Podczas logowania się do platformy Microsoft 365, platformy Azure lub Intune otrzymujesz ostrzeżenie o certyfikacie od usług AD FS

Problem

Podczas próby zalogowania się do usługi w chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Azure lub Microsoft Intune przy użyciu konta federacyjnego, otrzymasz ostrzeżenie certyfikatu z usługi internetowej usług AD FS w przeglądarce.

Przyczyna

Ten problem występuje, gdy podczas testu certyfikatu występuje błąd walidacji.

Aby można było użyć certyfikatu do zabezpieczenia sesji protokołu Secure Sockets Layer (SSL) lub Transport Layer Security (TLS), certyfikat musi przejść następujące testy standardowe:

  • Certyfikat jest nieprawidłowy. Jeśli data na serwerze lub kliencie jest wcześniejsza niż ważna od daty lub daty wystawienia certyfikatu lub jeśli data na serwerze lub kliencie jest późniejsza niż data ważności lub data wygaśnięcia certyfikatu, żądanie połączenia wydaje ostrzeżenie oparte na tym stanie. Aby upewnić się, że certyfikat przejdzie ten test, sprawdź, czy certyfikat faktycznie wygasł, czy został zastosowany, zanim stał się aktywny. Następnie wykonaj jedną z następujących akcji:

    • Jeśli certyfikat faktycznie wygasł lub został zastosowany, zanim stał się aktywny, należy wygenerować nowy certyfikat z odpowiednimi datami dostawy, aby ułatwić zabezpieczenie komunikacji dla ruchu usług AD FS.
    • Jeśli certyfikat nie wygaśnie lub nie został zastosowany, zanim stał się aktywny, sprawdź czas na komputerach klienckich i serwerach, a następnie zaktualizuj go zgodnie z wymaganiami.
  • Niezgodność nazwy usługi. Jeśli adres URL użyty do nawiązania połączenia nie odpowiada prawidłowym nazwom, dla których może być używany certyfikat, żądanie połączenia wydaje ostrzeżenie oparte na tym stanie. Aby upewnić się, że certyfikat przejdzie ten test, wykonaj następujące kroki:

    1. Sprawdź adres URL na pasku adresu przeglądarki, która jest używana do nawiązania połączenia.

      Uwaga

      Skoncentruj się na adresie serwera (na przykład sts.contoso.com), a nie na końcowej składni HTTP (na przykład /?request=...).

    2. Po odtworzeniu błędu wykonaj następujące kroki:

      1. Kliknij pozycję Wyświetl certyfikaty, a następnie kliknij kartę Szczegóły . Porównaj adres URL z kroku A z polem Temat i z polami Alternatywna nazwa podmiotu w oknie dialogowym Właściwości certyfikatu.

        Zrzut ekranu przedstawia błąd na stronie Niezgodny adres.

      2. Sprawdź, czy adres używany w kroku A nie znajduje się na liście lub nie pasuje do żadnych wpisów w tych polach lub w obu tych polach. W takim przypadku certyfikat musi zostać ponownie wystawiony, aby uwzględnić adres serwera użyty w kroku A.

  • Certyfikat nie został wystawiony przez zaufany główny urząd certyfikacji ( CA). Jeśli komputer kliencki żądający połączenia nie ufa łańcuchowi urzędu certyfikacji, który wygenerował certyfikat, żądanie połączenia wyda ostrzeżenie oparte na tym stanie. Aby upewnić się, że certyfikat przejdzie ten test, wykonaj następujące kroki:

    1. Wygeneruj ponownie ostrzeżenie certyfikatu, a następnie kliknij pozycję Wyświetl certyfikat , aby sprawdzić certyfikat. Na karcie Ścieżka certyfikacji zwróć uwagę na wpis notatki głównej wyświetlany u góry.
    2. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz MMC, a następnie kliknij przycisk OK.
    3. Kliknij pozycję Plik, kliknij pozycję Dodaj/usuń przystawkę, kliknij pozycję Certyfikaty, kliknij przycisk Dodaj, wybierz pozycję Konto komputera, kliknij przycisk Dalej, kliknij przycisk Zakończ, a następnie kliknij przycisk OK.
    4. W przystawce MMC znajdź pozycję Główny konsola, rozwiń węzeł Certyfikaty, rozwiń węzeł Zaufane główne urzędy certyfikacji, kliknij pozycję Certyfikaty, a następnie sprawdź, czy certyfikat dla wpisu notatki głównej zanotowany w kroku A nie istnieje.

Rozwiązanie

Aby rozwiązać ten problem, użyj jednej z następujących metod, w zależności od komunikatu ostrzegawczego.

Metoda 1. Problemy z prawidłowym czasem

Aby rozwiązać prawidłowe czasowe problemy, wykonaj następujące kroki.

