Office 365, Azure veya Intune'da oturum açtığınızda AD FS'den bir sertifika uyarısı alırsınız

Not

Office 365 ProPlus kurumsal olarak Microsoft 365 uygulamalarıolarak yeniden adlandırıldı. Bu değişiklik hakkında daha fazla bilgi için Bu blog gönderisini okuyun.

Sorun

Federe bir hesap kullanarak Office 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde oturum açmaya çalıştığınızda, tarayıcınızdaki AD FS web hizmetinden bir sertifika uyarısı alırsınız.

Neden

Bu sorun, bir sertifika testi sırasında bir doğrulama hatası karşılaştığında oluşur.

Sertifikanın Güvenli Soket Katmanı (SSL) veya Taşıma Katmanı Güvenliği (TLS) oturumunun güvenliğini sağlamaya yardımcı olmak için kullanılabilmesi için, sertifikanın aşağıdaki standart testleri geçmesi gerekir:

  • Sertifika geçerli değil. Sunucu veya istemcideki tarih Geçerli'den veya sertifikanın çıkış tarihinden önceyse veya sunucu veya istemcideki tarih geçerliden veya sertifikanın son kullanma tarihinden daha geçse, bağlantı isteği bu durumu temel alan bir uyarı yayımlar. Sertifikanın bu testi geçtiğinden emin olmak için, sertifikanın süresinin gerçekten dolup dolmadığını veya etkin hale gelmeden önce uygulanıp uygulanmadığını denetleyin. Ardından, aşağıdaki eylemlerden birini alın:

    • Sertifikanın süresi dolduysa veya etkin hale gelmeden önce uygulandıysa, AD FS trafiği için iletişimin güvenliğini sağlamaya yardımcı olmak için uygun teslim tarihlerine sahip yeni bir sertifika oluşturulmalıdır.
    • Sertifikanın süresi dolmadıysa veya etkin hale gelmeden önce uygulanmadıysa, istemci ve sunucu bilgisayarlarındaki zamanı doğrulayın ve gerektiğinde güncelleştirin.
  • Hizmet adı uyuşmazlığı. Bağlantıyı yapmak için kullanılan URL, sertifikanın kullanılabileceği geçerli adlarla eşleşmiyorsa, bağlantı isteği bu durumu temel alan bir uyarı yayınlar. Sertifikanın bu testi geçtiğinden emin olmak için aşağıdaki adımları izleyin:

    1. Bağlantıyı kurmak için kullanılan tarayıcının adres çubuğundaki URL'yi inceleyin.

      Not

      Sunucu adresine (örneğin, sts.contoso.com) odaklanın ve takip eden HTTP sözdizimine (örneğin, /?request=...) odaklanın.

    2. Hatayı yeniden oluştursanız, aşağıdaki adımları izleyin:

      1. Sertifikaları Görüntüle'yitıklatın ve ardından Ayrıntılar sekmesini tıklatın. URL'yi A adımından Konu alanına ve sertifikanın Özellikler iletişim kutusundaki Konu Alternatif Ad alanlarına karşılaştırın.

        Eşleşmemiş adres sayfasının ekran görüntüsü

      2. A adımında kullanılan adresin listede olmadığını veya bu alanlardaki veya her ikisindeki girişlerle eşleşmediğini doğrulayın. Bu durumda, sertifika adım A kullanılan sunucu adresini içerecek şekilde yeniden düzenlenmelidir.

  • Sertifika güvenilir bir kök sertifika yetkilisi (CA) tarafından verilmedi. Bağlantıyı isteyen istemci bilgisayar sertifikayı oluşturan CA zincirine güvenmiyorsa, bağlantı isteği bu durumu temel alan bir uyarı yayımlar. Sertifikanın bu testi geçtiğinden emin olmak için aşağıdaki adımları izleyin:

    1. Sertifika uyarısını yeniden oluşturun ve ardından sertifikayı incelemek için Sertifikayı Görüntüle'yi tıklatın. Sertifika Yolu sekmesinde, üstte görüntülenen kök not girişine dikkat edin.
    2. Başlat'ıtıklatın, Çalıştır'ıtıklatın, MMCyazın ve ardından Tamam'ıtıklatın.
    3. Dosya 'yıtıklatın , Ekle/Kaldır'ıtıklatın, Sertifikalar'ıtıklatın, Ekle'yitıklatın, Bilgisayar Hesabı'nıseçin , İleri'yitıklatın , Tamam'ıtıklatın ve sonra Tamam'ıtıklatın .
    4. MMC snap-in, Konsol Kökübulmak , Sertifikalarıgenişletmek , Güvenilir Kök Sertifika Yetkililerigenişletmek , Sertifikalartıklayın , ve sonra adım A'da kaydetti kök not girişi için bir sertifika var olmadığını doğrulayın.

