Compartilhar via

Você recebe um aviso de certificado do AD FS ao entrar no Microsoft 365, Azure ou Intune

  • Aplica-se a: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Ao tentar entrar em um serviço de nuvem da Microsoft, como o Microsoft 365, o Microsoft Azure ou o Microsoft Intune usando uma conta federada, você recebe um aviso de certificado do serviço Web do AD FS em seu navegador.

Motivo

Esse problema ocorre quando um erro de validação é encontrado durante um teste de certificado.

Antes que um certificado possa ser usado para ajudar a proteger uma sessão SSL (Secure Sockets Layer) ou TLS (Transport Layer Security), o certificado deve passar nos seguintes testes padrão:

  • O certificado não é válido no momento. Se a data no servidor ou cliente for anterior à data válida ou da data de emissão do certificado ou se a data no servidor ou cliente for posterior à data válida ou à data de validade do certificado, a solicitação de conexão emitirá um aviso com base nesse estado. Para garantir que o certificado seja aprovado neste teste, verifique se o certificado realmente expirou ou foi aplicado antes de se tornar ativo. Em seguida, execute uma das seguintes ações:

    • Se o certificado realmente expirou ou foi aplicado antes de se tornar ativo, um novo certificado deve ser gerado que tenha as datas de entrega apropriadas para ajudar a proteger a comunicação para o tráfego do AD FS.
    • Se o certificado não expirou ou não foi aplicado antes de ficar ativo, verifique a hora nos computadores cliente e servidor e atualize-o conforme necessário.

  • Incompatibilidade de nome de serviço. Se a URL usada para fazer a conexão não corresponder aos nomes válidos para os quais o certificado pode ser usado, a solicitação de conexão emitirá um aviso baseado nesse estado. Para garantir que o certificado seja aprovado neste teste, siga estas etapas:

    1. Examine a URL na barra de endereços do navegador usada para estabelecer a conexão.

      Observação

      Concentre-se no endereço do servidor (por exemplo, sts.contoso.com) e não na sintaxe adicional do HTTP no final (por exemplo, /?request=...).

    2. Depois de reproduzir o erro, siga estas etapas:

      1. Clique em Exibir Certificados e clique na guia Detalhes . Compare a URL da etapa A com o campo Assunto e com os campos Nome Alternativo da Entidade na caixa de diálogo Propriedades do certificado.

        A captura de tela mostra o erro na página Endereço Incompatível.

      2. Verifique se o endereço usado na etapa A não está listado ou não corresponde a nenhuma entrada nesses campos ou ambos. Se esse for o caso, o certificado deverá ser relançado para incluir o endereço do servidor que foi usado na etapa A.

  • O certificado não foi emitido por uma AC (autoridade de certificação raiz) confiável. Se o computador cliente que está solicitando a conexão não confiar na cadeia de Autoridade Certificadora que gerou o certificado, a solicitação de conexão emitirá um aviso baseado nesse estado. Para garantir que o certificado seja aprovado neste teste, siga estas etapas:

    1. Regenere o aviso de certificado e clique em Exibir Certificado para examinar o certificado. Na guia Caminho da Certificação , observe a entrada de anotação raiz exibida na parte superior.
    2. Clique em Iniciar, clique em Executar, digite MMC e clique em OK.
    3. Clique em Arquivo, clique em Adicionar/remover Snap-in, clique em Certificados, clique em Adicionar, selecione Conta de Computador, clique em Avançar, clique em Concluir e clique em OK.
    4. No snap-in do MMC, localize a Raiz do Console, expanda Certificados, expanda Autoridades de Certificação Raiz Confiáveis, clique em Certificados e verifique se um certificado para a entrada de anotação raiz que você anotou na etapa A não existe.

Solução

Para resolver esse problema, use um dos métodos a seguir, dependendo da mensagem de aviso.

Método 1: problemas válidos por tempo

Para resolver problemas relacionados à validade temporal, siga estas etapas.

  1. Reemissue o certificado com uma data de validade apropriada. Para obter mais informações sobre como instalar e configurar um novo certificado SSL para o AD FS, consulte Como alterar o certificado de comunicação de serviço do AD FS 2.0 depois que ele expirar.

  2. Se um proxy do AD FS tiver sido implantado, você também precisará instalar o certificado no site padrão do proxy do AD FS usando as funções de exportação e importação de certificado. Para obter mais informações, consulte Como remover, importar e exportar certificados digitais.

    Importante

    Verifique se a chave privada está incluída no processo de exportação ou importação. O servidor proxy do AD FS ou os servidores também devem ter uma cópia da chave privada instalada.

  3. Verifique se as configurações de data e hora no computador cliente ou em todos os servidores do AD FS estão corretas. O aviso será exibido erroneamente se as configurações de data do sistema operacional estiverem incorretas, e indicará incorretamente um valor que está fora do intervalo de tempo de 'Válido de' a 'Válido até'.

Método 2: Problemas de incompatibilidade de nome de serviço

O nome do serviço do AD FS é definido quando você executa o Assistente de Configuração do AD FS e é baseado no certificado associado ao site padrão. Para resolver problemas de incompatibilidade de nome de serviço, siga estas etapas:

  1. Se o nome do certificado incorreto foi usado para gerar um certificado de substituição, siga estas etapas:

    1. Verifique se o nome do certificado está incorreto.
    2. Reemita o certificado correto. Para obter mais informações sobre como instalar e configurar um novo certificado SSL para o AD FS, consulte Como alterar o certificado de comunicação de serviço do AD FS 2.0 depois que ele expirar.

  2. Se o ponto de extremidade idP do AD FS ou os links inteligentes forem aproveitados para uma experiência de entrada personalizada, verifique se o nome do servidor usado corresponde ao certificado atribuído ao serviço do AD FS.

  3. Em casos raros, essa condição também pode ser causada pela tentativa incorreta de alterar o nome do serviço do AD FS após a implementação.

    Importante

    Esses tipos de alterações causarão uma interrupção de serviço do AD FS. Após a atualização, você deve seguir estas etapas para restaurar a funcionalidade de SSO (logon único):

    1. Execute o cmdlet Update-MSOLFederatedDomain em todos os namespaces federados.
    2. Execute novamente o assistente de configuração de configuração para todos os servidores proxy do AD FS no ambiente.

Observação

Os módulos do Azure AD e do MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre a reprovação. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até março de 30 de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: As versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

Método 3: Resolução de problemas de confiança na cadeia de certificação

Você pode resolver problemas de confiança da autoridade certificadora emissora (AC) executando uma das seguintes tarefas:

  • Obtenha e use um certificado de uma fonte que participa do Programa de Certificado Raiz da Microsoft.
  • Solicite que o emissor do certificado se registre no Programa de Certificado Raiz da Microsoft. Para obter mais informações sobre o Programa de Certificado Raiz e a operação de certificados raiz no Windows, consulte o Programa de Certificado Raiz da Microsoft.

Aviso

Não recomendamos que o AD FS use uma Autoridade Certificadora (AC) interna quando utilizado para SSO com o Microsoft 365. O uso de uma cadeia de certificados que não é confiável pelo data center do Microsoft 365 fará com que a conectividade do Microsoft Outlook com o Microsoft Exchange Online falhe quando o Outlook é usado com recursos de SSO.

Mais informações

Ainda precisa de ajuda? Acesse Microsoft Community ou o site Microsoft Entra Forums.