你目前正处于脱机状态,正在等待 Internet 重新连接

你的浏览器不受支持

你需要更新你的浏览器才能使用该网站。

更新到 Internet Explorer 的最新版本

当您尝试登录到 Office 365,Azure 或 Intune 从 AD FS 接收证书警告

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 2523494
问题
当您尝试通过使用联合的帐户登录到 Microsoft Office 365、 Microsoft Azure 和 Microsoft Intune 云服务时,您收到的证书警告从 AD FS web 服务在浏览器中。
原因
当证书测试期间遇到验证错误时,将出现此问题。

证书可用于帮助保护安全套接字层 (SSL) 或传输层安全 (TLS) 会话之前,该证书必须通过下面的标准测试:
  • 证书不是有效的时间.如果服务器或客户端上的日期早于生效日期或该证书的签发日期,或者如果在服务器或客户端上的日期晚于有效终止日期或证书的到期日期,则连接请求将发出一个警告,基于此状态。若要确保该证书通过此测试,检查证书是否实际过期或被应用之前它变为活动状态。然后,执行下列操作之一:
    • 如果实际的证书过期,或者已应用之前它变为活动状态,一个新的证书必须生成具有适当的交货日期,以帮助确保 AD FS 通信的通信安全。
    • 如果证书没有过期或未被应用之前它变为活动状态,请验证客户端和服务器计算机上的时间,然后根据需要对其进行更新。
  • 服务名称不匹配.如果用来建立连接的 URL 不匹配可能用于该证书的有效名称,则连接请求将发出一个警告,基于此状态。若要确保该证书通过此测试,请执行以下步骤:
    1. 检查用于建立连接的浏览器的地址栏中的 URL。

      注意: 服务器地址 (例如,sts.contoso.com) 上,而不是在尾部的 HTTP 语法焦点 (例如,/? 请求 =...)。
    2. 重现此错误后,请按照下列步骤:
      1. 单击查看证书,然后单击详细信息选项卡,为主题字段和主题备用名称的步骤 A 中 URL 字段中的比较属性 证书的对话框。

        不匹配的地址页面的屏幕抓图
      2. 验证在步骤 A 中使用的地址没有列出,或者在这些字段中的任何项或两项不匹配。如果出现这种情况,必须重新证书颁发在步骤 3a 中包括所使用的服务器地址
  • 证书不是由受信任的根证书颁发机构 (CA 颁发).如果正在请求连接的客户端计算机不信任生成的证书的 CA 链,该连接请求将发出警告,基于此状态。若要确保该证书通过此测试,请执行以下步骤:
    1. 重新生成证书警告,然后单击查看证书 来检查证书。在证书路径 选项卡上,注意到根注释项显示在顶部。
    2. 单击开始,单击运行,键入MMC,然后单击确定
    3. 单击文件单击添加/删除管理单元证书单击添加,选择计算机帐户,单击下一步,单击完成和,然后单击确定
    4. 在 MMC 管理单元中,定位控制台根节点展开证书受信任的根证书颁发机构,单击证书,然后验证您在步骤 A 中记下的根注意项的证书不存在。
本地
若要解决此问题,请使用下列方法,具体取决于此警告消息之一。

方法 1: 时间-valid 的问题

要解决有效时间的问题,请按照下列步骤。
  1. 请重新发出该证书与适当的生效日期。有关如何安装和设置新的 SSL 证书的 AD FS 的详细信息,请参阅下面的 Microsoft 知识库文章:
    2921805 如何更改 AD FS 2.0 服务通信证书后过期
  2. 如果 AD FS 代理服务器的部署,您必须也在 AD FS 代理服务器的默认网站上安装的证书,使用证书导出和导入功能。有关详细信息,请参阅下面的 Microsoft 知识库文章:
    179380 如何删除、 导入和导出数字证书
    重要:请确保私钥包括在导出或导入过程。AD FS 代理服务器还必须有一份安装的私钥。
  3. 请确保客户端计算机上或在 AD FS 中的所有服务器上的日期和时间设置正确。如果操作系统的日期设置不正确,并且它将错误地指出V从 alidValid 到范围之外的值,将错误地显示警告。

方法 2:服务名称不匹配问题

当您运行 AD FS 配置向导和基于绑定到默认网站的证书设置 AD FS 服务名称。要解决服务名称不匹配的问题,请执行以下步骤:
  1. 如果错误的证书名称被用来生成一个替换证书,请执行以下步骤:
    1. 请验证该证书名称不正确。
    2. 请重新发出了正确的证书。有关如何安装和设置新的 SSL 证书的 AD FS 的详细信息,请参阅下面的 Microsoft 知识库文章:
      2921805 如何更改 AD FS 2.0 服务通信证书后过期
  2. 如果 AD FS idP 终结点或智能链接用于自定义登录体验中,请确保使用的服务器名称与指派给 AD FS 服务的证书相匹配。IdP 和智能链接身份验证有关的详细信息,请转到下面的 Microsoft 网站:

  3. 在极少数情况下,这种情况还可能导致错误地尝试实施后更改 AD FS 服务名称。有关如何手动更改 AD FS 端点服务名称的详细信息,请转到下面的 Microsoft 网站:


    警告这些类型的更改将导致 AD FS 服务中断。此更新之后,必须执行以下步骤以还原单点登录 (SSO) 功能:
    1. 运行更新 MSOLFederatedDomain 命令 联盟的所有命名空间。
    2. 请重新运行安装程序配置向导,以在该环境中任何 AD FS 代理服务器。

方法 3:颁发证书链信任问题


您可以通过执行下列任务之一来解决颁发证书颁发机构 (CA) 信任问题:警告我们不建议在利用它提供与 Office 365 的 SSO 时,AD FS 使用内部 CA。根据 Office 365 提供数据中心中使用不受信任的证书链将导致 Microsoft Outlook 连接到 Microsoft Exchange Online Outlook 使用具有 SSO 功能时失败。
详细信息
仍需要帮助吗?请转到 Office 365 社区 网站或 Azure 的 活动目录(AD) 论坛 网站。

Warning: This article has been translated automatically

属性

文章 ID:2523494 - 上次审阅时间:12/12/2014 03:52:00 - 修订版本: 29.0

  • Microsoft Azure cloud services
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Microsoft Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
  • o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtzh
反馈
s://c.microsoft.com/ms.js">