Çözüm

Bu sorunu gidermek için, uyarı iletisine bağlı olarak aşağıdaki yöntemlerden birini kullanın.

Yöntem 1: Zaman geçerliliği sorunları

Zaman geçerliliği sorunlarını gidermek için aşağıdaki adımları izleyin.

  1. Sertifikayı uygun bir geçerlilik tarihiyle yeniden düzenleyin. AD FS için yeni bir SSL sertifikasının nasıl yüklenir ve ayarlanır hakkında daha fazla bilgi için, süresi dolduktan sonra AD FS 2.0 hizmet iletişim sertifikasını nasıl değiştireceğinizbölümüne bakın.

  2. Bir AD FS proxy'si dağıtıldıysa, sertifika dışa aktarma ve alma işlevlerini kullanarak sertifikayı AD FS proxy'nin varsayılan web sitesine de yüklemeniz gerekir. Daha fazla bilgi için bkz.

    Önemli

    Özel anahtarın dışa aktarma veya alma işlemine dahil olduğundan emin olun. AD FS Proxy sunucusu veya sunucularında özel anahtarın bir kopyası da yüklü olmalıdır.

  3. İstemci bilgisayarında veya tüm AD FS sunucularında tarih ve saat ayarlarının doğru olduğundan emin olun. İşletim sistemi tarih ayarları yanlışsa uyarı hatalı görüntülenir ve Geçerli den ve Geçerli torange dışında bir değeri yanlış gösterir.

Yöntem 2: Hizmet adı uyuşmazlığı sorunları

AD FS Yapılandırma Sihirbazı'nı çalıştırdığınızda AD FS hizmet adı ayarlanır ve varsayılan web sitesine bağlı olan sertifikayı temel alır. Hizmet adı uyuşmazlığı sorunlarını gidermek için aşağıdaki adımları izleyin:

  1. Değiştirme sertifikası oluşturmak için yanlış sertifika adı kullanıldıysa, aşağıdaki adımları izleyin:

    1. Sertifika adının yanlış olduğunu doğrulayın.
    2. Doğru sertifikayı yeniden düzenleyin. AD FS için yeni bir SSL sertifikasının nasıl yüklenir ve ayarlanır hakkında daha fazla bilgi için, süresi dolduktan sonra AD FS 2.0 hizmet iletişim sertifikasını nasıl değiştireceğinizbölümüne bakın.
  2. AD FS idS bitiş noktası veya akıllı bağlantılar özelleştirilmiş bir oturum açma deneyimi için kullanılıyorsa, kullanılan sunucu adının AD FS hizmetine atanan sertifikayla eşleştiğinden emin olun.

  3. Nadir durumlarda, bu durum uygulamadan sonra AD FS hizmet adını yanlış değiştirmeye çalışmaktan da kaynaklanabilir. AD FS bitiş noktası hizmet adının el ile nasıl değiştirilen hakkında daha fazla bilgi için, bkz.

    Önemli

    Bu tür değişiklikler BIR AD FS hizmet kesintisine neden olur. Güncelleştirmeden sonra, tek oturum açma (SSO) işlevselliğini geri yüklemek için aşağıdaki adımları izlemeniz gerekir:

    1. Tüm federe ad alanlarında Update-MSOLFederatedDomain cmdlet çalıştırın.
    2. Ortamdaki tüm AD FS proxy sunucuları için kurulum yapılandırma sihirbazını yeniden çalıştırın.

Yöntem 3: Sertifika zinciri güven sorunlarının verilmesi

Sertifika yetkilisi (CA) güven sorunlarını aşağıdaki görevlerden birini gerçekleştirerek çözebilirsiniz:

  • Microsoft Root Certificate Programı'na katılan bir kaynaktan sertifika alın ve kullanın.
  • Sertifikayı verenin Microsoft Root Sertifika Programı'na kaydolması isteyin. Kök Sertifika Programı ve Windows'daki kök sertifikaların çalışması hakkında daha fazla bilgi için Microsoft Root Sertifika Programı'nabakın.

Uyarı

AD FS'nin Office 365 ile SSO için kullanıldığında dahili bir CA kullanmasını önermiyoruz. Office 365 veri merkezi tarafından güvenilmeyen bir sertifika zinciri nin kullanılması, Outlook SSO özellikleriyle kullanıldığında Microsoft Outlook bağlantısının Microsoft Exchange Online'a bağlanmasının başarısız lığa neden olur.

Daha fazla bilgi

Yine de yardım mı gerekiyor? Microsoft Community veya Azure Active Directory forumlarına gidin.