Özet

CVE-2022-34691,CVE-2022-26931 ve CVE-2022-26923, Kerberos Dağıtım Merkezi (KDC) sertifika tabanlı kimlik doğrulama isteğine hizmet ederken oluşabilecek ayrıcalık yükseltme güvenlik açığını giderir. 10 Mayıs 2022 güvenlik güncelleştirmesinde sertifika tabanlı kimlik doğrulaması, makine adının sonundaki dolar işaretini ($) hesaba eklemez. Bu, ilgili sertifikaların çeşitli yollarla öykünülmelerine (kimlik sahtekarlığına) izin verdi. Ayrıca, Kullanıcı Asıl Adları (UPN) ile sAMAccountName arasındaki çakışmalar, bu güvenlik güncelleştirmesi ile de ele aldığımız diğer öykünme (kimlik sahtekarlık) güvenlik açıklarını ortaya çıkarmıştı.

Eyleme geçme

Ortamınızı korumak için sertifika tabanlı kimlik doğrulaması için aşağıdaki adımları tamamlayın:

  1. 10 Mayıs 2022 güncelleştirmesi ile sertifika tabanlı kimlik doğrulaması hizmeti veren Active Directory Sertifika Hizmetleri ve Windows etki alanı denetleyicileri çalıştıran tüm sunucuları güncelleştirin (bkz . Uyumluluk modu). 10 Mayıs 2022 güncelleştirmesi, Tam Zorlama moduyla uyumlu olmayan sertifikaları tanımlayan denetim olayları sağlar.

  2. Güncelleştirmeyi yükledikten sonra bir ay boyunca etki alanı denetleyicilerinde hiçbir denetim olayı günlüğü oluşturulmazsa, tüm etki alanı denetleyicilerinde Tam Zorlama modunu etkinleştirmeye devam edin. 9 Mayıs 2023'e kadar tüm cihazlar Tam Zorlama moduna güncelleştirilir. Bu modda, bir sertifika güçlü (güvenli) eşleme ölçütlerinde başarısız olursa (bkz . Sertifika eşlemeleri), kimlik doğrulaması reddedilir.

Olayları denetleme

10 Mayıs 2022 Windows güncelleştirmesi aşağıdaki olay günlüklerini ekler.

Güçlü sertifika eşlemeleri bulunamadı ve sertifikada KDC'nin doğrulayabildiği yeni güvenlik tanımlayıcısı (SID) uzantısı yoktu.

Olay Günlüğü

Sistem

Olay Türü

KDC Uyumluluk modundaysa uyarı

KDC Zorlama modundaysa hata

Olay Kaynağı

Kdcsvc

Olay Kimliği

39

41 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için)

Olay Metni

Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak bir kullanıcıyla güçlü bir şekilde eşlenemeyen bir kullanıcı sertifikasıyla karşılaştı (örneğin, açık eşleme, anahtar güven eşlemesi veya SID aracılığıyla). Bu tür sertifikaların değiştirilmesi veya açık eşleme yoluyla doğrudan kullanıcıya eşlenmesi gerekir. Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2189925.

Kullanıcı: <asıl adı>

Sertifika Konusu: Sertifika> konu adı <

Sertifika Veren: <Veren Tam Etki Alanı Adı (FQDN)>

Sertifika Seri Numarası: sertifika> seri numarası <

Sertifika Parmak İzi: Sertifika> <Parmak İzi

Sertifika, kullanıcı Active Directory'de var olmadan önce kullanıcıya verildi ve güçlü eşleme bulunamadı. Bu olay yalnızca KDC Uyumluluk modunda olduğunda günlüğe kaydedilir.

Olay Günlüğü

Sistem

Olay Türü

Hata

Olay Kaynağı

Kdcsvc

Olay Kimliği

40

48 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için

Olay Metni

Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak bir kullanıcıyla güçlü bir şekilde eşlenemeyen bir kullanıcı sertifikasıyla karşılaştı (örneğin, açık eşleme, anahtar güven eşlemesi veya SID aracılığıyla). Sertifika, eşlendiği kullanıcıyı da önceden hazırlar, bu nedenle reddedilir. Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2189925.

