U ontvangt een certificaatwaarschuwing van AD FS wanneer u zich aanmeldt bij Microsoft 365, Azure of Intune

Probleem

Wanneer u zich probeert aan te melden bij een Microsoft-cloudservice zoals Microsoft 365, Microsoft Azure of Microsoft Intune met behulp van een federatief account, ontvangt u een certificaatwaarschuwing van de AD FS-webservice in uw browser.

Oorzaak

Dit probleem treedt op wanneer er een validatiefout optreedt tijdens een certificaattest.

Voordat een certificaat kan worden gebruikt om een SSL-sessie (Secure Sockets Layer) of TLS-sessie (Transport Layer Security) te beveiligen, moet het certificaat voldoen aan de volgende standaardtests:

• Het certificaat is niet geldig. Als de datum op de server of client eerder is dan de datum Geldig vanaf of de uitgiftedatum van het certificaat, of als de datum op de server of client later is dan de datum Geldig tot of de vervaldatum van het certificaat, geeft de verbindingsaanvraag een waarschuwing uit die is gebaseerd op deze status. Om ervoor te zorgen dat het certificaat deze test doorstaat, controleert u of het certificaat daadwerkelijk is verlopen of is toegepast voordat het actief werd. Voer vervolgens een van de volgende acties uit:

  • Als het certificaat daadwerkelijk is verlopen of is toegepast voordat het actief werd, moet er een nieuw certificaat worden gegenereerd met de juiste leveringsdatums om de communicatie voor AD FS-verkeer te beveiligen.
  • Als het certificaat niet is verlopen of niet is toegepast voordat het actief werd, controleert u de tijd op de client- en servercomputers en werkt u deze vervolgens zo nodig bij.

• De servicenaam komt niet overeen. Als de URL die wordt gebruikt om de verbinding te maken niet overeenkomt met de geldige namen waarvoor het certificaat kan worden gebruikt, geeft de verbindingsaanvraag een waarschuwing uit die is gebaseerd op deze status. Voer de volgende stappen uit om ervoor te zorgen dat het certificaat voor deze test slaagt:

  1. Controleer de URL in de adresbalk van de browser die wordt gebruikt om de verbinding tot stand te brengen.

     Opmerking

     Richt u op het serveradres (bijvoorbeeld sts.contoso.com) en niet op de volg-HTTP-syntaxis (bijvoorbeeld /?request=...).

  2. Nadat u de fout hebt gereproduceerd, voert u de volgende stappen uit:

     1. Klik op Certificaten weergeven en klik vervolgens op het tabblad Details . Vergelijk de URL van stap A met het veld Onderwerp en met de velden Alternatieve onderwerpnaam in het dialoogvenster Eigenschappen van het certificaat.

        

     2. Controleer of het adres dat wordt gebruikt in stap A niet wordt weergegeven of niet overeenkomt met vermeldingen in deze velden, of beide. Als dit het geval is, moet het certificaat opnieuw worden uitgegeven met het serveradres dat is gebruikt in stap A.

• Het certificaat is niet uitgegeven door een vertrouwde basiscertificeringsinstantie (CA). Als de clientcomputer die de verbinding aanvraagt, de CA-keten die het certificaat heeft gegenereerd, niet vertrouwt, geeft de verbindingsaanvraag een waarschuwing die is gebaseerd op deze status. Voer de volgende stappen uit om ervoor te zorgen dat het certificaat voor deze test slaagt:

  1. Genereer de certificaatwaarschuwing opnieuw en klik vervolgens op Certificaat weergeven om het certificaat te controleren. Op het tabblad Certificeringspad ziet u dat de hoofdnotitie bovenaan wordt weergegeven.
  2. Klik op Start, klik op Uitvoeren, typ MMC en klik vervolgens op OK.
  3. Klik op Bestand, klik op Module toevoegen/verwijderen, klik op Certificaten, klik op Toevoegen, selecteer Computeraccount, klik op Volgende, klik op Voltooien en klik vervolgens op OK.
  4. Zoek in de MMC-module Consolehoofdmap, vouw Certificaten uit, vouw Vertrouwde basiscertificeringsinstanties uit, klik op Certificaten en controleer of er geen certificaat bestaat voor de basisnotitie die u in stap A hebt genoteerd.

