Recebe um aviso de certificado de AD FS quando tenta iniciar sessão no Office 365, Azure ou Intune

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

2523494
PROBLEMA
Quando tenta iniciar sessão a um serviço de nuvem de Microsoft como Office 365, Microsoft Azure ou Microsoft Intune utilizando uma conta federada, recebe um aviso de certificado do serviço web AD FS no browser.
CAUSA
Este problema ocorre quando é encontrado um erro de validação durante um ensaio de certificado.

Antes de um certificado pode ser utilizado para ajudar a proteger uma sessão do Secure Sockets Layer (SSL) ou Transport Layer Security (TLS), o certificado tem de passar os testes padrão seguintes:
  • Certificado não é válido de tempo. Se a data no servidor ou cliente for anterior a válido de data ou a data de emissão do certificado, ou se a data no servidor ou cliente é posterior a data válido para ou a data de expiração do certificado, o pedido de ligação emite um aviso que se baseia este estado. Para se certificar de que o certificado transmite este teste, verifique se o certificado efectivamente expirado de colunas ou aplicado antes tornou-se que active. Em seguida, efectue uma das seguintes acções:
    • Se realmente o certificado expirou ou foi aplicado antes de tornou-se que active, deve ser gerado um novo certificado que tiver as datas de entrega adequado para ajudar a proteger a comunicação para tráfego de AD FS.
    • Se o certificado não expiram ou não foi aplicado antes de tornou-se que active, verifique se o tempo em computadores cliente e servidor e, em seguida, actualizá-las conforme necessário.
  • Erro de correspondência do nome do serviço. Se o URL que é utilizado para efectuar a ligação não corresponder os nomes válidos para o qual o certificado pode ser utilizado, o pedido de ligação emite um aviso que se baseia este estado. Para se certificar de que o certificado transmite este teste, siga estes passos:
    1. Examine o URL na barra de endereços do browser que é utilizado para estabelecer a ligação.

      Nota Focar o endereço do servidor (por exemplo, sts.contoso.com) e não sobre a sintaxe HTTP à direita (por exemplo, /? pedido =...).
    2. Depois de reproduzir o erro, siga estes passos:
      1. Clique em Ver certificadose, em seguida, clique no separador Detalhes Compare o URL a partir do passo uma para o campo de Assunto e o Nome alternativo do requerente campos as Propriedades a caixa de diálogo do certificado.

        Captura de ecrã da página de endereço não correspondente
      2. Verifique se o endereço que é utilizado no passo A não estiver listado ou não coincidem com quaisquer entradas nestes campos, ou ambos. Se for este o caso, o certificado deve ser reemitido para incluir o endereço do servidor que foi utilizado no passo A.
  • Certificado não foi emitido por uma autoridade de certificação (AC de raiz fidedigna). Se o computador cliente que está a pedir a ligação não fidedigna da cadeia de AC que gerou o certificado, o pedido de ligação irá emitir um aviso de que se baseia este estado. Para se certificar de que o certificado transmite este teste, siga estes passos:
    1. Voltar a gerar o aviso de certificado e, em seguida, clique em Ver certificado para examinar o certificado. Sobre o caminho de certificação separador, repare a entrada de nota de raiz em que é apresentado na parte superior.
    2. Clique em Iniciar, clique em Executar, escreva MMCe, em seguida, clique em OK.
    3. Clique em ficheiro, clique em Adicionar/Remover Snap-in, clique em certificados, clique em Adicionar, seleccione a Conta de computador, clique em seguinte, clique em Concluire, em seguida, clique em OK.
    4. No MMC snap-in, localize a Raiz da consola, expanda certificados, expanda Autoridades de certificação de raiz fidedigna, clique em certificadose, em seguida, certifique-se de que não existe um certificado para a entrada de nota de raiz que anotou no passo A.
SOLUÇÃO
Para resolver este problema, utilize um dos seguintes métodos, consoante a mensagem de aviso.