Kullanıcı: <asıl adı>

Sertifika Konusu: Sertifika> konu adı <

Sertifika Veren: Veren FQDN> <

Sertifika Seri Numarası: sertifika> seri numarası <

Sertifika Parmak İzi: Sertifika> <Parmak İzi

Sertifika Verme Zamanı: sertifika> filetime <

Hesap Oluşturma Zamanı: AD>'da asıl nesnenin FILETIME <

Kullanıcı sertifikasının yeni uzantısında yer alan SID, sertifikanın başka bir kullanıcıya verildiğini ima eden kullanıcı SID'sine uymuyor.

Olay Günlüğü

Sistem

Olay Türü

Hata

Olay Kaynağı

Kdcsvc

Olay Kimliği

41

49 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için)

Olay Metni

Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak eşlendiği kullanıcıdan farklı bir SID içeren bir kullanıcı sertifikasıyla karşılaştı. Sonuç olarak, sertifikayı içeren istek başarısız oldu. Daha fazla bilgi edinmek için bkz. https://go.microsoft.cm/fwlink/?linkid=2189925.

Kullanıcı: <asıl adı>

Kullanıcı SID'si: Kimlik doğrulama sorumlusu> <SID'si

Sertifika Konusu: Sertifika> konu adı <

Sertifika Veren: Veren FQDN> <

Sertifika Seri Numarası: sertifika> seri numarası <

Sertifika Parmak İzi: Sertifika> <Parmak İzi

Sertifika SID'i: yeni Sertifika Uzantısı> bulunan <SID

Sertifika eşlemeleri

Etki alanı yöneticileri, kullanıcılar Nesnesinin altSecurityIdentities özniteliğini kullanarak sertifikaları Active Directory'deki bir kullanıcıyla el ile eşleyebilir. Bu öznitelik için desteklenen altı değer vardır ve üç eşleme zayıf (güvensiz) olarak kabul edilir ve diğer üçü güçlü kabul edilir. Genel olarak, yeniden kullanamayacağınız tanımlayıcıları temel alan eşleme türleri güçlü kabul edilir. Bu nedenle, kullanıcı adlarını ve e-posta adreslerini temel alan tüm eşleme türleri zayıf kabul edilir.

Eşleme

Örnek

Tür

Açıklamalar

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Zayıf

X509SubjectOnly

"X509:<S>SubjectName"

Zayıf

X509RFC822

"X509:<RFC822>user@contoso.com"

Zayıf

E-posta Adresi

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Güçlü

Önerilenler

X509SKI

"X509:<SKI>123456789abcdef"

Güçlü

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Güçlü

Müşteriler sertifikaları yeni SID uzantısıyla yeniden veremiyorsa, yukarıda açıklanan güçlü eşlemelerden birini kullanarak el ile eşleme oluşturmanızı öneririz. Bunu yapmak için Active Directory'deki bir users altSecurityIdentities özniteliğine uygun eşleme dizesini ekleyebilirsiniz.

Not Veren, Konu ve Seri Numarası gibi bazı alanlar "ileri" biçimde bildirilir. Eşleme dizesini altSecurityIdentities özniteliğine eklerken bu biçimi tersine çevirmelisiniz. Örneğin, bir kullanıcıya X509IssuerSerialNumber eşlemesini eklemek için, kullanıcıyla eşlemek istediğiniz sertifikanın "Veren" ve "Seri Numarası" alanlarını arayın. Aşağıdaki örnek çıkışa bakın.

  • Veren: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B0000000011AC0000000012

Ardından, kullanıcının Active Directory'deki altSecurityIdentities özniteliğini aşağıdaki dizeyle güncelleştirin:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Bu özniteliği PowerShell kullanarak güncelleştirmek için aşağıdaki komutu kullanabilirsiniz. Varsayılan olarak yalnızca etki alanı yöneticilerinin bu özniteliği güncelleştirme iznine sahip olduğunu unutmayın.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

SerialNumber değerini ters çevirdiğinizde bayt sırasını korumanız gerektiğini unutmayın. Bu, "A1B2C3" SerialNumber'ı geri döndürmenin "3C2B1A" değil "C3B2A1" dizesiyle sonuçlanması gerektiği anlamına gelir. Daha fazla bilgi için bkz . HowTo: altSecurityIdentities özniteliğinde kullanılabilen tüm yöntemler aracılığıyla kullanıcıyı bir sertifikayla eşleme.

Windows güncelleştirmeleri için zaman çizelgesi

Önemli Etkinleştirme Aşaması, Windows için 14 Şubat 2023 güncelleştirmeleriyle başlar ve Devre dışı modu kayıt defteri anahtarı ayarını yoksayar. 

10 Mayıs 2022 Windows güncelleştirmelerini yükledikten sonra cihazlar Uyumluluk modunda olacaktır. Bir sertifika bir kullanıcıyla güçlü bir şekilde eşlenebiliyorsa, kimlik doğrulaması beklendiği gibi gerçekleşir. Bir sertifika yalnızca bir kullanıcıyla zayıf bir şekilde eşlenebiliyorsa, kimlik doğrulaması beklendiği gibi gerçekleşir. Ancak, sertifika kullanıcıdan eski olmadığı sürece bir uyarı iletisi günlüğe kaydedilir. Sertifika kullanıcıdan eskiyse ve Sertifika Yedekleme kayıt defteri anahtarı yoksa veya aralık yedeklenen tazminatın dışındaysa, kimlik doğrulaması başarısız olur ve bir hata iletisi günlüğe kaydedilir.  Sertifika Yedekleme kayıt defteri anahtarı yapılandırıldıysa, tarihler yedekleme telafisi içinde yer alırsa olay günlüğüne bir uyarı iletisi kaydeder.

10 Mayıs 2022 Windows güncelleştirmelerini yükledikten sonra, bir ay veya daha fazla süre sonra görünebilecek herhangi bir uyarı iletisini izleyin. Uyarı iletisi yoksa, sertifika tabanlı kimlik doğrulaması kullanarak tüm etki alanı denetleyicilerinde Tam Zorlama modunu etkinleştirmenizi kesinlikle öneririz. Tam Zorlama modunu etkinleştirmek için KDC kayıt defteri anahtarını kullanabilirsiniz.

Daha önce bu moda güncelleştirilmediği sürece, 9 Mayıs 2023'e kadar tüm cihazları Tam Zorlama moduna güncelleştireceğiz. Bir sertifika güçlü bir şekilde eşlenemiyorsa, kimlik doğrulaması reddedilir.

Sertifika tabanlı kimlik doğrulaması, ortamdan taşıyamayacağınız zayıf bir eşlemeye dayanıyorsa, bir kayıt defteri anahtarı ayarı kullanarak etki alanı denetleyicilerini Devre dışı moduna yerleştirebilirsiniz. Microsoft bunu önermez ve 14 Şubat 2023'te Devre dışı modunu kaldıracağız.

Sorun Giderme

  • Hangi etki alanı denetleyicisinin oturum açma işleminin başarısız olduğunu belirlemek için ilgili bilgisayarda Kerberos İşlem günlüğünü kullanın. Olay Görüntüleyicisi> Uygulama ve Hizmet Günlükleri\Microsoft \Windows\Security-Kerberos\Operational bölümüne gidin.

  • Hesabın kimlik doğrulaması yapmaya çalıştığı etki alanı denetleyicisindeki Sistem Olay Günlüğü'nde ilgili olayları arayın.

  • Sertifika hesaptan eskiyse, sertifikayı yeniden verin veya hesaba eşlenen güvenli bir altSecurityIdentities ekleyin (bkz . Sertifika eşlemeleri).

  • Sertifika bir SID uzantısı içeriyorsa, SID'nin hesapla eşleşip eşleşmediğini doğrulayın.

  • Sertifika birkaç farklı hesabın kimliğini doğrulamak için kullanılıyorsa, her hesabın ayrı bir altSecurityIdentities eşlemesi gerekir.

  • Sertifikanın hesaba güvenli bir eşlemesi yoksa, bir tane ekleyin veya eklenebilene kadar etki alanını Uyumluluk modunda bırakın.