Oplossing

Gebruik een van de volgende methoden om dit probleem op te lossen, afhankelijk van het waarschuwingsbericht.

Methode 1: Problemen met tijdsvalidatie

Volg deze stappen om problemen met geldige tijd op te lossen.

1. Geef het certificaat opnieuw met een juiste geldigheidsdatum. Zie How to change the AD FS 2.0 service communications certificate after it expires (Het CERTIFICAAT voor AD FS 2.0-servicecommunicatie wijzigen nadat het is verlopen) voor meer informatie over het installeren en instellen van een nieuw SSL-certificaat voor AD FS.

2. Als er een AD FS-proxy is geïmplementeerd, moet u het certificaat ook installeren op de standaardwebsite van de AD FS-proxy met behulp van de export- en importfuncties voor certificaten. Zie Digitale certificaten verwijderen, importeren en exporteren voor meer informatie.

   Belangrijk

   Zorg ervoor dat de persoonlijke sleutel is opgenomen in het export- of importproces. Op de AD FS-proxyserver of -servers moet ook een kopie van de persoonlijke sleutel zijn geïnstalleerd.

3. Zorg ervoor dat de datum- en tijdinstellingen op de clientcomputer of op alle AD FS-servers juist zijn. De waarschuwing wordt ten onrechte weergegeven als de datuminstellingen van het besturingssysteem onjuist zijn en er wordt ten onrechte een waarde aangegeven die buiten de volgorde Geldig van en Geldig valt.

Methode 2: Problemen met niet-overeenkomende servicenamen

De naam van de AD FS-service wordt ingesteld wanneer u de wizard AD FS-configuratie uitvoert en is gebaseerd op het certificaat dat is gebonden aan de standaardwebsite. Volg deze stappen om problemen met niet-overeenkomende servicenamen op te lossen:

1. Als de verkeerde certificaatnaam is gebruikt om een vervangend certificaat te genereren, voert u de volgende stappen uit:

   1. Controleer of de certificaatnaam onjuist is.
   2. Geef het juiste certificaat opnieuw. Zie How to change the AD FS 2.0 service communications certificate after it expires (Het CERTIFICAAT voor AD FS 2.0-servicecommunicatie wijzigen nadat het is verlopen) voor meer informatie over het installeren en instellen van een nieuw SSL-certificaat voor AD FS.

2. Als het AD FS idP-eindpunt of slimme koppelingen worden gebruikt voor een aangepaste aanmeldingservaring, moet u ervoor zorgen dat de gebruikte servernaam overeenkomt met het certificaat dat is toegewezen aan de AD FS-service.

3. In zeldzame gevallen kan deze voorwaarde ook worden veroorzaakt door een onjuiste poging om de NAAM van de AD FS-service na de implementatie te wijzigen.

   Belangrijk

   Dit soort wijzigingen veroorzaakt een storing van de AD FS-service. Na de update moet u deze stappen uitvoeren om de functionaliteit voor eenmalige aanmelding (SSO) te herstellen:

   1. Voer de cmdlet Update-MSOLFederatedDomain uit op alle federatieve naamruimten.
   2. Voer de configuratiewizard voor ad FS-proxyservers in de omgeving opnieuw uit.

Methode 3: Problemen met vertrouwensrelatie in de certificeringsketen uitgeven

U kunt vertrouwensproblemen met de verlenende certificeringsinstantie (CA) oplossen door een van de volgende taken uit te voeren:

• Haal en gebruik een certificaat van een bron die deelneemt aan het Microsoft-basiscertificaatprogramma.
• Vraag de certificaatverlener om zich in te schrijven voor het Microsoft-basiscertificaatprogramma. Zie Microsoft Root Certificate Program voor meer informatie over het basiscertificaatprogramma en de werking van basiscertificaten in Windows.

Meer informatie

Meer hulp nodig? Ga naar de Microsoft-community of de website Microsoft Entra Forums.