Du mottar en sertifikatadvarsel fra AD FS når du logger på Microsoft 365, Azure eller Intune

  • Artikkel
  • Gjelder for:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Når du prøver å logge på en Microsoft-skytjeneste, for eksempel Microsoft 365, Microsoft Azure eller Microsoft Intune ved hjelp av en organisasjonsbasert konto, mottar du en sertifikatadvarsel fra AD FS-nettjenesten i nettleseren.

Årsak

Dette problemet oppstår når det oppstår en valideringsfeil under en sertifikattest.

Før et sertifikat kan brukes til å sikre en SSL-økt (Secure Sockets Layer) eller Transport Layer Security (TLS), må sertifikatet bestå følgende standardtester:

  • Sertifikatet er ikke gyldig. Hvis datoen på serveren eller klienten er tidligere enn gyldig fra-dato eller utstedelsesdatoen for sertifikatet, eller hvis datoen på serveren eller klienten er senere enn gyldig til-dato eller utløpsdatoen for sertifikatet, utsteder tilkoblingsforespørselen en advarsel som er basert på denne tilstanden. Kontroller om sertifikatet faktisk har utløpt eller ble brukt før det ble aktivt, for å sikre at sertifikatet består denne testen. Deretter utfører du én av følgende handlinger:

    • Hvis sertifikatet faktisk utløp eller ble brukt før det ble aktivt, må det genereres et nytt sertifikat som har riktige leveringsdatoer for å sikre kommunikasjonen for AD FS-trafikk.
    • Hvis sertifikatet ikke utløp eller ikke ble brukt før det ble aktivt, må du kontrollere tidspunktet på klient- og serverdatamaskinene og deretter oppdatere dem etter behov.

  • Ikke samsvar mellom tjenestenavn. Hvis URL-adressen som brukes til å opprette tilkoblingen, ikke samsvarer med de gyldige navnene som sertifikatet kan brukes for, utsteder tilkoblingsforespørselen en advarsel som er basert på denne tilstanden. Følg disse trinnene for å sikre at sertifikatet består denne testen:

    1. Undersøk nettadressen på adresselinjen i nettleseren som brukes til å opprette tilkoblingen.

      Obs!

      Fokuser på serveradressen (for eksempel sts.contoso.com) og ikke på den etterfølgende HTTP-syntaksen (for eksempel /?request=...).

    2. Når du har reprodusert feilen, følger du disse trinnene:

      1. Klikk Vis sertifikater, og klikk deretter Detaljer-fanen . Sammenlign URL-adressen fra trinn A til Emne-feltet og feltene Alternativt navn for emne i dialogboksen Egenskaper for sertifikatet.

        Skjermbilde som viser feilen på siden Manglende samsvarende adresse.

      2. Kontroller at adressen som brukes i trinn A, ikke er oppført eller ikke samsvarer med noen oppføringer i disse feltene, eller begge deler. Hvis dette er tilfelle, må sertifikatet sendes på nytt for å inkludere serveradressen som ble brukt i trinn A.

  • Sertifikatet ble ikke utstedt av en klarert rotsertifiseringsinstans (CA). Hvis klientdatamaskinen som ber om tilkoblingen, ikke stoler på CA-kjeden som genererte sertifikatet, vil tilkoblingsforespørselen utstede en advarsel som er basert på denne tilstanden. Følg disse trinnene for å sikre at sertifikatet består denne testen:

    1. Generer sertifikatadvarselen på nytt, og klikk deretter Vis sertifikat for å undersøke sertifikatet. Legg merke til rotnotatoppføringen som vises øverst på sertifiseringsbane-fanen .
    2. Klikk Start, klikk Kjør, skriv inn MMC, og klikk deretter OK.
    3. Klikk Fil, klikk Legg til / fjern snapin-modulen, klikk Sertifikater, klikk Legg til, velg Datamaskinkonto, klikk Neste, klikk Fullfør, og klikk deretter OK.
    4. Finn konsollroten i MMC-snapin-modulen, utvid sertifikater, utvid klarerte rotsertifiseringsinstanser, klikk sertifikater, og kontroller deretter at et sertifikat for rotnotatoppføringen som du noterte i trinn A, ikke finnes.

Løsning

Du kan løse dette problemet ved å bruke én av følgende metoder, avhengig av advarselen.

Metode 1: Tidsvalidsproblemer

Følg disse trinnene for å løse tidsvalidede problemer.

