Sertifikanın kök CA'lara yönelik birden çok güvenilen sertifika yolu olduğunda, sertifika doğrulaması başarısız oluyor

  • Makale

Bu makalede, bir web sitesi tarafından sunulan güvenlik sertifikasının kök CA'lara yönelik birden çok güvenilen sertifika yolu olduğunda verilmediği bir sorun için geçici çözümler sağlanır.

Şunlar için geçerlidir: Windows 7 Service Pack 1, Windows Server 2012 R2
Orijinal KB numarası: 2831004

Belirtiler

Kullanıcı, güvenli bir web sitesine erişmeye çalıştığında, web tarayıcısında aşağıdaki uyarı iletisini alır:

Bu web sitesinin güvenlik sertifikasıyla ilgili bir sorun var.

Bu web sitesi tarafından sunulan güvenlik sertifikası, güvenilir bir sertifika yetkilisi tarafından verilmemiştir.

Kullanıcı, Bu web sitesine devam et (önerilmez) seçeneğine tıkladıktan sonra güvenli web sitesine erişebilir.

Neden

Bu sorun, web sitesi sertifikasının web sunucusunda birden çok güvenilen sertifika yoluna sahip olması nedeniyle oluşur.

Örneğin, kullandığınız istemci bilgisayarın Kök sertifika yetkilisi (CA) sertifikasına (2) güvendiğini varsayalım. Ayrıca web sunucusu Kök CA sertifikasına (1) ve Kök CA sertifikasına (2) güvenmektedir. Ek olarak sertifikanın, web sunucusundaki güvenilen kök CA'lar için aşağıdaki iki sertifika yolu vardır:

  1. Sertifika yolu 1: Web sitesi sertifikası - Ara CA sertifikası - Kök CA sertifikası (1)
  2. Sertifika yolu 2: Web sitesi sertifikası - Ara CA sertifikası - Çapraz kök CA sertifikası - Kök CA sertifikası (2)

Bilgisayar, sertifika doğrulama işlemi sırasında birden çok güvenilen sertifika yolu bulduğunda Microsoft CryptoAPI, her zincirin puanını hesaplayarak en iyi sertifika yolunu seçer. Puan, bir sertifika yolunun sağlayabileceği bilgilerin kalitesine ve miktarına göre hesaplanır. Birden çok sertifika yolunun puanları aynıysa en kısa zincir seçilir.

Sertifika yolu 1 ve Sertifika yolu 2 aynı kalite puanına sahipse CryptoAPI daha kısa yolu (Sertifika yolu 1) seçer ve yolu istemciye gönderir. Ancak istemci bilgisayar, sertifikayı yalnızca Kök CA sertifikasına (2) bağlanan daha uzun sertifika yolunu kullanarak doğrulayabilir. Bu nedenle sertifika doğrulaması başarısız olur.

Geçici Çözüm

Bu sorunu geçici olarak çözmek için aşağıdaki adımları izleyerek sertifikayı, kullanmak istemediğiniz sertifika yolundan silin veya devre dışı bırakın:

  1. Web sunucusunda sistem yöneticisi olarak oturum açın.

  2. Aşağıdaki adımları izleyerek Sertifika ek bileşenini Microsoft Yönetim Konsolu'na ekleyin:

    1. Başlat>Çalıştır'a tıklayın, mmc yazın ve Enter tuşuna basın.
    2. Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın.
    3. Sertifikalar'ı seçin, Ekle'ye tıklayın, Bilgisayar hesabı'nı seçin ve ardından İleri'ye tıklayın.
    4. Yerel bilgisayar (bu konsolun üzerinde çalıştığı bilgisayar) öğesini seçin ve Son'a tıklayın.
    5. Tamam'a tıklayın.

  3. Yönetim konsolunda Sertifikalar (Yerel Bilgisayar)'ı genişletin ve kullanmak istemediğiniz sertifika yolunda sertifikayı bulun.

    Not

    Sertifika bir kök CA sertifikasıysa Güvenilen Kök Sertifika Yetkilileri'nde yer alır. Sertifika bir ara CA sertifikasıysa Ara Sertifika Yetkilileri'nde yer alır.

  4. Aşağıdaki yöntemlerden birini kullanarak sertifikayı silin veya devre dışı bırakın:

    • Bir sertifikayı silmek için sertifikaya sağ tıklayın ve ardından Sil'e tıklayın.
    • Bir sertifikayı devre dışı bırakmak için sertifikaya sağ tıklayın, Özellikler'e tıklayın, Bu sertifikanın tüm amaçlarını devre dışı bırak'ı seçin ve ardından Tamam'a tıklayın.

  5. Sorun devam ediyorsa sunucuyu yeniden başlatın.

Ayrıca, Otomatik Kök Sertifika Güncelleştirmesini Kapat Grup İlkesi ayarı devre dışı bırakılırsa veya sunucuda yapılandırılmazsa kullanmak istemediğiniz sertifika yolundaki sertifika, bir sonraki zincir oluşturma işlemi gerçekleştiğinde etkinleştirilebilir veya yüklenebilir. Grup İlkesi ayarını değiştirmek için şu adımları izleyin:

  1. Başlat>Çalıştır'a tıklayın, gpedit.msc yazın ve Enter tuşuna basın.

  2. Bilgisayar Yapılandırması>Yönetim Şablonları>Sistem>İnternet İletişimi Yönetimi'ni genişletin ve İnternet İletişimi ayarları'na tıklayın.

  3. Otomatik Kök Sertifika Güncelleştirmesini Kapat'a çift tıklayın, Etkin'i seçin ve ardından Tamam'a tıklayın.

  4. Yerel Grup İlkesi Düzenleyicisi'ni kapatın.

Durum

Bu davranış tasarımdan kaynaklanır.