Você recebe um aviso de certificado do AD FS ao entrar no Microsoft 365, Azure ou Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Ao tentar entrar em um serviço de nuvem da Microsoft, como Microsoft 365, Microsoft Azure ou Microsoft Intune usando uma conta federada, você recebe um aviso de certificado do serviço Web do AD FS em seu navegador.

Motivo

Esse problema ocorre quando um erro de validação é encontrado durante um teste de certificado.

Antes que um certificado possa ser usado para ajudar a proteger uma sessão SSL (Secure Sockets Layer) ou TLS (Transport Layer Security), o certificado deve passar nos seguintes testes padrão:

  • O certificado não é válido por tempo. Se a data no servidor ou cliente for anterior à data válida ou à data de emissão do certificado ou se a data no servidor ou cliente for posterior à data válida ou à data de validade do certificado, a solicitação de conexão emitirá um aviso baseado nesse estado. Para garantir que o certificado passe neste teste, marcar se o certificado realmente expirou ou foi aplicado antes de se tornar ativo. Em seguida, tome uma das seguintes ações:

    • Se o certificado realmente expirou ou foi aplicado antes de se tornar ativo, um novo certificado deve ser gerado que tenha as datas de entrega apropriadas para ajudar a proteger a comunicação para o tráfego do AD FS.
    • Se o certificado não expirou ou não foi aplicado antes de ficar ativo, verifique a hora nos computadores cliente e servidor e atualize-os conforme necessário.

  • Incompatibilidade de nome de serviço. Se a URL usada para fazer a conexão não corresponder aos nomes válidos para os quais o certificado pode ser usado, a solicitação de conexão emitirá um aviso baseado nesse estado. Para garantir que o certificado passe neste teste, siga estas etapas:

    1. Examine a URL na barra de endereços do navegador usada para estabelecer a conexão.

      Observação

      Concentre-se no endereço do servidor (por exemplo, sts.contoso.com) e não na sintaxe HTTP à direita (por exemplo, /?request=...).

    2. Depois de reproduzir o erro, siga estas etapas:

      1. Clique em Exibir Certificados e clique na guia Detalhes . Compare a URL da etapa A com o campo Assunto e com os campos Nome Alternativo do Assunto na caixa de diálogo Propriedades do certificado.

        A captura de tela mostra o erro na página Endereço Incompatível.

      2. Verifique se o endereço usado na etapa A não está listado ou não corresponde a nenhuma entrada nesses campos ou ambos. Se esse for o caso, o certificado deverá ser relançado para incluir o endereço do servidor usado na etapa A.

  • O certificado não foi emitido por uma autoridade de certificação raiz confiável (AC). Se o computador cliente que está solicitando a conexão não confiar na cadeia de AC que gerou o certificado, a solicitação de conexão emitirá um aviso baseado nesse estado. Para garantir que o certificado passe neste teste, siga estas etapas:

    1. Regenere o aviso de certificado e clique em Exibir Certificado para examinar o certificado. Na guia Caminho da Certificação , observe a entrada de nota raiz na que é exibida na parte superior.
    2. Clique em Iniciar, clique em Executar, digite MMC e clique em OK.
    3. Clique em Arquivo, clique em Adicionar/remover Snap-in, clique em Certificados, clique em Adicionar, selecione Conta de Computador, clique em Avançar, clique em Concluir e clique em OK.
    4. No snap-in do MMC, localize a Raiz do Console, expanda Certificados, expanda Autoridades de Certificação Raiz Confiáveis, clique em Certificados e verifique se um certificado para a entrada de nota raiz que você observou na etapa A não existe.

Solução

Para resolve esse problema, use um dos métodos a seguir, dependendo da mensagem de aviso.

Método 1: problemas válidos por tempo

Para resolve problemas válidos por tempo, siga estas etapas.

  1. Reemissue o certificado com uma data de validade apropriada. Para obter mais informações sobre como instalar e configurar um novo certificado SSL para a AD FS, confira Como alterar o certificado de comunicação de serviço do AD FS 2.0 depois que ele expirar.

  2. Se um proxy do AD FS foi implantado, você também precisará instalar o certificado no site padrão do proxy do AD FS usando as funções de exportação e importação de certificados. Para obter mais informações, consulte Como remover, importar e exportar certificados digitais.

    Importante

    Verifique se a chave privada está incluída no processo de exportação ou importação. O servidor ou servidores proxy do AD FS também deve ter uma cópia da chave privada instalada.

  3. Verifique se as configurações de data e hora no computador cliente ou em todos os servidores do AD FS estão corretas. O aviso será exibido por erro se as configurações de data do sistema operacional estiverem incorretas e indicará incorretamente um valor que está fora do torange Valid fromand Valid.

Método 2: Problemas de incompatibilidade de nome de serviço

O nome do serviço do AD FS é definido quando você executa o Assistente de Configuração do AD FS e se baseia no certificado vinculado ao site padrão. Para resolve problemas de incompatibilidade de nome de serviço, siga estas etapas:

  1. Se o nome do certificado errado foi usado para gerar um certificado de substituição, siga estas etapas:

    1. Verifique se o nome do certificado está incorreto.
    2. Reemissar o certificado correto. Para obter mais informações sobre como instalar e configurar um novo certificado SSL para a AD FS, confira Como alterar o certificado de comunicação de serviço do AD FS 2.0 depois que ele expirar.

  2. Se o ponto de extremidade idP do AD FS ou os links inteligentes forem aproveitados para uma experiência de entrada personalizada, verifique se o nome do servidor usado corresponde ao certificado atribuído ao serviço do AD FS.

  3. Em casos raros, essa condição também pode ser causada pela tentativa incorreta de alterar o nome do serviço do AD FS após a implementação.

    Importante

    Esses tipos de alterações causarão uma interrupção do serviço do AD FS. Após a atualização, você deve seguir estas etapas para restaurar a funcionalidade de SSO (logon único):

    1. Execute o cmdlet Update-MSOLFederatedDomain em todos os namespaces federados.
    2. Execute novamente o assistente de configuração de configuração para todos os servidores proxy do AD FS no ambiente.

Observação

os módulos Azure AD e MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Método 3: Emitir problemas de confiança na cadeia de certificação

Você pode resolve emitir problemas de confiança de autoridade de certificação (AC) executando uma das seguintes tarefas:

  • Obtenha e use um certificado de uma fonte que participa do Programa de Certificado raiz da Microsoft.
  • Solicite que o emissor de certificados se registre no Programa de Certificado raiz da Microsoft. Para obter mais informações sobre o Programa de Certificado Raiz e a operação de certificados raiz no Windows, consulte Programa de Certificado raiz da Microsoft.

Aviso

Não recomendamos que o AD FS use uma AC interna quando for aproveitada para SSO com o Microsoft 365. O uso de uma cadeia de certificados que não é confiável pelo data center do Microsoft 365 fará com que a conectividade do Microsoft Outlook Microsoft Exchange Online falhar quando o Outlook for usado com recursos SSO.

Mais informações

Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Microsoft Entra.