Microsoft 365, Azure veya Intune oturum açtığınızda AD FS'den sertifika uyarısı alırsınız

  • Makale
  • Şunlara uygulanır:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Sorun

Federasyon hesabı kullanarak Microsoft 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde oturum açmaya çalıştığınızda, tarayıcınızdaki AD FS web hizmetinden bir sertifika uyarısı alırsınız.

Neden

Sertifika testi sırasında doğrulama hatasıyla karşılaşıldığında bu sorun oluşur.

Bir sertifikanın Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) oturumunun güvenliğini sağlamaya yardımcı olması için önce sertifikanın aşağıdaki standart testleri geçmesi gerekir:

  • Sertifika geçerli değil. Sunucu veya istemcideki tarih, Sertifikanın Geçerlilik tarihinden veya çıkış tarihinden önceyse ya da sunucu veya istemcideki tarih Geçerli bitiş tarihinden veya sertifikanın son kullanma tarihinden sonraysa, bağlantı isteği bu duruma göre bir uyarı verir. Sertifikanın bu testi geçtiğinden emin olmak için sertifikanın gerçekten süresinin dolduğunu veya etkin hale gelmeden önce uygulanıp uygulanmadığını denetleyin. Ardından aşağıdaki eylemlerden birini gerçekleştirin:

    • Sertifikanın süresi gerçekten dolduysa veya etkin hale gelmeden önce uygulandıysa, AD FS trafiği için iletişimin güvenliğini sağlamaya yardımcı olmak için uygun teslim tarihlerine sahip yeni bir sertifika oluşturulmalıdır.
    • Sertifikanın süresi dolmadıysa veya etkin hale gelmeden önce uygulanmadıysa, istemci ve sunucu bilgisayarlarında saati doğrulayın ve sonra gerektiğinde güncelleştirin.

  • Hizmet adı uyuşmazlığı. Bağlantıyı yapmak için kullanılan URL, sertifikanın kullanılabilmesi için geçerli adlarla eşleşmiyorsa, bağlantı isteği bu duruma göre bir uyarı verir. Sertifikanın bu testi geçtiğinden emin olmak için şu adımları izleyin:

    1. Bağlantıyı kurmak için kullanılan tarayıcının adres çubuğundaki URL'yi inceleyin.

      Not

      Sondaki HTTP söz dizimine (örneğin, /?request=...) değil, sunucu adresine (örneğin, sts.contoso.com) odaklanın.

    2. Hatayı yeniden oluşturduktan sonra şu adımları izleyin:

      1. Sertifikaları Görüntüle'ye ve ardından Ayrıntılar sekmesine tıklayın. A adımındaki URL'yi Konu alanıyla ve sertifikanın Özellikler iletişim kutusundaki Konu Alternatif Adı alanlarıyla karşılaştırın.

        Eşleşmeyen Adres sayfasındaki hatayı gösteren ekran görüntüsü.

      2. A adımında kullanılan adresin listelenmediğini veya bu alanlardaki herhangi bir girişle ya da her ikisinde de eşleşmediğini doğrulayın. Böyle bir durumda, A adımında kullanılan sunucu adresini eklemek için sertifikanın yeniden verilmesi gerekir.

  • Sertifika güvenilir bir kök sertifika yetkilisi (CA) tarafından verilmedi. Bağlantıyı isteyen istemci bilgisayar sertifikayı oluşturan CA zincirine güvenmiyorsa, bağlantı isteği bu durumu temel alan bir uyarı yayınlar. Sertifikanın bu testi geçtiğinden emin olmak için şu adımları izleyin:

    1. Sertifika uyarısını yeniden oluşturup sertifikayı incelemek için Sertifikayı Görüntüle'ye tıklayın. Sertifika Yolu sekmesinde, en üstte görüntülenen kök not girdisine dikkat edin.
    2. Başlat'a tıklayın, Çalıştır'a tıklayın, MMC yazın ve ardından Tamam'a tıklayın.
    3. Dosya'ya tıklayın, Ek Bileşen Ekle/kaldır'a tıklayın, Sertifikalar'a tıklayın, Ekle'ye tıklayın, Bilgisayar Hesabı'yı seçin, İleri'ye tıklayın, Son'a tıklayın ve ardından Tamam'a tıklayın.
    4. MMC ek bileşeninde Konsol Kökü'ne tıklayın, Sertifikalar'ı genişletin, Güvenilen Kök Sertifika Yetkilileri'ni genişletin, Sertifikalar'a tıklayın ve A adımında not ettiğiniz kök not girdisi için bir sertifikanın mevcut olmadığını doğrulayın.

Çözüm

Bu sorunu çözmek için uyarı iletisine bağlı olarak aşağıdaki yöntemlerden birini kullanın.

Yöntem 1: Zaman geçerli sorunlar

Geçerli zamana bağlı sorunları çözmek için aşağıdaki adımları izleyin.

  1. Sertifikayı uygun geçerlilik tarihiyle yeniden verme. AD FS için yeni bir SSL sertifikası yükleme ve ayarlama hakkında daha fazla bilgi için bkz. Süresi dolduktan sonra AD FS 2.0 hizmet iletişim sertifikasını değiştirme.

  2. Bir AD FS ara sunucusu dağıtıldıysa, sertifika dışarı ve içeri aktarma işlevlerini kullanarak sertifikayı AD FS proxy'sinin varsayılan web sitesine de yüklemeniz gerekir. Daha fazla bilgi için bkz. Dijital sertifikaları kaldırma, içeri ve dışarı aktarma.

    Önemli

    Özel anahtarın dışarı veya içeri aktarma işlemine dahil olduğundan emin olun. AD FS Proxy sunucusunda veya sunucularında özel anahtarın bir kopyası da yüklü olmalıdır.

  3. İstemci bilgisayardaki veya tüm AD FS sunucularında tarih ve saat ayarlarının doğru olduğundan emin olun. İşletim sistemi tarih ayarları yanlışsa uyarı hatayla görüntülenir ve Geçerli başlangıç ve Geçerli ayar dışında bir değeri yanlış gösterir.

Yöntem 2: Hizmet adı uyuşmazlığı sorunları

AD FS hizmet adı, AD FS Yapılandırma Sihirbazı'nı çalıştırdığınızda ayarlanır ve varsayılan web sitesine bağlı sertifikayı temel alır. Hizmet adı uyuşmazlığı sorunlarını çözmek için şu adımları izleyin:

  1. Değiştirme sertifikası oluşturmak için yanlış sertifika adı kullanıldıysa şu adımları izleyin:

    1. Sertifika adının yanlış olduğunu doğrulayın.
    2. Doğru sertifikayı yeniden verme. AD FS için yeni bir SSL sertifikası yükleme ve ayarlama hakkında daha fazla bilgi için bkz. Süresi dolduktan sonra AD FS 2.0 hizmet iletişim sertifikasını değiştirme.

  2. Özelleştirilmiş oturum açma deneyimi için AD FS idP uç noktasından veya akıllı bağlantılardan yararlanılıyorsa, kullanılan sunucu adının AD FS hizmetine atanan sertifikayla eşleştiğinden emin olun.

  3. Nadir durumlarda, bu durum uygulamadan sonra AD FS hizmet adını yanlış bir şekilde değiştirmeye çalışmaktan da kaynaklanabilir.

    Önemli

    Bu tür değişiklikler AD FS hizmeti kesintisine neden olur. Güncelleştirmeden sonra çoklu oturum açma (SSO) işlevselliğini geri yüklemek için şu adımları izlemeniz gerekir:

    1. Update-MSOLFederatedDomain cmdlet'ini tüm federasyon ad alanları üzerinde çalıştırın.
    2. Ortamdaki tüm AD FS proxy sunucuları için kurulum yapılandırma sihirbazını yeniden çalıştırın.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Yöntem 3: Sertifika zinciri güven sorunları verme

Aşağıdaki görevlerden birini gerçekleştirerek sertifika yetkilisi (CA) güven sorunlarını çözebilirsiniz:

  • Microsoft Kök Sertifika Programı'na katılan bir kaynaktan sertifika alın ve kullanın.
  • Sertifikayı verenin Microsoft Kök Sertifika Programı'na kaydolmasını isteyin. Kök Sertifika Programı ve Windows'ta kök sertifikaların işleyişi hakkında daha fazla bilgi için bkz. Microsoft Kök Sertifika Programı.

Uyarı

MICROSOFT 365 ile SSO için kullanıldığında AD FS'nin iç CA kullanmasını önermeyiz. Microsoft 365 veri merkezi tarafından güvenilmeyen bir sertifika zinciri kullanmak, Outlook SSO özellikleriyle kullanıldığında Microsoft Outlook'un Microsoft Exchange Online bağlantısının başarısız olmasına neden olur.

Daha fazla bilgi

Yine de yardım mı gerekiyor? Microsoft Topluluğu'na veya Microsoft Entra Forumları web sitesine gidin.