SSL 憑證信任失敗

 

上次修改主題的時間: 2011-06-21

Microsoft Remote Connectivity Analyzer 工具會查詢 Exchange Server 系統內的伺服器憑證物件,以取回 X509 憑證上的各種內容。為了讓 Remote Connectivity Analyzer 能驗證指定的 X509 憑證,付費電話必須信任發布此憑證的根憑證授權單位。如果此工具無法遵循信任的根憑證鏈結,此工具將會顯示錯誤,指出此憑證不受信任。

此問題通常於用戶存取伺服器上的 Web 伺服器憑證是自我簽署憑證,或是由使用私用或內部 PKI 來建立憑證時發生。如果憑證與另一個中繼憑證的 CAS 鏈結也會發生此問題。憑證路徑中的每個憑證皆必須有效,個別憑證才會有效。

這個問題的常見情況包括下列各項:

  • 使用者會反複地被提示進行認證,而無法成功地使用 Outlook 無所不在進行連線。
  • 嘗試與 Outlook Web Access 連線的使用者會收到以下的錯誤訊息:「此網站的安全性憑證有問題。」

Remote Connectivity Analyzer 在多數測試中,有能力在 SSL 憑證驗證時忽略信任要求。然而, Outlook 無所不在 (透過 HTTP 的 RPC) 的連線測試目前尚需要一個也能被伺服器信任的公開信任憑證。

如果您正在進行 Microsoft Office 365 單一登入測試,可能會遇到與使用者在嘗試存取 Office 365 服務時反覆地被提示進行認證類似的問題。Remote Connectivity Analyzer 會查詢雲端上的驗證平台,以進行領域探索。當此程序完成時,驗證平台會將用戶端要求進行驗證的 ADFS 端點 URL 傳回給用戶端。端點採用安全通訊端層 (SSL) 連線,也將提供現成的憑証。Remote Connectivity Analyzer 會評估已指派給憑證的完整網域名稱 (FQDN)。舉例來說,此工具會評估 STS.Contoso.com。

在根憑證無法信任供該 SSL 使用的憑證時,Remote Connectivity Analyzer 會顯示警告。此訊息指出該憑證不是 Office 365 環境所信任的憑證。在許多情況下,會因為憑證是一個對此類驗證無效的自我簽署憑證而發生此類錯誤。如要解決單一登入測試的問題,請參閱 Microsoft 知識庫文章編號 2523494:〈您在嘗試使用一個識別同盟帳戶存取 Microsoft Office 365 資源時,收到憑證警告

如需關於憑證與驗證的詳細資訊,請參閱以下主題。

 
顯示: