Anda menerima peringatan sertifikat dari AD FS saat Anda mencoba untuk masuk ke Office 365, Azure, atau Intune

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2523494 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

MASALAH

Ketika Anda mencoba untuk masuk ke layanan cloud Microsoft Office 365, Microsoft Azure atau Microsoft Intune dengan menggunakan akun gabungan, Anda menerima peringatan sertifikat dari Layanan Web AD FS di browser Anda.

PENYEBAB

Masalah ini terjadi saat validasi kesalahan selama pengujian sertifikat.

Sebelum sertifikat yang dapat digunakan untuk membantu mengamankan sesi Secure Sockets Layer (SSL) atau Transport Layer Security (TLS), sertifikat harus lulus uji standar berikut ini:
  • Sertifikat tidak sah waktu. Jika tanggal pada server atau klien lebih awal dari tanggal berlaku dari atau tanggal penerbitan sertifikat, atau jika tanggal pada server atau klien lebih tinggi dari tanggal berlaku untuk atau tanggal kedaluwarsa sertifikat, permintaan sambungan isu peringatan yang didasarkan pada keadaan ini. Untuk memastikan bahwa sertifikat lolos uji ini, periksa apakah sertifikat sebenarnya kedaluwarsa atau diterapkan sebelum menjadi aktif. Kemudian, lakukan salah satu tindakan berikut ini:
    • Jika sertifikat yang benar-benar kedaluwarsa atau diterapkan sebelum menjadi aktif, sertifikat baru harus dibuat yang memiliki tanggal pengiriman sesuai untuk membantu mengamankan komunikasi lalu lintas AD FS.
    • Jika Sertifikat tidak kedaluwarsa atau tidak diterapkan sebelum menjadi aktif, verifikasi waktu pada komputer klien dan server, dan kemudian memperbaruinya sesuai yang diperlukan.
  • Nama Layanan ketidakcocokan. Jika URL yang digunakan untuk membuat sambungan tidak cocok dengan nama yang valid yang Sertifikat dapat digunakan, permintaan sambungan isu peringatan yang didasarkan pada keadaan ini. Untuk memastikan bahwa sertifikat lolos uji ini, ikuti langkah-langkah berikut:
    1. Periksa URL di Bilah wara alamat penyuratan browser yang digunakan untuk membuat sambungan.

      Catatan Fokus pada alamat penyuratan server (misalnya, sts.contoso.com) dan bukan tanda a gelung HTTP sintaks (misalnya, /? permintaan =...).
    2. Setelah Anda mereproduksi kesalahan, ikuti langkah-langkah berikut:
      1. Klik Lihat Sertifikat, dan kemudian klik rincian tab. Bandingkan URL dari langkah A kolom subjek dan Nama alternatif subjek kolom di properti kotak dialog sertifikat.

        Perkecil gambar iniPerbesar gambar ini
        Tangkapan layar ketidakcocokan alamat penyuratan halaman
      2. Verifikasi bahwa alamat penyuratan yang digunakan dalam langkah A tidak terdaftar atau tidak cocok dengan setiap entri dalam bidang ini, atau keduanya. Jika demikian, sertifikat harus kembali untuk memasukkan alamat penyuratan server yang digunakan dalam langkah A.
  • Sertifikat tidak dikeluarkan oleh otoritas sertifikasi (CA akar terpercaya). Apabila komputer klien yang meminta sambungan tidak mempercayai CA jaringan yang dihasilkan sertifikat, permintaan sambungan akan menerbitkan peringatan yang didasarkan pada keadaan ini. Untuk memastikan bahwa sertifikat lolos uji ini, ikuti langkah-langkah berikut:
    1. Kembali peringatan sertifikat, dan kemudian klik Lihat Sertifikat untuk memeriksa sertifikat. Pada garis jatuh berseri sertifikasi tab, perhatikan entri catatan akar pada yang ditampilkan di atas.
    2. Klik mulai, klik Jalankan, ketik MMC, dan kemudian klik OK.
    3. Klik File, klik Tambah/Hapus snap-in, klik sertifikat, klik Tambah, pilih Akun komputer, klik berikutnya, klik selesai, dan kemudian klik OK.
    4. Dalam MMC snap-in, temukan Akar konsol, luaskan sertifikat, luaskan Otoritas sertifikasi akar yang terpercaya, klik sertifikat, dan kemudian verifikasi bahwa sertifikat akar catatan entri yang Anda catat di langkah A tidak ada.

SOLUSI

Untuk mengatasi masalah ini, gunakan salah satu dari metode berikut, tergantung pada pesan peringatan.