TLS sertifika eşlemesine örnek olarak IIS intranet web uygulaması kullanılır.

  • CVE-2022-26391 ve CVE-2022-26923 korumalarını yükledikten sonra, bu senaryolar varsayılan olarak sertifika eşleme ve kimlik doğrulaması için Kullanıcı için Kerberos Sertifika Hizmeti (S4U) protokollerini kullanır.

  • Kerberos Sertifikası S4U protokolünde, kimlik doğrulama isteği istemciden etki alanı denetleyicisine değil, uygulama sunucusundan etki alanı denetleyicisine akar. Bu nedenle, ilgili olaylar uygulama sunucusunda olacaktır.

Kayıt defteri anahtarı bilgileri

10 Mayıs 2022 ile 9 Mayıs 2023 arasında yayımlanan Windows güncelleştirmelerinde CVE-2022-26931 ve CVE-2022-26923 korumalarını yükledikten sonra aşağıdaki kayıt defteri anahtarları kullanılabilir.

Bu kayıt defteri anahtarı, KDC'nin zorlama modunu Devre Dışı modu, Uyumluluk modu veya Tam Zorlama modu olarak değiştirir.

Önemli

Bu kayıt defteri anahtarının kullanılması, bunu gerektiren ve dikkatli yapılması gereken ortamlar için geçici bir geçici çözümdür. Bu kayıt defteri anahtarının kullanılması, ortamınız için aşağıdaki anlamına gelir:

  • Bu kayıt defteri anahtarı yalnızca 10 Mayıs 2022'de yayımlanan güncelleştirmelerle başlayarak Uyumluluk modunda çalışır.

  • 9 Mayıs 2023'te yayımlanan Ve Tam Zorlama modunu etkinleştirecek windows güncelleştirmeleri yüklendikten sonra bu kayıt defteri anahtarı desteklenmeyen bir anahtar olacaktır.

Kayıt Defteri Alt Anahtarı

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Değer

StrongCertificateBindingEnforcement

Veri Türü

REG_DWORD

Veri

1 – Güçlü bir sertifika eşlemesi olup olmadığını denetler. Evet ise kimlik doğrulamasına izin verilir. Aksi takdirde, KDC sertifikanın yeni SID uzantısına sahip olup olmadığını denetler ve doğrular. Bu uzantı mevcut değilse, kullanıcı hesabı sertifikanın ön tarihini alırsa kimlik doğrulamasına izin verilir.

2 – Güçlü bir sertifika eşlemesi olup olmadığını denetler. Evet ise kimlik doğrulamasına izin verilir. Aksi takdirde, KDC sertifikanın yeni SID uzantısına sahip olup olmadığını denetler ve doğrular. Bu uzantı yoksa, kimlik doğrulaması reddedilir.

0 – Güçlü sertifika eşleme denetimini devre dışı bırakır. Bu, tüm güvenlik geliştirmelerini devre dışı bırakacağından önerilmez.

Bunu 0 olarak ayarlarsanız, bilgisayar sertifika tabanlı kimlik doğrulamasının başarılı olması için aşağıdaki Schannel kayıt defteri anahtarı bölümünde açıklandığı gibi CertificateMappingMethods'u da 0x1F olarak ayarlamanız gerekir..

Yeniden Başlatma Gerekli mi?

Hayır

Bir sunucu uygulaması istemci kimlik doğrulaması gerektirdiğinde, Schannel otomatik olarak TLS istemcisinin sağladığı sertifikayı bir kullanıcı hesabıyla eşlemeyi dener. Sertifika bilgilerini bir Windows kullanıcı hesabıyla ilişkilendiren eşlemeler oluşturarak istemci sertifikasıyla oturum açan kullanıcıların kimliğini doğrulayabilirsiniz. Bir sertifika eşlemesi oluşturup etkinleştirdikten sonra, bir istemci her istemci sertifikası sunduğunda, sunucu uygulamanız bu kullanıcıyı otomatik olarak uygun Windows kullanıcı hesabıyla ilişkilendirir.