  1. Ponownie wyświęć certyfikat z odpowiednią datą ważności. Aby uzyskać więcej informacji na temat instalowania i konfigurowania nowego certyfikatu SSL dla usług AD FS, zobacz How to change the AD FS 2.0 service communications certificate after it expires (Jak zmienić certyfikat komunikacji usług AD FS 2.0 po jego wygaśnięciu).

  2. Jeśli wdrożono serwer proxy usług AD FS, należy również zainstalować certyfikat w domyślnej witrynie internetowej serwera proxy usług AD FS przy użyciu funkcji eksportowania i importowania certyfikatów. Aby uzyskać więcej informacji, zobacz Jak usunąć, zaimportować i wyeksportować certyfikaty cyfrowe.

    Ważna

    Upewnij się, że klucz prywatny jest uwzględniony w procesie eksportowania lub importowania. Serwer proxy usług AD FS lub serwery muszą mieć również zainstalowaną kopię klucza prywatnego.

  3. Upewnij się, że ustawienia daty i godziny na komputerze klienckim lub na wszystkich serwerach usług AD FS są poprawne. Ostrzeżenie zostanie wyświetlone z błędem, jeśli ustawienia daty systemu operacyjnego są nieprawidłowe i niepoprawnie wskażą wartość, która znajduje się poza kontrolką Prawidłowa i Prawidłowa.

Metoda 2. Problemy z niezgodnością nazwy usługi

Nazwa usługi AD FS jest ustawiana podczas uruchamiania Kreatora konfiguracji usług AD FS i jest oparta na certyfikacie powiązanym z domyślną witryną internetową. Aby rozwiązać problemy z niezgodnością nazw usługi, wykonaj następujące kroki:

  1. Jeśli do wygenerowania certyfikatu zastępczego użyto nieprawidłowej nazwy certyfikatu, wykonaj następujące kroki:

    1. Sprawdź, czy nazwa certyfikatu jest nieprawidłowa.
    2. Ponownie wyświęć poprawny certyfikat. Aby uzyskać więcej informacji na temat instalowania i konfigurowania nowego certyfikatu SSL dla usług AD FS, zobacz How to change the AD FS 2.0 service communications certificate after it expires (Jak zmienić certyfikat komunikacji usług AD FS 2.0 po jego wygaśnięciu).
  2. Jeśli punkt końcowy dostawcy tożsamości usług AD FS lub linki inteligentne są używane do niestandardowego logowania, upewnij się, że używana nazwa serwera jest zgodna z certyfikatem przypisanym do usługi AD FS.

  3. W rzadkich przypadkach ten warunek może być również spowodowany nieprawidłową próbą zmiany nazwy usługi AD FS po implementacji.

    Ważna

    Tego rodzaju zmiany spowodują awarię usługi AD FS. Po aktualizacji należy wykonać następujące kroki, aby przywrócić funkcję logowania jednokrotnego:

    1. Uruchom polecenie cmdlet Update-MSOLFederatedDomain we wszystkich federacyjnych przestrzeniach nazw.
    2. Uruchom ponownie kreatora konfiguracji konfiguracji dla wszystkich serwerów proxy usług AD FS w środowisku.

Uwaga

Azure AD program PowerShell ma zostać wycofany 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Program Microsoft Graph PowerShell umożliwia dostęp do wszystkich interfejsów API programu Microsoft Graph i jest dostępny w programie PowerShell 7. Odpowiedzi na typowe zapytania dotyczące migracji można znaleźć w temacie Migration FAQ (Często zadawane pytania dotyczące migracji).

Metoda 3. Problemy z zaufaniem w łańcuchu certyfikacji

Problemy z zaufaniem urzędu certyfikacji można rozwiązać, wykonując jedno z następujących zadań:

  • Pobierz i użyj certyfikatu ze źródła, które uczestniczy w programie certyfikatów głównych firmy Microsoft.
  • Zażądaj zarejestrowania wystawcy certyfikatu w programie certyfikatów głównych firmy Microsoft. Aby uzyskać więcej informacji o programie certyfikatów głównych i działaniu certyfikatów głównych w systemie Windows, zobacz Program certyfikatów głównych firmy Microsoft.

Ostrzeżenie

Nie zalecamy, aby usługi AD FS używały wewnętrznego urzędu certyfikacji, gdy jest on używany do logowania jednokrotnego w usłudze Microsoft 365. Użycie łańcucha certyfikatów, który nie jest zaufany przez centrum danych platformy Microsoft 365, spowoduje niepowodzenie łączności programu Microsoft Outlook z Microsoft Exchange Online, gdy program Outlook jest używany z funkcjami logowania jednokrotnego.

Więcej informacji

Nadal potrzebujesz pomocy? Przejdź do witryny microsoft community lub witryny internetowej forów Microsoft Entra.