Aracılığıyla paylaş

Microsoft 365, Azure veya Intune'da oturum açtığınızda AD FS'den sertifika uyarısı alırsınız

  • Şunlara uygulanır: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Sorun

Federasyon hesabı kullanarak Microsoft 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde oturum açmaya çalıştığınızda, tarayıcınızdaki AD FS web hizmetinden bir sertifika uyarısı alırsınız.

Nedeni

Bu sorun, sertifika testi sırasında doğrulama hatasıyla karşılaşıldığında oluşur.

Bir sertifikanın Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) oturumunun güvenliğini sağlamaya yardımcı olması için önce, sertifikanın aşağıdaki standart testleri geçmesi gerekir:

  • Sertifika zaman açısından geçerli değil. Sunucu veya istemcideki tarih Geçerli başlangıç tarihinden veya sertifikanın çıkış tarihinden önceyse ya da sunucu veya istemcideki tarih Geçerli bitiş tarihinden veya sertifikanın son kullanma tarihinden sonraysa, bağlantı isteği bu duruma dayalı bir uyarı verir. Sertifikanın bu testi geçtiğinden emin olmak için sertifikanın süresinin dolduğundan veya etkin hale gelmeden önce uygulandığından emin olun. Ardından aşağıdaki eylemlerden birini gerçekleştirin:

    • Sertifikanın süresi dolduysa veya etkin hale gelmeden önce uygulandıysa, AD FS trafiğinin iletişiminin güvenliğini sağlamaya yardımcı olmak için uygun teslim tarihlerine sahip yeni bir sertifika oluşturulmalıdır.
    • Sertifikanın süresi dolmadıysa veya etkin olmadan önce uygulanmadıysa, istemci ve sunucu bilgisayarlarında saati doğrulayın ve sonra gerektiğinde güncelleştirin.

  • Hizmet adı uyuşmazlığı. Bağlantıyı yapmak için kullanılan URL, sertifikanın kullanılabilmesi için geçerli adlarla eşleşmiyorsa, bağlantı isteği bu duruma göre bir uyarı verir. Sertifikanın bu testi geçtiğinden emin olmak için şu adımları izleyin:

    1. Bağlantıyı kurmak için kullanılan tarayıcının adres çubuğundaki URL'yi inceleyin.

      Uyarı

      Sondaki HTTP söz dizimine (örneğin, /?request=...) değil, sunucu adresine (örneğin, sts.contoso.com) odaklanın.

    2. Hatayı yeniden oluşturduktan sonra şu adımları izleyin:

      1. Sertifikaları Görüntüle'ye ve ardından Ayrıntılar sekmesine tıklayın. A adımındaki URL'yi Konu alanıyla ve sertifikanın Özellikler iletişim kutusundaki Konu Alternatif Adı alanlarıyla karşılaştırın.

        Eşleşmeyen Adres sayfasındaki hatayı gösteren ekran görüntüsü.

      2. A adımında kullanılan adresin listelenmediğini veya bu alanlardaki girişlerle ya da her ikisiyle eşleşmediğini doğrulayın. Bu durumda, A adımında kullanılan sunucu adresini eklemek için sertifikanın yeniden verilmesi gerekir.

  • Sertifika, güvenilen bir kök sertifika yetkilisi (CA) tarafından verilmedi. Bağlantıyı isteyen istemci bilgisayar sertifikayı oluşturan CA zincirine güvenmiyorsa, bağlantı isteği bu duruma göre bir uyarı yayımlar. Sertifikanın bu testi geçtiğinden emin olmak için şu adımları izleyin:

    1. Sertifika uyarısını yeniden oluşturup Sertifikayı Görüntüle'ye tıklayarak sertifikayı inceleyin. Sertifika Yolu sekmesinde, en üstte görüntülenen kök not girdisine dikkat edin.
    2. Başlat'a tıklayın, Çalıştır'a tıklayın, MMC yazın ve tamam'a tıklayın.
    3. Dosya'ya tıklayın, Ek Bileşen Ekle/kaldır'a tıklayın, Sertifikalar'a tıklayın, Ekle'ye tıklayın, Bilgisayar Hesabı'yı seçin, İleri'ye tıklayın, Son'a tıklayın ve ardından Tamam'a tıklayın.
    4. MMC ek bileşeninde Konsol Kökü'ne gidin, Sertifikalar'ı genişletin, Güvenilen Kök Sertifika Yetkilileri'ni genişletin, Sertifikalar'a tıklayın ve A adımında not ettiğiniz kök not girdisi için bir sertifikanın mevcut olmadığını doğrulayın.

