通过

登录到 Microsoft 365、Azure 或 Intune 时,会收到 AD FS 的证书警告

  • 适用于: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

问题

尝试使用联合帐户登录到 Microsoft 云服务(例如 Microsoft 365、Microsoft Azure 或 Microsoft Intune)时,会在浏览器中收到 AD FS Web 服务的证书警告。

原因

在证书测试期间遇到验证错误时,会出现此问题。

在证书可用于帮助保护安全套接字层(SSL)或传输层安全性(TLS)会话之前,证书必须通过以下标准测试:

  • 证书的时间无效。 如果服务器或客户端上的日期早于 有效 日期或证书的颁发日期,或者服务器或客户端上的日期晚于 有效 日期或证书的到期日期,则连接请求会发出基于此状态的警告。 若要确保证书通过此测试,请检查证书是否实际过期,或在证书处于活动状态之前应用。 然后,执行以下作之一:

    • 如果证书在激活之前实际过期或已应用,则必须生成具有适当传递日期的新证书,以帮助保护 AD FS 流量的通信。
    • 如果证书在激活之前未过期或未应用,请验证客户端和服务器计算机上的时间,然后根据需要更新它们。

  • 服务名称不匹配。 如果用于建立连接的 URL 与可以使用证书的有效名称不匹配,则连接请求会发出基于此状态的警告。 若要确保证书通过此测试,请执行以下步骤:

    1. 检查用于建立连接的浏览器地址栏中的 URL。

      注释

      专注于服务器地址(例如,sts.contoso.com),而不是尾随 HTTP 语法(例如 /?request=...)。

    2. 重现错误后,请执行以下步骤:

      1. 单击“查看证书”,然后单击“详细信息”选项卡。将步骤 A 中的 URL 与“使用者”字段和证书的“属性”对话框中的“使用者可选名称”字段进行比较。

        屏幕截图显示“地址不匹配”页上的错误。

      2. 验证步骤 A 中使用的地址未列出或与这些字段中的任何条目不匹配,或者两者均未列出。 如果是这种情况,则必须重新颁发证书,以包含步骤 A 中使用的服务器地址。

  • 证书不是由受信任的根证书颁发机构 (CA) 颁发的。 如果请求连接的客户端计算机不信任生成证书的 CA 链,则连接请求将发出基于此状态的警告。 若要确保证书通过此测试,请执行以下步骤:

    1. 重新生成证书警告,然后单击“ 查看证书 ”检查证书。 在“ 认证路径 ”选项卡上,请注意顶部显示的根注释条目。
    2. 单击“ 开始”,单击“ 运行”,键入 MMC,然后单击“ 确定”。
    3. 依次单击“ 文件”、“ 添加/删除管理单元”、“ 证书”、“ 添加”、“ 计算机帐户”、“ 下一步”、“ 完成”,然后单击“ 确定”。
    4. 在 MMC 管理单元中,找到 Console Root,展开 证书,展开 受信任的根证书颁发机构,单击 证书,然后验证步骤 A 中记下的根条目证书是否不存在。

解决方案

若要解决此问题,请使用以下方法之一,具体取决于警告消息。

方法 1:时间有效问题

为了解决与时间有效性有关的问题,请执行以下步骤。

  1. 重新颁发具有适当有效期的证书。 有关如何安装和设置 AD FS 的新 SSL 证书的详细信息,请参阅 如何在 AD FS 2.0 服务通信证书过期后更改 AD FS 2.0 服务通信证书

  2. 如果部署了 AD FS 代理,则还必须使用证书导出和导入函数在 AD FS 代理的默认网站上安装证书。 有关详细信息,请参阅 如何删除、导入和导出数字证书

    重要

    确保私钥包含在导出或导入过程中。 AD FS 代理服务器或服务器还必须安装私钥的副本。

  3. 请确保客户端计算机或所有 AD FS 服务器上的日期和时间设置正确。 如果操作系统日期设置不正确,警告会错误地显示,并错误地指示一个超出“有效期开始”和“有效期结束”范围的值。

方法 2:服务名称不匹配问题

运行 AD FS 配置向导时,AD FS 服务名称会被设置,并且这个设置是基于绑定到默认网站的证书。 若要解决服务名称不匹配问题,请执行以下步骤:

  1. 如果使用错误的证书名称生成替换证书,请执行以下步骤:

    1. 验证证书名称是否不正确。
    2. 重新颁发正确的证书。 有关如何安装和设置 AD FS 的新 SSL 证书的详细信息,请参阅 如何在 AD FS 2.0 服务通信证书过期后更改 AD FS 2.0 服务通信证书

  2. 如果将 AD FS idP 终结点或智能链接用于自定义登录体验,请确保使用的服务器名称与分配给 AD FS 服务的证书匹配。

  3. 在极少数情况下,这种情况也可能是由实现后错误地尝试更改 AD FS 服务名称引起的。

    重要

    这些类型的更改将导致 AD FS 服务中断。 更新后,必须按照以下步骤还原单一登录(SSO)功能:

    1. 在所有联合命名空间上运行 Update-MSOLFederatedDomain cmdlet。
    2. 重新运行环境中任何 AD FS 代理服务器的设置配置向导。

注释

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用通知。 在此日期之后,对这些模块的支持仅限于协助迁移至 Microsoft Graph PowerShell SDK 和安全修复。 弃用的模块将持续运行至 2025 年 3 月 30 日。

我们建议迁移到 Microsoft Graph PowerShell,以便与 Microsoft Entra ID(以前称为 Azure AD)进行交互。 有关常见迁移问题,请参阅迁移常见问题解答注意:2024 年 6 月 30 日之后,MSOnline 版本 1.0.x 可能会遇到中断。

方法 3:颁发认证链信任问题

可以通过执行以下任务之一来解决证书颁发机构(CA)信任问题:

  • 从参与Microsoft根证书计划的源获取和使用证书。
  • 请求证书颁发者在Microsoft根证书计划中注册。 有关根证书计划和 Windows 中根证书操作的详细信息,请参阅 Microsoft 根证书计划

警告

在将 AD FS 用于 SSO Microsoft 365 时,不建议使用内部 CA。 使用 Microsoft 365 数据中心不信任的证书链将导致 Microsoft Outlook 在使用 SSO 功能时连接到 Microsoft Exchange Online 失败。

详细信息

还需要帮助吗? 转到 Microsoft社区Microsoft entra 论坛 网站。