitere Informationen

Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Microsoft Entra Foren-Website.