Momentan sunteți offline, așteptați să vă reconectați la internet

Primiți un avertisment de certificate de la AD FS atunci când încercați să faceți sign in la Office 365, Azure sau Intune

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2523494
PROBLEMA
Atunci când încercați să faceți sign in la un serviciu de cloud Microsoft Office 365, Microsoft Azure sau Microsoft Intune utilizând un cont federativ, este primiți un avertisment de certificat de la serviciul web AD FS în browser.
CAUZA
Această problemă apare atunci când o eroare de validare este întâlnit în timpul unui certificat test.

Înainte de un certificat pot fi utilizate pentru a contribui la securizarea o sesiune Secure Sockets Layer (SSL) sau protocol TLS (TLS), certificatul trebuie să treacă următoarele teste standard:
  • Certificat nu este validă de marcă de timp. Dacă data pe server sau client este anterioară datei valabil la data sau data problemă certificatul sau dacă data pe server sau client este mai târziu valabil la data sau dată de expirare a certificatului, solicitarea de conectare emite un avertisment care se bazează pe această stare. Pentru a vă asigura că certificatul trece acest test, verificați dacă certificatul a expirat sau s-a aplicat înainte de a devenit activ. Apoi, efectuați una dintre următoarele acțiuni:
    • Dacă certificatul a expirat sau s-a aplicat înainte de a devenit activ, un certificat nou trebuie să fi generat, care are datele livrare corespunzătoare pentru a contribui la securizarea comunicare pentru AD FS trafic.
    • Dacă certificatul nu expira sau nu a fost aplicat înainte de a devenit activ, verificați ora de pe computerele client și server și apoi le actualiza după cum este necesar.
  • Nepotrivire de nume de serviciu. Dacă URL-ul care este utilizat pentru a face conexiunea nu se potriveşte cu nume de sign-in validă pentru care poate fi utilizat certificatul, solicitarea de conectare emite un avertisment care se bazează pe această stare. Pentru a vă asigura că certificatul trece acest test, urmați acești pași:
    1. Examinați URL-ul în bara Adrese a browserului care este utilizat pentru a stabili conexiunea.

      Notă Adresa de server (de exemplu, sts.contoso.com) şi nu la final sintaxa HTTP (de exemplu, /? solicitare =...).
    2. După ce reproduceți eroarea, urmați acești pași:
      1. vizualizare Proiect certificate, și apoi faceți clic pe fila detalii comparare URL-ul de la pasul A câmpul subiect şi Subiect alternativă nume câmpuri în Proprietăți casetă de dialog de certificat.

        Captură de ecran de nepotrivite Adresă pagină
      2. Verificați că adresa care este utilizat în pasul A nu este listat sau nu se potrivesc cu orice intrări în aceste câmpuri, sau ambele. Dacă acesta este cazul, certificatul trebuie să fie emise din nou pentru a include adresa serverului care a fost utilizat în pasul A.
  • Certificat nu a fost emise de o autoritate de certificare rădăcină de încredere (CA). În cazul în care computer client care solicită conexiunea nu aveți încredere Lanțul CA care a generat certificatul, solicitarea de conectare va genera o avertizare care se bazează pe această stare. Pentru a vă asigura că certificatul trece acest test, urmați acești pași:
    1. Regenera certificat de avertizare, și apoi faceți clic pe vizualizare Proiect certificat de examinare certificat. Pe cale de certificare fila, veți observa intrarea rădăcină notă pe care se afișează în partea de sus.
    2. Faceți clic pe Start, faceți clic pe executare, tastați MMCși apoi faceți clic pe OK.
    3. Faceți clic pe fișier, faceți clic pe Add/remove Snap-in, faceți clic pe certificate, faceți clic pe Adăugare, selectați Contul de Computer, faceți clic pe Următorul, faceți clic pe Terminare, și apoi faceți clic pe OK.
    4. În completare snap-in MMC, găsiți Rădăcină consolă, extindeți certificate, extindeți Autorități de certificare rădăcină de încredere, faceți clic pe certificateși apoi verificați că nu există un certificat pentru intrarea Notă rădăcină notat în pasul A.
SOLUȚIE
Pentru a rezolva această problemă, utilizați una dintre următoarele metode, în funcție de mesajul de avertizare.