Schannel, başarılı olana kadar etkinleştirdiğiniz her sertifika eşleme yöntemini eşlemeyi dener. Schannel önce Service-For-User-To-Self (S4U2Self) eşlemelerini eşlemeyi dener. Konu/Veren, Veren ve UPN sertifika eşlemeleri artık zayıf kabul edilir ve varsayılan olarak devre dışı bırakılmıştır. Seçili seçeneklerin bit maskelenmiş toplamı, kullanılabilen sertifika eşleme yöntemlerinin listesini belirler.

SChannel kayıt defteri anahtarı varsayılan olarak 0x1F ve artık 0x18. Schannel tabanlı sunucu uygulamalarında kimlik doğrulaması hataları yaşıyorsanız bir test yapmanızı öneririz. Etki alanı denetleyicisinde CertificateMappingMethods kayıt defteri anahtarı değerini ekleyin veya değiştirin ve 0x1F olarak ayarlayın ve sorunun giderilip giderildiğini görün. Daha fazla bilgi için bu makalede listelenen hatalar için etki alanı denetleyicisindeki Sistem olay günlüklerine bakın. SChannel kayıt defteri anahtarı değerini önceki varsayılana (0x1F) geri döndürmenin zayıf sertifika eşleme yöntemlerini kullanmaya geri döneceğini unutmayın.

Kayıt Defteri Alt Anahtarı

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Değer

CertificateMappingMethods

Veri Türü

DWORD

Veri

0x0001 - Konu/Veren sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı)

0x0002 - Veren sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı)

0x0004 - UPN sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı)

0x0008 - S4U2Self sertifika eşlemesi (güçlü)

0x0010 - S4U2Self açık sertifika eşlemesi (güçlü)

Yeniden Başlatma Gerekli mi?

Hayır

Ek kaynaklar ve destek için "Ek kaynaklar" bölümüne bakın.

CVE-2022-26931 ve CVE-2022-26923 adreslerini içeren güncelleştirmeleri yükledikten sonra, kullanıcı sertifikalarının kullanıcı oluşturma zamanından daha eski olduğu durumlarda kimlik doğrulaması başarısız olabilir. Bu kayıt defteri anahtarı, ortamınızda zayıf sertifika eşlemeleri kullandığınızda ve sertifika süresi belirli bir aralıktaki kullanıcı oluşturma zamanından önce olduğunda kimlik doğrulamasının başarılı olmasına olanak tanır. Sertifika zamanı ve kullanıcı oluşturma zamanı güçlü sertifika eşlemeleriyle denetlenmediğinden, bu kayıt defteri anahtarı güçlü sertifika eşlemeleri olan kullanıcıları veya makineleri etkilemez. StrongCertificateBindingEnforcement 2 olarak ayarlandığında bu kayıt defteri anahtarının hiçbir etkisi olmaz.

Bu kayıt defteri anahtarının kullanılması, bunu gerektiren ve dikkatli yapılması gereken ortamlar için geçici bir geçici çözümdür. Bu kayıt defteri anahtarının kullanılması, ortamınız için aşağıdaki anlamına gelir:

  • Bu kayıt defteri anahtarı yalnızca 10 Mayıs 2022'de yayımlanan güncelleştirmelerle başlayarak Uyumluluk modunda çalışır. Yedekleme dengeleme uzaklığı içinde kimlik doğrulamasına izin verilir, ancak zayıf bağlama için bir olay günlüğü uyarısı günlüğe kaydedilir.

  • Bu kayıt defteri anahtarının etkinleştirilmesi, sertifika süresi belirli bir aralıktaki kullanıcı oluşturma zamanından önce olduğunda zayıf eşleme olarak kullanıcının kimlik doğrulamasına olanak tanır. 9 Mayıs 2023'te yayımlanan Ve Tam Zorlama modunu etkinleştirecek Windows güncelleştirmeleri yüklendikten sonra zayıf eşlemeler desteklenmez.