Metode 1: waktu-vmasalah alid

Untuk menyelesaikan masalah waktu yang benar, ikuti langkah-langkah berikut.
  1. Diterbitkan ulang sertifikat dengan tanggal berlaku sesuai. Untuk informasi lebih lanjut tentang cara menginstal dan mengkonfigurasi sertifikat SSL baru untuk AD FS, lihat artikel Pangkalan Pengetahuan Microsoft berikut ini:
    2921805 Cara mengubah AD FS 2.0 layanan komunikasi sertifikat setelah kedaluwarsa
  2. Jika proksi AD FS disebarkan, Anda harus juga menginstal sertifikat di situs web asali proxy AD FS menggunakan Ekspor sertifikat dan fungsi impor. Untuk informasi lebih lanjut, lihat artikel Pangkalan Pengetahuan Microsoft berikut ini:
    179380 Cara menghapus, impor dan ekspor sertifikat digital
    Penting Pastikan bahwa bukti kunci privat disertakan dalam ekspor atau impor proses. AD FS server proksi atau server juga harus memiliki kopi karbon bukti kunci privat yang diinstal.
  3. Pastikan bahwa pengaturan tanggal dan waktu pada komputer klien atau server AD FS semua sudah benar. Peringatan akan ditampilkan di galat jika pengaturan tanggal sistem operasi tidak benar, dan tidak benar akan menunjukkan nilai yang luar Valid dari dan Valid untuk berbagai.

Metode 2:Masalah layanan nama ketidakcocokan

Nama Layanan AD FS diatur pada saat Anda menjalankan Wisaya konfigurasi AD FS dan didasarkan pada sertifikat yang dibatasi ke situs web asali. Untuk menyelesaikan masalah ketidakcocokan nama layanan, ikuti langkah-langkah berikut:
  1. Jika nama salah sertifikat yang digunakan untuk membuat sertifikat penggantian, ikuti langkah-langkah berikut:
    1. Verifikasi bahwa nama sertifikat salah.
    2. Diterbitkan ulang sertifikat yang benar. Untuk informasi lebih lanjut tentang cara menginstal dan mengkonfigurasi sertifikat SSL baru untuk AD FS, lihat artikel Pangkalan Pengetahuan Microsoft berikut ini:
      2921805 Cara mengubah AD FS 2.0 layanan komunikasi sertifikat setelah kedaluwarsa
  2. Jika AD FS idP akhir atau smart link memanfaatkan untuk pengalaman disesuaikan masuk, pastikan bahwa nama server yang digunakan cocok dengan sertifikat yang ditetapkan untuk layanan AD FS. Untuk informasi selengkapnya tentang idP dan smart link otentikasi, kunjungi website Microsoft berikut:

    Menggunakan link cerdas atau IdP diinisiasi otentikasi dengan Office 365
  3. Dalam beberapa kasus, kondisi ini juga dapat disebabkan oleh salah mencoba untuk mengubah nama Layanan AD FS setelah implementasi. Untuk informasi selengkapnya tentang cara mengubah nama layanan akhir AD FS secara manual, kunjungi website Microsoft berikut:

    AD FS 2.0: Cara mengubah nama Layanan Federasi

    Peringatan Jenis perubahan ini akan menyebabkan AD FS Layanan terputus. Setelah pemutakhiran, Anda harus mengikuti langkah-langkah untuk memulihkan akses menyeluruh (SSO) fungsi:
    1. Jalankan cmdlet Update-MSOLFederatedDomain Semua Ruang nama gabungan.
    2. Jalankan kembali Penataan Wisaya konfigurasi server proksi AD FS apa pun di lingkungan.

Metode 3:Masalah kepercayaan jaringan sertifikasi penerbit


Anda dapat menyelesaikan masalah kepercayaan penerbit Otoritas Sertifikat (CA) dengan melakukan salah satu dari tugas-tugas berikut:
  • Mendapatkan dan menggunakan sertifikat dari sumber yang berpartisipasi dalam Program Sertifikat akar Microsoft. Untuk melihat daftar sumber terpercaya sertifikat, kunjungi situs web berikut:
    Program Sertifikat akar Windows - daftar anggota (semua CAs)
  • Permintaan sertifikat penerbit mendaftar di Program Sertifikat akar Microsoft. Untuk informasi lebih lanjut tentang Program Sertifikat akar dan pengoperasian sertifikat akar di Windows, kunjungi website Microsoft berikut:
    Program Sertifikat akar Microsoft
Peringatan Kami tidak menyarankan AD FS menggunakan CA internal saat itu memanfaatkan SSO dengan Office 365. Menggunakan rantai sertifikat yang tidak dipercaya oleh pusat data Office 365 akan menyebabkan konektivitas Microsoft Outlook untuk Microsoft Exchange Online gagal saat Outlook digunakan dengan fitur SSO.

INFORMASI LEBIH LANJUT

Masih memerlukan bantuan? Buka Komunitas Office 365 situs web atau Forum Azure Active Directory .

Properti

ID Artikel: 2523494 - Kajian Terakhir: 30 Oktober 2014 - Revisi: 25.0
Berlaku bagi:
  • Microsoft Azure cloud services
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Microsoft Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Kata kunci: 
o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2523494 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 2523494

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com