  1. Tilordne sertifikatet på nytt med en passende gyldighetsdato. Hvis du vil ha mer informasjon om hvordan du installerer og konfigurerer et nytt SSL-sertifikat for AD FS, kan du se Hvordan du endrer kommunikasjonssertifikatet for AD FS 2.0-tjenesten etter at det utløper.

  2. Hvis en AD FS-proxy ble distribuert, må du også installere sertifikatet på standardnettstedet til AD FS-proxyen ved hjelp av sertifikateksport- og importfunksjonene. Hvis du vil ha mer informasjon, kan du se Slik fjerner, importerer og eksporterer du digitale sertifikater.

    Viktig

    Kontroller at den private nøkkelen er inkludert i eksport- eller importprosessen. AD FS Proxy-serveren eller -serverne må også ha en kopi av den private nøkkelen installert.

  3. Kontroller at innstillingene for dato og klokkeslett på klientdatamaskinen eller på alle AD FS-servere er riktige. Advarselen vises ved en feil hvis datoinnstillingene for operativsystemet er feil, og den vil feilaktig angi en verdi som er utenfor gyldig fra og gyldig torange.

Metode 2: Problemer med manglende samsvar mellom tjenestenavn

AD FS-tjenestenavnet angis når du kjører konfigurasjonsveiviseren for AD FS og er basert på sertifikatet som er bundet til standardnettstedet. Følg disse trinnene for å løse problemer med manglende samsvar mellom tjenestenavn:

  1. Hvis feil sertifikatnavn ble brukt til å generere et erstatningssertifikat, følger du disse trinnene:

    1. Kontroller at sertifikatnavnet er feil.
    2. Gi det riktige sertifikatet nytt. Hvis du vil ha mer informasjon om hvordan du installerer og konfigurerer et nytt SSL-sertifikat for AD FS, kan du se Hvordan du endrer kommunikasjonssertifikatet for AD FS 2.0-tjenesten etter at det utløper.

  2. Hvis AD FS-idP-endepunktet eller smartkoblingene utnyttes for en tilpasset påloggingsopplevelse, må du kontrollere at servernavnet som brukes, samsvarer med sertifikatet som er tilordnet til AD FS-tjenesten.

  3. I sjeldne tilfeller kan denne betingelsen også skyldes feil forsøk på å endre AD FS-tjenestenavnet etter implementeringen.

    Viktig

    Slike endringer vil føre til et AD FS-tjenestebrudd. Etter oppdateringen må du følge disse trinnene for å gjenopprette enkel pålogging (SSO)-funksjonalitet:

    1. Kjør cmdleten Update-MSOLFederatedDomain på alle navneområder i forbund.
    2. Kjør konfigurasjonsveiviseren for installasjonsprogrammet på nytt for alle AD FS-proxy-servere i miljøet.

Obs!

Azure AD- og MSOnline PowerShell-moduler avvikles fra og med 30. mars 2024. Hvis du vil ha mer informasjon, kan du lese avskrivingsoppdateringen. Etter denne datoen er støtte for disse modulene begrenset til overføringshjelp til Microsoft Graph PowerShell SDK og sikkerhetsoppdateringer. De avskrevne modulene vil fortsette å fungere til og med 30. mars 2025.

Vi anbefaler at du overfører til Microsoft Graph PowerShell for å samhandle med Microsoft Entra ID (tidligere Azure AD). Se vanlige spørsmål om overføring for vanlige spørsmål om overføring. Merk: Versjoner 1.0.x av MSOnline kan oppleve forstyrrelser etter 30. juni 2024.

Metode 3: Utstedelse av klareringsproblemer for sertifiseringskjede

Du kan løse utstedelse av klareringsproblemer for sertifiseringsinstansen (CA) ved å utføre én av følgende oppgaver:

  • Hent og bruk et sertifikat fra en kilde som deltar i Microsofts rotsertifikatprogram.
  • Be om at sertifikatutstederen registrerer seg i Microsofts rotsertifikatprogram. Hvis du vil ha mer informasjon om rotsertifikatprogrammet og driften av rotsertifikater i Windows, kan du se Microsofts rotsertifikatprogram.

Advarsel

Vi anbefaler ikke at AD FS bruker en intern sertifiseringsinstans når den brukes for enkel pålogging med Microsoft 365. Hvis du bruker en sertifikatkjede som ikke er klarert av Microsoft 365-datasenteret, vil Microsoft Outlook-tilkoblingen Microsoft Exchange Online mislykkes når Outlook brukes med SSO-funksjoner.

Mer informasjon

Trenger du fremdeles hjelp? Gå til Microsoft Community eller nettstedet Microsoft Entra Forums.