Freigeben über

Sie erhalten eine Zertifikatwarnung von AD FS, wenn Sie sich bei Microsoft 365, Azure oder Intune anmelden.

  • Gilt für:: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Das Problem

Wenn Sie versuchen, sich bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune mit einem Verbundkonto anzumelden, erhalten Sie eine Zertifikatwarnung vom AD FS-Webdienst in Ihrem Browser.

Ursache

Dieses Problem tritt auf, wenn während eines Zertifikattests ein Überprüfungsfehler auftritt.

Bevor ein Zertifikat verwendet werden kann, um eine SSL-Sitzung (Secure Sockets Layer) oder TLS (Transport Layer Security) zu sichern, muss das Zertifikat die folgenden Standardtests bestehen:

  • Das Zertifikat ist zeitlich ungültig. Wenn das Datum auf dem Server oder Client vor dem Datum " Gültig" oder dem Ausgabedatum des Zertifikats liegt oder das Datum auf dem Server oder Client später als das Datum " Gültig " oder das Ablaufdatum des Zertifikats liegt, gibt die Verbindungsanforderung eine Warnung aus, die auf diesem Zustand basiert. Um sicherzustellen, dass das Zertifikat diesen Test bestanden hat, überprüfen Sie, ob das Zertifikat tatsächlich abgelaufen oder angewendet wurde, bevor es aktiv wurde. Führen Sie dann eine der folgenden Aktionen aus:

    • Wenn das Zertifikat tatsächlich abgelaufen oder angewendet wurde, bevor es aktiv wurde, muss ein neues Zertifikat generiert werden, das über die entsprechenden Lieferdaten verfügt, um die Kommunikation für AD FS-Datenverkehr zu sichern.
    • Wenn das Zertifikat nicht abgelaufen ist oder noch nicht angewendet wurde, bevor es aktiv wurde, überprüfen Sie die Zeit auf den Clientcomputern und Servercomputern, und aktualisieren Sie es dann nach Bedarf.

  • Dienstnamen-Stimmigkeitsfehler. Wenn die URL, die für die Verbindung verwendet wird, nicht mit den gültigen Namen übereinstimmt, für die das Zertifikat verwendet werden kann, gibt die Verbindungsanforderung eine Warnung aus, die auf diesem Zustand basiert. Führen Sie die folgenden Schritte aus, um sicherzustellen, dass das Zertifikat diesen Test bestanden hat:

    1. Überprüfen Sie die URL in der Adressleiste des Browsers, der zum Herstellen der Verbindung verwendet wird.

      Hinweis

      Konzentrieren Sie sich auf die Serveradresse (z. B. sts.contoso.com) und nicht auf die nachfolgende HTTP-Syntax (z. B. /?request=...).

    2. Führen Sie nach dem Reproduzieren des Fehlers die folgenden Schritte aus:

      1. Klicken Sie auf " Zertifikate anzeigen" und dann auf die Registerkarte " Details ". Vergleichen Sie die URL aus Schritt A mit dem Feld " Betreff " und den Feldern " Alternativer Antragstellername " im Dialogfeld "Eigenschaften " des Zertifikats.

        Screenshot zeigt den Fehler auf der Seite

      2. Stellen Sie sicher, dass die adresse, die in Schritt A verwendet wird, nicht aufgeführt ist oder nicht mit Einträgen in diesen Feldern übereinstimmt. Wenn dies der Fall ist, muss das Zertifikat erneut ausgegeben werden, um die Serveradresse einzuschließen, die in Schritt A verwendet wurde.

  • Das Zertifikat wurde nicht von einer vertrauenswürdigen Stammzertifizierungsstelle (CA) ausgestellt. Wenn der Clientcomputer, der die Verbindung anfordert, der Zertifizierungsstellenkette, die das Zertifikat generiert hat, nicht vertraut, gibt die Verbindungsanforderung eine Warnung aus, die auf diesem Zustand basiert. Führen Sie die folgenden Schritte aus, um sicherzustellen, dass das Zertifikat diesen Test bestanden hat:

    1. Generieren Sie die Zertifikatwarnung erneut, und klicken Sie dann auf "Zertifikat anzeigen ", um das Zertifikat zu untersuchen. Beachten Sie auf der Registerkarte "Zertifizierungspfad " den Eintrag der Stammnotiz, der oben angezeigt wird.
    2. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "MMC" ein, und klicken Sie dann auf "OK".
    3. Klicken Sie auf "Datei", klicken Sie auf "Snap-In hinzufügen/entfernen", klicken Sie auf "Zertifikate", klicken Sie auf "Hinzufügen", wählen Sie " Computerkonto" aus, klicken Sie auf "Weiter", dann auf " Fertig stellen" und dann auf "OK".
    4. Suchen Sie im MMC-Snap-In nach Konsolenstamm, erweitern Sie Zertifikate, erweitern Sie vertrauenswürdige Stammzertifizierungsstellen, klicken Sie auf Zertifikate, und überprüfen Sie dann, ob ein Zertifikat für den Stammnotizeintrag, den Sie in Schritt A angegeben haben, nicht vorhanden ist.

