Recibe una advertencia de certificado de AD FS al iniciar sesión en Microsoft 365, Azure o Intune

  • Artículo
  • Se aplica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Al intentar iniciar sesión en un servicio en la nube de Microsoft como Microsoft 365, Microsoft Azure o Microsoft Intune mediante una cuenta federada, recibirá una advertencia de certificado del servicio web de AD FS en el explorador.

Causa

Este problema se produce cuando se encuentra un error de validación durante una prueba de certificado.

Antes de que se pueda usar un certificado para ayudar a proteger una sesión de Capa de sockets seguros (SSL) o Seguridad de la capa de transporte (TLS), el certificado debe superar las siguientes pruebas estándar:

  • El certificado no es válido. Si la fecha en el servidor o el cliente es anterior a la fecha De validez o la fecha de emisión del certificado, o si la fecha en el servidor o cliente es posterior a la Fecha válida hasta la fecha o la fecha de expiración del certificado, la solicitud de conexión emite una advertencia basada en este estado. Para asegurarse de que el certificado supera esta prueba, compruebe si el certificado realmente expiró o se aplicó antes de que se active. A continuación, realice una de las siguientes acciones:

    • Si el certificado expiró realmente o se aplicó antes de que se active, se debe generar un nuevo certificado que tenga las fechas de entrega adecuadas para ayudar a proteger la comunicación para el tráfico de AD FS.
    • Si el certificado no expiró o no se aplicó antes de que se active, compruebe la hora en los equipos cliente y servidor y, a continuación, actualícelos según sea necesario.

  • Error de coincidencia de nombre de servicio. Si la dirección URL que se usa para realizar la conexión no coincide con los nombres válidos para los que se puede usar el certificado, la solicitud de conexión emite una advertencia basada en este estado. Para asegurarse de que el certificado supera esta prueba, siga estos pasos:

    1. Examine la dirección URL en la barra de direcciones del explorador que se usa para establecer la conexión.

      Nota:

      Céntrese en la dirección del servidor (por ejemplo, sts.contoso.com) y no en la sintaxis HTTP final (por ejemplo, /?request=...).

    2. Después de reproducir el error, siga estos pasos:

      1. Haga clic en Ver certificadosy, a continuación, haga clic en la pestaña Detalles . Compare la dirección URL del paso A con el campo Asunto y con los campos Nombre alternativo del firmante en el cuadro de diálogo Propiedades del certificado.

        Captura de pantalla que muestra el error en la página Dirección no coincidente.

      2. Compruebe que la dirección que se usa en el paso A no aparece o no coincide con ninguna de las entradas de estos campos, o ambos. Si este es el caso, el certificado debe volver a emitirse para incluir la dirección del servidor que se usó en el paso A.

  • Una entidad de certificación raíz (CA) de confianza no emitió el certificado. Si el equipo cliente que solicita la conexión no confía en la cadena de CA que generó el certificado, la solicitud de conexión emitirá una advertencia basada en este estado. Para asegurarse de que el certificado supera esta prueba, siga estos pasos:

    1. Vuelva a generar la advertencia de certificado y, a continuación, haga clic en Ver certificado para examinar el certificado. En la pestaña Ruta de certificación , observe la entrada de la nota raíz que se muestra en la parte superior.
    2. Haga clic en Inicio, en Ejecutar, escriba MMCy, a continuación, haga clic en Aceptar.
    3. Haga clic en Archivo, en Agregar o quitar complemento, en Certificados, en Agregar, en Cuenta de equipo, en Siguiente, en Finalizary, a continuación, en Aceptar.
    4. En el complemento MMC, busque Raíz de consola, expanda Certificados, expanda Entidades de certificación raíz de confianza, haga clic en Certificadosy, a continuación, compruebe que no existe un certificado para la entrada de nota raíz que anotó en el paso A.

Solución

Para resolver este problema, use uno de los métodos siguientes, en función del mensaje de advertencia.

Método 1: Problemas válidos para el tiempo

Para resolver problemas válidos en el tiempo, siga estos pasos.

  1. Vuelva a emitir el certificado con una fecha de validez adecuada. Para obtener más información sobre cómo instalar y configurar un nuevo certificado SSL para AD FS, consulta Cómo cambiar el certificado de comunicaciones de servicio de AD FS 2.0 después de que expire.

  2. Si se implementó un proxy de AD FS, también debe instalar el certificado en el sitio web predeterminado del proxy de AD FS mediante las funciones de exportación e importación de certificados. Para obtener más información, consulte Eliminación, importación y exportación de certificados digitales.

    Importante

    Asegúrese de que la clave privada está incluida en el proceso de exportación o importación. El servidor o los servidores proxy de AD FS también deben tener instalada una copia de la clave privada.

  3. Asegúrese de que la configuración de fecha y hora en el equipo cliente o en todos los servidores de AD FS sea correcta. La advertencia se mostrará en un error si la configuración de fecha del sistema operativo es incorrecta y indicará incorrectamente un valor que está fuera del valor Válido de y Torange Válido.

Método 2: Problemas de coincidencia de nombres de servicio

El nombre del servicio de AD FS se establece al ejecutar el Asistente para configuración de AD FS y se basa en el certificado enlazado al sitio web predeterminado. Para resolver problemas de coincidencia de nombres de servicio, siga estos pasos:

  1. Si se usó el nombre de certificado incorrecto para generar un certificado de reemplazo, siga estos pasos:

    1. Compruebe que el nombre del certificado es incorrecto.
    2. Vuelva a emitir el certificado correcto. Para obtener más información sobre cómo instalar y configurar un nuevo certificado SSL para AD FS, consulta Cómo cambiar el certificado de comunicaciones de servicio de AD FS 2.0 después de que expire.

  2. Si el punto de conexión de IDP de AD FS o los vínculos inteligentes se aprovechan para una experiencia de inicio de sesión personalizada, asegúrese de que el nombre del servidor que se usa coincide con el certificado asignado al servicio AD FS.

  3. En raras ocasiones, esta condición también puede deberse a un intento incorrecto de cambiar el nombre del servicio de AD FS después de la implementación.

    Importante

    Estos tipos de cambios provocarán una interrupción del servicio de AD FS. Después de la actualización, debe seguir estos pasos para restaurar la funcionalidad de inicio de sesión único (SSO):

    1. Ejecute el cmdlet Update-MSOLFederatedDomain en todos los espacios de nombres federados.
    2. Vuelva a ejecutar el Asistente para configuración de instalación para cualquier servidor proxy de AD FS en el entorno.

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Método 3: Emisión de problemas de confianza de la cadena de certificación

Puede resolver problemas de confianza de entidad de certificación (CA) mediante una de las siguientes tareas:

  • Obtenga y use un certificado de un origen que participe en el Programa de certificados raíz de Microsoft.
  • Solicite que el emisor de certificados se inscriba en el Programa de certificados raíz de Microsoft. Para obtener más información sobre el Programa de certificados raíz y el funcionamiento de los certificados raíz en Windows, vea Programa de certificados raíz de Microsoft.

Advertencia

No se recomienda que AD FS use una CA interna cuando se aproveche para el inicio de sesión único con Microsoft 365. El uso de una cadena de certificados que no es de confianza para el centro de datos de Microsoft 365 hará que la conectividad de Microsoft Outlook Microsoft Exchange Online produzca un error cuando Outlook se use con características de SSO.

Más información

¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de los foros de Microsoft Entra.