Método 1: tempo-vproblemas de alid

Para resolver problemas de período de validade, siga estes passos.
  1. Voltar a publicar o certificado com uma data de validade adequado. Para obter mais informações sobre como instalar e configurar um novo certificado SSL para o AD FS, consulte o seguinte artigo na Microsoft Knowledge Base:
    2921805 Como alterar o AD FS 2.0 comunicações de serviço de certificados depois de esta expirar
  2. Se foi implementado um proxy do AD FS, tem de instalar o certificado no Web site predefinido do proxy do AD FS utilizando o exportação de certificado e importação funções. Para obter mais informações, consulte o seguinte artigo na Microsoft Knowledge Base:
    179380 Como remover, importar e exportar certificados digitais
    Importante Certifique-se de que a chave privada está incluída na exportação ou processo de importação. O servidor de Proxy do AD FS ou servidores também tem de ter uma cópia da chave privada instalada.
  3. Certifique-se de que as definições de data e hora no computador cliente ou em todos os servidores de AD FS estão correctas. É apresentado o aviso erro se as definições de data do sistema operativo estão incorrectas e indicará incorrectamente um valor fora de Valid do e do intervalo dealid para V.

Método 2:Problemas de falta de correspondência de nomes de serviço

O nome de serviço do AD FS é definido quando executa o Assistente de configuração do AD FS e se baseia o certificado que está associado ao Web site predefinido. Para resolver problemas de falta de correspondência do nome de serviço, siga estes passos:
  1. Se o nome do certificado errados foi utilizado para gerar um certificado de substituição, siga estes passos:
    1. Certifique-se de que o nome do certificado está incorrecto.
    2. Voltar a publicar o certificado correcto. Para obter mais informações sobre como instalar e configurar um novo certificado SSL para o AD FS, consulte o seguinte artigo na Microsoft Knowledge Base:
      2921805 Como alterar o AD FS 2.0 comunicações de serviço de certificados depois de esta expirar
  2. Se o ponto final de AD FS idP ou hiperligações inteligentes são utilizadas para uma experiência de início de sessão personalizada, certifique-se de que o nome do servidor utilizado corresponde ao certificado que é atribuído ao serviço do AD FS. Para mais informações sobre idP e autenticação de ligações inteligentes, consulte o seguinte Web site da Microsoft:

  3. Em casos raros, esta condição também pode ser causada por incorrectamente a tentar alterar o nome de serviço do AD FS após entrada em vigor. Para mais informações sobre como alterar manualmente o nome de serviço de ponto final de AD FS, consulte o seguinte Web site da Microsoft:


    Aviso Estes tipos de alterações causará uma falha de serviço do AD FS. Após a actualização, tem de seguir estes passos para restaurar a única funcionalidade em sessão (SSO):
    1. Execute o cmdlet Actualização-MSOLFederatedDomain em todos os espaços de nomes federados.
    2. Volte a executar o Assistente de configuração do programa de configuração para os servidores de proxy do AD FS no ambiente.

Método 3:Problemas de fidedignidade de cadeia de certificação de emissão


Pode resolver problemas de fidedignidade da autoridade (AC) de certificação emissora executando uma das seguintes tarefas:Aviso Não recomendamos que o AD FS utilizam uma AC interna, quando este é explorada para SSO com Office 365. Utilizando uma cadeia de certificados que não é fidedigno, o Centro de dados do Office 365 fará com que a conectividade de Microsoft Outlook ao Microsoft Exchange Online falha quando o Outlook é utilizado com funcionalidades SSO.
MAIS INFORMAÇÕES
Ainda precisa de ajuda? Vá para o Comunidade do Office 365 Web site ou o Fóruns de Azure do Active Directory Web site.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 2523494 - Última Revisão: 12/16/2014 00:12:00 - Revisão: 28.0

  • Microsoft Azure cloud services
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Microsoft Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
  • o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtpt
Esta informação foi útil?