Metoda 1: Time-vprobleme de alex

Pentru a rezolva probleme de marcă de timp validă, urmați acești pași.
  1. Reemiterea certificatul cu o dată de valabilitate corespunzător. Pentru mai multe informații despre cum să instalați și configurați un certificat SSL nou pentru AD FS, consultaţi următorul articol din baza de cunoștințe Microsoft:
    2921805 Cum se modifică AD FS 2.0 service communications certificat după expirare
  2. Dacă s-a implementat un proxy AD FS, trebuie să instalați certificatul pe site-ul implicit proxy AD FS utilizând certificat exportul și importul funcțiilor. Pentru mai multe informaţii, consultaţi următorul articol din baza de cunoștințe Microsoft:
    179380 Cum se elimină, import și export certificate digitale
    Important Asigurați-vă că cheia privată este inclus în exportul sau importul proces. AD FS Proxy sau serverele, de asemenea, trebuie să aveți o copie a cheii private instalat.
  3. Asigurați-vă că setările de dată și oră pe computer client sau pe toate serverele AD FS sunt corecte. Mesajul de avertizare va fi afișat în eroare dacă setările de dată de sistem de operare sunt incorecte, și se va indica incorect o valoare care se află în afara Valex din și Valex la interval.

Metoda 2:Probleme legate de nepotrivire nume de sign-in serviciului

nume de sign-in de serviciu AD FS este setat atunci când executați Expert de configurare AD FS și se bazează pe certificatul care este legat de site web implicit. Pentru a rezolva probleme de nepotrivire de serviciu nume, urmați acești pași:
  1. Dacă nume de sign-in certificatului greșită a fost utilizat pentru a genera un certificat de înlocuire, urmați acești pași:
    1. Verificați dacă nume de sign-in certificatului este incorectă.
    2. Reemiterea certificatul corect. Pentru mai multe informații despre cum să instalați și configurați un certificat SSL nou pentru AD FS, consultaţi următorul articol din baza de cunoștințe Microsoft:
      2921805 Cum se modifică AD FS 2.0 service communications certificat după expirare
  2. Dacă AD FS modelul OSI endpoint sau smart link-uri sunt extinse la nivel pentru o experiență de conectare personalizate, asigurați-vă că nume de sign-in serverului care este utilizat coincide cu certificatul care este atribuită serviciul AD FS. Pentru mai multe informații despre modelul OSI și smart link-uri de autentificare, mergeți la următorul site Web Microsoft:

  3. În cazuri rare, această condiție poate fi cauzată, de asemenea, incorect încercarea de a modifica nume de sign-in de serviciu AD FS după implementarea. Pentru mai multe informații despre cum se modifică manual punct final serviciu nume de sign-in AD FS, mergeţi la următorul site Web Microsoft:


    Avertisment Aceste tipuri de modificări va provoca o defecțiune AD FS. După actualizarea, trebuie să urmați acești pași pentru a restabili single sign-on (unic SSO) funcționalitate:
    1. Executați cmdletul Update MSOLFederatedDomain pe toate federativ spațiilor de nume.
    2. Executați din nou Expertul de instalare de configurare pentru fermă de servere proxy AD FS în mediul.

Metoda 3:Probleme de autorizare lanț de certificare emitentă


Se poate rezolva probleme de încredere de autoritate (CA) certificare emitentă efectuând una dintre următoarele activități:Avertisment Nu recomandăm AD FS utilizați CA un intern atunci când aceasta este extinse la nivel de SSO cu Office 365. Centru acoperire de date Office 365 utilizând un lanț de certificate care nu are încredere va determina conectivitatea Microsoft Outlook la Microsoft Exchange Online să nu reușească atunci când Outlook se utilizează cu SSO caracteristici.
MAI MULTE INFORMAȚII
Încă mai aveți nevoie de ajutor? Accesați Comunitatea Office 365 site-ul sau Forumuri Azure Active Directory .

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 2523494 - Ultima examinare: 12/15/2014 19:20:00 - Revizie: 27.0

Microsoft Azure cloud services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtro
Feedback