Kayıt Defteri Alt Anahtarı

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Değer

CertificateBackdatingCompensation

Veri Türü

REG_DWORD

Veri

Yaklaşık yıl içindeki geçici çözüm değerleri:

  • 50 yıl: 0x5E0C89C0

  • 25 yıl: 0x2EFE0780

  • 10 yıl: 0x12CC0300

  • 5 yıl: 0x9660180

  • 3 yıl: 0x5A39A80

  • 1 yıl: 0x1E13380

Not Ortamınızdaki sertifikaların ömrünü biliyorsanız, bu kayıt defteri anahtarını sertifika ömründen biraz daha uzun olacak şekilde ayarlayın.  Ortamınızın sertifika yaşam sürelerini bilmiyorsanız, bu kayıt defteri anahtarını 50 yıl olarak ayarlayın. Active Directory Sertifika Hizmetleri (ADCS) ile eşleşen bu anahtar mevcut olmadığında varsayılan olarak 10 dakikadır. En yüksek değer 50 yıldır (0x5E0C89C0).

Bu anahtar, Anahtar Dağıtım Merkezi'nin (KDC) kullanıcı/makine hesapları için kimlik doğrulama sertifikası verme zamanı ile hesap oluşturma zamanı arasında yoksayacağı zaman farkını saniye olarak ayarlar.

Önemli Bu kayıt defteri anahtarını yalnızca ortamınız gerektiriyorsa ayarlayın. Bu kayıt defteri anahtarının kullanılması bir güvenlik denetimini devre dışı bırakmaktır.

Yeniden Başlatma Gerekli mi?

Hayır

Kurumsal Sertifika Yetkilileri

Kurumsal Sertifika Yetkilileri (CA), 10 Mayıs 2022 Windows güncelleştirmesini yükledikten sonra çevrimiçi şablonlara verilen tüm sertifikalarda varsayılan olarak Nesne Tanımlayıcısı (OID) (1.3.6.1.4.1.311.25.2) ile yeni bir kritik olmayan uzantı eklemeye başlar. İlgili şablonun msPKI-Enrollment-Flag değerindeki 0x00080000 bitini ayarlayarak bu uzantının eklenmesini durdurabilirsiniz.

Kullanıcı şablonunun sertifikalarını yeni uzantıyı almamak için aşağıdaki certutil komutunu çalıştırırsınız.

  1. Bir Sertifika Yetkilisi sunucusunda veya etki alanına katılmış bir Windows 10 istemcisinde kuruluş yöneticisi veya eşdeğer kimlik bilgileriyle oturum açın.

  2. Bir komut istemi açın ve Yönetici olarak çalıştır'ı seçin.

  3. certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 komutunu çalıştırın. 

Bu uzantının eklenmesini devre dışı bırakmak, yeni uzantı tarafından sağlanan korumayı kaldırır. Bunu yalnızca aşağıdakilerden birini yaptıktan sonra yapmayı göz önünde bulundurun:

  1. KDC'de Kerberos Protokolü kimlik doğrulamalarında İlk Kimlik Doğrulaması (PKINIT) için Ortak Anahtar Şifrelemesi için karşılık gelen sertifikaların kabul edilemediğini onaylarsınız

  2. İlgili sertifikaların yapılandırılmış diğer güçlü sertifika eşlemeleri var

Microsoft dışı CA dağıtımlarına sahip ortamlar, 10 Mayıs 2022 Windows güncelleştirmesini yükledikten sonra yeni SID uzantısı kullanılarak korunmaz. Etkilenen müşteriler bunu ele almak için ilgili CA satıcılarıyla birlikte çalışmalı veya yukarıda açıklanan diğer güçlü sertifika eşlemelerini kullanmayı düşünmelidir.

Ek kaynaklar ve destek için "Ek kaynaklar" bölümüne bakın.

Sık sorulan sorular

Hayır, yenileme gerekli değildir. CA, Uyumluluk modunda gönderilecektir. ObjectSID uzantısını kullanarak güçlü bir eşleme istiyorsanız, yeni bir sertifikaya ihtiyacınız olacaktır.

Ek kaynaklar

TLS istemci sertifikası eşlemesi hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?

Geri bildiriminiz için teşekkürler!

×