Lösung

Um dieses Problem zu beheben, verwenden Sie je nach Warnmeldung eine der folgenden Methoden.

Methode 1: Zeitlich relevante Fragestellungen

Führen Sie die folgenden Schritte aus, um zeitlich gültige Probleme zu beheben.

  1. Führen Sie das Zertifikat mit einem geeigneten Gültigkeitsdatum erneut aus. Weitere Informationen zum Installieren und Einrichten eines neuen SSL-Zertifikats für AD FS finden Sie unter Wie Sie das AD FS 2.0-Dienstkommunikationszertifikat nach dem Ablauf ändern.

  2. Wenn ein AD FS-Proxy bereitgestellt wurde, müssen Sie das Zertifikat auch auf der Standardwebsite des AD FS-Proxys mithilfe der Zertifikatexport- und Importfunktionen installieren. Weitere Informationen finden Sie unter Entfernen, Importieren und Exportieren digitaler Zertifikate.

    Von Bedeutung

    Stellen Sie sicher, dass der private Schlüssel im Export- oder Importvorgang enthalten ist. Der AD FS-Proxyserver oder -server muss auch eine Kopie des privaten Schlüssels installiert haben.

  3. Stellen Sie sicher, dass die Datums- und Uhrzeiteinstellungen auf dem Clientcomputer oder auf allen AD FS-Servern korrekt sind. Die Warnung wird fälschlicherweise angezeigt, wenn die Datumseinstellungen des Betriebssystems falsch sind, und sie gibt einen Wert an, der sich außerhalb des gültigen Von- und Bis-Bereichs befindet.

Methode 2: Probleme mit Diskrepanzen bei Dienstnamen

Der AD FS-Dienstname wird festgelegt, wenn Sie den AD FS-Konfigurations-Assistenten ausführen und auf dem Zertifikat basieren, das an die Standardwebsite gebunden ist. Führen Sie die folgenden Schritte aus, um Probleme mit nicht übereinstimmenden Dienstnamen zu beheben:

  1. Wenn der falsche Zertifikatname zum Generieren eines Ersatzzertifikats verwendet wurde, führen Sie die folgenden Schritte aus:

    1. Stellen Sie sicher, dass der Zertifikatname falsch ist.
    2. Führen Sie das richtige Zertifikat erneut aus. Weitere Informationen zum Installieren und Einrichten eines neuen SSL-Zertifikats für AD FS finden Sie unter Wie Sie das AD FS 2.0-Dienstkommunikationszertifikat nach dem Ablauf ändern.

  2. Wenn der AD FS-IDP-Endpunkt oder smarte Links für eine angepasste Anmeldeumgebung verwendet werden, stellen Sie sicher, dass der verwendete Servername mit dem Zertifikat übereinstimmt, das dem AD FS-Dienst zugewiesen ist.

  3. In seltenen Fällen kann diese Bedingung auch dadurch verursacht werden, dass nach der Implementierung versucht wird, den AD FS-Dienstnamen falsch zu ändern.

    Von Bedeutung

    Diese Arten von Änderungen verursachen einen AD FS-Dienstausfall. Nach dem Update müssen Sie die folgenden Schritte ausführen, um die SSO-Funktionalität (Single Sign-On) wiederherzustellen:

    1. Führen Sie das Cmdlet Update-MSOLFederatedDomain für alle Verbundnamespaces aus.
    2. Erneut den Konfigurationsassistenten für alle AD FS-Proxyserver in der Umgebung ausführen.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Einstellung. Nach diesem Datum sind die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell SDK und Sicherheitsupdates beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (vormals Azure AD) zu interagieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Anmerkung: Versionen 1.0.x von MSOnline könnten nach dem 30. Juni 2024 von Unterbrechungen betroffen sein.

Methode 3: Ausstellen von Vertrauensproblemen in der Zertifizierungskette

Sie können Vertrauenswürdigkeitsprobleme der ausstellenden Zertifizierungsstelle beheben, indem Sie eine der folgenden Aufgaben ausführen:

  • Abrufen und Verwenden eines Zertifikats aus einer Quelle, die am Microsoft-Stammzertifikatprogramm teilnimmt.
  • Fordern Sie an, dass sich der Zertifikatheraussteller für das Microsoft-Stammzertifikatprogramm registriert. Weitere Informationen zum Stammzertifikatsprogramm und zum Betrieb von Stammzertifikaten in Windows finden Sie im Microsoft-Stammzertifikatprogramm.

Warnung

Man empfiehlt es nicht, dass AD FS eine interne Zertifizierungsstelle verwendet, wenn es für SSO mit Microsoft 365 genutzt wird. Die Verwendung einer Vom Microsoft 365-Rechenzentrum nicht vertrauenswürdigen Zertifikatkette führt dazu, dass microsoft Outlook-Konnektivität mit Microsoft Exchange Online fehlschlägt, wenn Outlook mit SSO-Features verwendet wird.

Mehr Informationen

Brauchst du noch Hilfe? Wechseln Sie zu Microsoft Community oder zur Microsoft Entra Forums Website.