登录到 Microsoft 365、Azure 或 Intune

  • 项目
  • 适用于:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

问题

尝试使用联合帐户登录到 Microsoft 365、Microsoft Azure 或 Microsoft Intune 等 Microsoft 云服务时,会在浏览器中收到来自 AD FS Web 服务的证书警告。

原因

在证书测试期间遇到验证错误时,会出现此问题。

证书必须通过以下标准测试,然后才能使用证书来帮助保护 SSL () 或传输层安全性 (TLS) 会话的安全套接字层:

  • 证书在时间上无效。 如果服务器或客户端上的日期早于证书的有效 日期 或颁发日期,或者服务器或客户端上的日期晚于证书的 有效期 或到期日期,则连接请求会发出基于此状态的警告。 若要确保证书通过此测试,检查证书在激活之前是否实际过期或已应用。 然后,执行以下操作之一:

    • 如果证书实际上已过期或在证书处于活动状态之前已应用,则必须生成具有适当传递日期的新证书,以帮助保护 AD FS 流量的通信。
    • 如果证书未过期或未在激活之前应用,请验证客户端和服务器计算机上的时间,然后根据需要更新它们。

  • 服务名称不匹配。 如果用于建立连接的 URL 与证书可能用于的有效名称不匹配,则连接请求会发出基于此状态的警告。 若要确保证书通过此测试,请执行以下步骤:

    1. 检查用于建立连接的浏览器地址栏中的 URL。

      注意

      关注服务器地址 (例如,sts.contoso.com) 而不是尾随 HTTP 语法 (例如 /?request=...) 。

    2. 重现错误后,请执行以下步骤:

      1. 单击“查看证书”,然后单击“详细信息”选项卡。将步骤 A 中的 URL 与证书的“属性”对话框中的“使用者”字段和“使用者可选名称”字段进行比较。

        屏幕截图显示了“地址不匹配”页上的错误。

      2. 验证步骤 A 中使用的地址是否未列出或与这两个字段中的任何条目都不匹配。 如果是这种情况,则必须重新颁发证书,以包含步骤 A 中使用的服务器地址。

  • 证书不是由受信任的根证书颁发机构颁发 (CA) 。 如果请求连接的客户端计算机不信任生成证书的 CA 链,则连接请求将发出基于此状态的警告。 若要确保证书通过此测试,请执行以下步骤:

    1. 重新生成证书警告,然后单击“ 查看证书 ”以检查证书。 在“ 认证路径 ”选项卡上,请注意顶部显示的根备注条目。
    2. 单击 “开始”,单击“ 运行”,键入 MMC,然后单击“ 确定”。
    3. 依次单击“ 文件”、“ 添加/删除管理单元”、“ 证书”、“ 添加”、“ 计算机帐户”、“ 下一步”、“ 完成”和“ 确定”。
    4. 在 MMC 管理单元中,找到 “控制台根”,展开“ 证书”,再展开“ 受信任的根证书颁发机构”,单击“ 证书”,然后验证步骤 A 中记下根注释项的证书是否存在。

解决方案

若要解决此问题,请使用以下方法之一,具体取决于警告消息。

方法 1:时间有效问题

若要解决时间有效问题,请执行以下步骤。

  1. 使用适当的有效期重新颁发证书。 有关如何为 AD FS 安装和设置新的 SSL 证书的详细信息,请参阅 如何在 AD FS 2.0 服务通信证书过期后更改证书

  2. 如果部署了 AD FS 代理,则还必须使用证书导出和导入函数在 AD FS 代理的默认网站上安装证书。 有关详细信息,请参阅 如何删除、导入和导出数字证书

    重要

    请确保私钥包含在导出或导入过程中。 AD FS 代理服务器或服务器还必须安装私钥的副本。

  3. 请确保客户端计算机或所有 AD FS 服务器上的日期和时间设置正确。 如果操作系统日期设置不正确,则警告将显示为错误,并且错误地指示超出“有效范围”和“有效范围”的值。

方法 2:服务名称不匹配问题

AD FS 服务名称是在运行 AD FS 配置向导时设置的,它基于绑定到默认网站的证书。 若要解决服务名称不匹配问题,请执行以下步骤:

  1. 如果使用了错误的证书名称来生成替换证书,请执行以下步骤:

    1. 验证证书名称是否不正确。
    2. 重新颁发正确的证书。 有关如何为 AD FS 安装和设置新的 SSL 证书的详细信息,请参阅 如何在 AD FS 2.0 服务通信证书过期后更改证书

  2. 如果将 AD FS idP 终结点或智能链接用于自定义登录体验,请确保所使用的服务器名称与分配给 AD FS 服务的证书相匹配。

  3. 在极少数情况下,也可能是由于在实现后错误地尝试更改 AD FS 服务名称而导致的。

    重要

    这些类型的更改将导致 AD FS 服务中断。 更新后,必须按照以下步骤还原单一登录 (SSO) 功能:

    1. 在所有联合命名空间上运行 Update-MSOLFederatedDomain cmdlet。
    2. 为环境中的任何 AD FS 代理服务器重新运行安装配置向导。

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用更新。 在此日期之后,对这些模块的支持仅限于 Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。 弃用的模块将继续运行到 2025 年 3 月 30 日。

建议迁移到 Microsoft Graph PowerShell,以便与以前为 Azure AD) Microsoft Entra ID (交互。 有关常见的迁移问题,请参阅 迁移常见问题解答注意: MSOnline 1.0.x 版可能会在 2024 年 6 月 30 日之后遇到中断。

方法 3:颁发认证链信任问题

可以通过执行以下任务之一解决颁发证书颁发机构 (CA) 信任问题:

  • 获取并使用来自参与 Microsoft 根证书计划的源的证书。
  • 请求证书颁发者在 Microsoft 根证书计划中注册。 有关 Windows 中根证书计划和根证书操作的详细信息,请参阅 Microsoft 根证书计划

警告

当 AD FS 用于 Microsoft 365 的 SSO 时,建议不要使用内部 CA。 使用不受 Microsoft 365 数据中心信任的证书链将导致当 Outlook 与 SSO 功能一起使用时,Microsoft Outlook 连接Microsoft Exchange Online失败。

更多信息

仍然需要帮助? 转到 Microsoft 社区Microsoft Entra论坛网站。