Çözüm

Bu sorunu çözmek için uyarı iletisine bağlı olarak aşağıdaki yöntemlerden birini kullanın.

Yöntem 1: Zamana bağlı geçerli sorunlar

Zamanla ilgili sorunları çözmek için şu adımları izleyin.

  1. Sertifikayı uygun bir geçerlilik tarihiyle yeniden verin. AD FS için yeni bir SSL sertifikası yükleme ve ayarlama hakkında daha fazla bilgi için bkz. Süresi dolduktan sonra AD FS 2.0 hizmet iletişim sertifikasını değiştirme.

  2. Bir AD FS ara sunucusu dağıtıldıysa, sertifika dışarı aktarma ve içeri aktarma işlevlerini kullanarak sertifikayı AD FS proxy'sinin varsayılan web sitesine de yüklemeniz gerekir. Daha fazla bilgi için bkz. Dijital sertifikaları kaldırma, içeri ve dışarı aktarma.

    Önemli

    Özel anahtarın dışarı veya içeri aktarma işlemine dahil olduğundan emin olun. AD FS Proxy sunucusunda veya sunucularında özel anahtarın bir kopyası da yüklü olmalıdır.

  3. İstemci bilgisayardaki veya tüm AD FS sunucularında tarih ve saat ayarlarının doğru olduğundan emin olun. Uyarı, işletim sistemi tarih ayarları yanlışsa bir hata olarak görüntülenecek ve Geçerli başlangıç ve Geçerli bitiş aralığı dışında bir değeri yanlış gösterecektir.

Yöntem 2: Hizmet adı uyuşmazlığı sorunları

AD FS hizmet adı, AD FS Yapılandırma Sihirbazı'nı çalıştırdığınızda ayarlanır ve varsayılan web sitesine bağlı sertifikayı temel alır. Hizmet adı uyuşmazlığı sorunlarını çözmek için şu adımları izleyin:

  1. Yeni sertifika oluşturmak için yanlış sertifika adı kullanıldıysa şu adımları izleyin:

    1. Sertifika adının yanlış olduğunu doğrulayın.
    2. Doğru sertifikayı yeniden verin. AD FS için yeni bir SSL sertifikası yükleme ve ayarlama hakkında daha fazla bilgi için bkz. Süresi dolduktan sonra AD FS 2.0 hizmet iletişim sertifikasını değiştirme.

  2. Özelleştirilmiş oturum açma deneyimi için AD FS idP uç noktasından veya akıllı bağlantılardan yararlanılıyorsa, kullanılan sunucu adının AD FS hizmetine atanan sertifikayla eşleştiğinden emin olun.

  3. Nadir durumlarda bu koşul, uygulamadan sonra AD FS hizmet adını yanlış bir şekilde değiştirmeye çalışmaktan da kaynaklanabilir.

    Önemli

    Bu tür değişiklikler AD FS hizmeti kesintisine neden olur. Güncelleştirmeden sonra, çoklu oturum açma (SSO) işlevselliğini geri yüklemek için şu adımları izlemeniz gerekir:

    1. Update-MSOLFederatedDomain cmdlet'ini tüm federasyon ad alanları üzerinde çalıştırın.
    2. Ortamdaki tüm AD FS proxy sunucuları için kurulum yapılandırma sihirbazını yeniden çalıştırın.

Uyarı

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Yöntem 3: Sertifika zinciri güveni verme sorunları

Aşağıdaki görevlerden birini gerçekleştirerek sertifika verme yetkilisi (CA) güven sorunlarını çözebilirsiniz:

  • Microsoft Kök Sertifika Programı'na katılan bir kaynaktan sertifika alın ve kullanın.
  • Sertifikayı verenin Microsoft Kök Sertifika Programı'na kaydolmasını isteyin. Kök Sertifika Programı ve Windows'ta kök sertifikaların işlemi hakkında daha fazla bilgi için bkz. Microsoft Kök Sertifika Programı.

Uyarı

MICROSOFT 365 ile SSO için kullanıldığında AD FS'nin iç CA kullanmasını önermeyiz. Microsoft 365 veri merkezi tarafından güvenilmeyen bir sertifika zinciri kullanmak, Outlook SSO özellikleriyle kullanıldığında Microsoft Exchange Online'a Microsoft Outlook bağlantısının başarısız olmasına neden olur.

Daha fazla bilgi

Hâlâ yardıma ihtiyacınız var mı? Microsoft Community veya Microsoft Entra Forumları web sitesine gidin.