Вы получаете предупреждение о сертификате от AD FS при входе в Microsoft 365, Azure или Intune

  • Статья
  • Применяется к:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Проблема

При попытке войти в облачную службу Майкрософт, например Microsoft 365, Microsoft Azure или Microsoft Intune с помощью федеративной учетной записи, вы получаете предупреждение о сертификате от веб-службы AD FS в браузере.

Причина

Эта проблема возникает при обнаружении ошибки проверки во время теста сертификата.

Прежде чем сертификат можно будет использовать для защиты сеанса SSL или tls, сертификат должен пройти следующие стандартные тесты:

  • Сертификат не является допустимым по времени. Если дата на сервере или клиенте выше допустимой даты или даты выдачи сертификата или если дата на сервере или клиенте позже допустимой даты или даты окончания срока действия сертификата, запрос на подключение выдает предупреждение, основанное на этом состоянии. Чтобы убедиться, что сертификат прошел этот тест, проверка, действительно ли истек срок действия сертификата или он был применен до того, как он стал активным. Затем выполните одно из следующих действий:

    • Если срок действия сертификата истек или был применен до того, как он стал активным, необходимо создать новый сертификат с соответствующими датами доставки, чтобы обеспечить безопасность обмена данными для трафика AD FS.
    • Если срок действия сертификата не истек или он не был применен до того, как он стал активным, проверьте время на клиентском и серверном компьютерах, а затем обновите их по мере необходимости.

  • Несоответствие имени службы. Если URL-адрес, используемый для подключения, не соответствует допустимым именам, для которых может использоваться сертификат, запрос на подключение выдает предупреждение, основанное на этом состоянии. Чтобы убедиться, что сертификат прошел этот тест, выполните следующие действия:

    1. Проверьте URL-адрес в адресной строке браузера, который используется для установки подключения.

      Примечание.

      Сосредоточьтесь на адресе сервера (например, sts.contoso.com), а не на синтаксисе HTTP с конечным номером (например, /?request=...).

    2. После воспроизведения ошибки выполните следующие действия.

      1. Щелкните Просмотр сертификатов и перейдите на вкладку Сведения . Сравните URL-адрес из шага A с полем Subject и с полями Альтернативное имя субъекта в диалоговом окне Свойства сертификата.

        Снимок экрана: ошибка на странице

      2. Убедитесь, что адрес, используемый на шаге А, отсутствует в списке или не соответствует ни одной записи в этих полях. В этом случае сертификат необходимо переиздать, чтобы включить адрес сервера, который использовался на шаге A.

  • Сертификат не был выдан доверенным корневым центром сертификации (ЦС). Если клиентский компьютер, запрашивающий подключение, не доверяет цепочке ЦС, создающей сертификат, запрос на подключение выдаст предупреждение, основанное на этом состоянии. Чтобы убедиться, что сертификат прошел этот тест, выполните следующие действия:

    1. Повторно создайте предупреждение о сертификате и нажмите кнопку Просмотреть сертификат , чтобы проверить сертификат. На вкладке Путь сертификации обратите внимание на корневую запись заметки, которая отображается вверху.
    2. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите MMC и нажмите кнопку ОК.
    3. Выберите Файл, Добавить или удалить оснастку, Сертификаты, Добавить, Учетная запись компьютера, Далее, Готово, а затем нажмите кнопку ОК.
    4. В оснастке MMC найдите Корневой каталог консоли, разверните узлы Сертификаты, Доверенные корневые центры сертификации, щелкните Сертификаты, а затем убедитесь, что сертификат для записи корневой заметки, указанной на шаге A, не существует.

Решение

Чтобы устранить эту проблему, используйте один из следующих методов в зависимости от предупреждающего сообщения.

Метод 1. Допустимые по времени проблемы

Чтобы устранить допустимые по времени проблемы, выполните следующие действия.

  1. Повторно введите сертификат с соответствующей датой действия. Дополнительные сведения об установке и настройке нового SSL-сертификата для AD FS см. в статье Изменение сертификата связи службы AD FS 2.0 по истечении его срока действия.

  2. Если был развернут прокси-сервер AD FS, необходимо также установить сертификат на веб-сайте прокси-сервера AD FS по умолчанию с помощью функций экспорта и импорта сертификатов. Дополнительные сведения см. в статье Удаление, импорт и экспорт цифровых сертификатов.

    Важно!

    Убедитесь, что закрытый ключ включен в процесс экспорта или импорта. На прокси-сервере или серверах AD FS также должна быть установлена копия закрытого ключа.

  3. Убедитесь, что параметры даты и времени на клиентском компьютере или на всех серверах AD FS заданы правильно. Предупреждение будет отображаться по ошибке, если параметры даты операционной системы неверны, и оно будет неправильно указывать значение, которое находится за пределами допустимого и допустимого.

Метод 2. Проблемы с несоответствием имени службы

Имя службы AD FS задается при запуске мастера настройки AD FS и основано на сертификате, привязанном к веб-сайту по умолчанию. Чтобы устранить проблемы с несоответствием имен служб, выполните следующие действия.

  1. Если для создания сертификата замены использовалось неправильное имя сертификата, выполните следующие действия.

    1. Убедитесь, что имя сертификата неверно.
    2. Повторно введите правильный сертификат. Дополнительные сведения об установке и настройке нового SSL-сертификата для AD FS см. в статье Изменение сертификата связи службы AD FS 2.0 по истечении его срока действия.

  2. Если для настраиваемого входа используются конечная точка поставщика удостоверений AD FS или интеллектуальные ссылки, убедитесь, что используемое имя сервера соответствует сертификату, назначенному службе AD FS.

  3. В редких случаях это условие также может быть вызвано неправильной попыткой изменить имя службы AD FS после реализации.

    Важно!

    Такие изменения приводят к сбою службы AD FS. После обновления необходимо выполнить следующие действия, чтобы восстановить функции единого входа.

    1. Выполните командлет Update-MSOLFederatedDomain во всех федеративных пространствах имен.
    2. Повторно запустите мастер настройки конфигурации для всех прокси-серверов AD FS в среде.

Примечание.

модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

Метод 3. Проблемы с доверием в цепочке сертификации

Проблемы с доверием центра сертификации (ЦС) можно устранить, выполнив одну из следующих задач:

  • Получите и используйте сертификат из источника, который участвует в программе корневых сертификатов Майкрософт.
  • Запросите регистрацию издателя сертификата в программе корневых сертификатов Майкрософт. Дополнительные сведения о программе корневых сертификатов и работе корневых сертификатов в Windows см. в статье Программа корневых сертификатов Майкрософт.

Предупреждение

Мы не рекомендуем AD FS использовать внутренний ЦС, если он используется для единого входа в Microsoft 365. Использование цепочки сертификатов, которая не является доверенным центром обработки данных Microsoft 365, приведет к сбою подключения к Microsoft Outlook Microsoft Exchange Online, если Outlook используется с функциями единого входа.

Дополнительная информация

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или на веб-сайт форумов Microsoft Entra.