تغييرات شهادة Azure TLS

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تعمل "Microsoft" على تحديث خدمات "Azure" لاستخدام شهادات TLS من مجموعة مختلفة من "مراجع الشهادة الجذر (CAs)". يتم إجراء هذا التغيير لأن شهادات CA الحالية لا تتوافق مع أحد متطلبات خط الأساس لمنتدى CA/Browser وسيتم إلغاؤها في 15 فبراير 2021.

متى سيحدث هذا التغيير؟

يتم نقل نقاط نهاية Azure الحالية بطريقة تدريجية منذ 13 أغسطس 2020. تحتوي جميع نقاط نهاية Azure TLS/SSL التي تم إنشاؤها حديثا على شهادات محدثة تصل إلى المراجع المصدقة الجذرية الجديدة.

تتأثر جميع خدمات Azure بهذا التغيير. فيما يلي بعض التفاصيل الإضافية لخدمات محددة:

• بدأت خدمات Azure Active Directory (Azure AD) هذا الانتقال في 7 يوليو 2020.
• سيبقى Azure IoT Hub و DPS على Baltimore CyberTrust Root CA ولكن ستتغير المراجع المصدقة الوسيطة الخاصة بهما. انقر هنا للحصول على التفاصيل.
• سيبدأ Azure Cosmos DB هذا الانتقال في يوليو 2022 مع توقع اكتماله في أكتوبر 2022.
• بالنسبة إلى Azure Storage، انقر هنا للحصول على التفاصيل.
• Azure Cache for Redis يبتعد Azure Cache for Redis عن شهادات TLS الصادرة عن Baltimore CyberTrust Root بدءا من مايو 2022. انقر هنا للحصول على التفاصيل.
• للحصول على خدمة بيانات تعريف مثيل Azure، راجع بيانات تعريف مثيل Azure Service-Attested TLS: التغييرات الهامة موجودة هنا تقريبا!

هام

قد يحتاج العملاء إلى تحديث تطبيقهم (تطبيقاتهم) بعد هذا التغيير لمنع فشل الاتصال عند محاولة الاتصال ب Azure Storage. https://techcommunity.microsoft.com/t5/azure-storage/azure-storage-tls-critical-changes-are-almost-here-and-why-you/ba-p/2741581

ما التغييرات الواقعة؟

اليوم، معظم شهادات TLS المستخدمة من قبل خدمات Azure سلسلة تصل إلى المرجع المصدق الجذر التالي:

الاسم الشائع ل CA	بصمة الإبهام (SHA1)
Baltimore CyberTrust Root*	d4de20d05e66fc53fe1a50882c78db2852cae474

ستقوم شهادات TLS المستخدمة من قبل خدمات Azure بتسلسل ما يصل إلى أحد مراجع المرجع المصدق الجذر التالية:

الاسم الشائع ل CA	بصمة الإبهام (SHA1)
DigiCert الجذر العمومي G2	df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert Global Root CA	a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root*	d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST الجذر الفئة 3 CA 2 2009	58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
المرجع المصدق الجذر RSA ل Microsoft 2017	73a5e64a3bff8316ff0edccc618a906e4eae4d74
المرجع المصدق الجذر ECC ل Microsoft 2017	999a64c37ff47d9fab95f14769891460eec4c3c5

متى يمكنني سحب بصمة الإبهام المتوسطة القديمة؟

لن يتم إلغاء شهادات CA الحالية حتى 15 فبراير 2021. بعد ذلك التاريخ ، يمكنك إزالة بصمات الإبهام القديمة من التعليمات البرمجية الخاصة بك.

إذا تغير هذا التاريخ، إعلامك بتاريخ الإلغاء الجديد.

هل سيؤثر هذا التغيير علي؟

نتوقع ألا يتأثر معظم عملاء Azure . ومع ذلك، قد يتأثر طلبك إذا حدد صراحة قائمة بالمراجع المصدقة المقبولة. تعرف هذه الممارسة باسم تثبيت الشهادة.

فيما يلي بعض الطرق للكشف عما إذا كان تطبيقك متأثرا أم لا:

• ابحث في التعليمات البرمجية المصدر عن بصمة الإبهام والاسم الشائع وخصائص الشهادة الأخرى لأي من مراجع TLS لتكنولوجيا المعلومات من Microsoft الموجودة هنا. إذا كان هناك تطابق ، فسيتأثر طلبك. لحل هذه المشكلة، قم بتحديث التعليمات البرمجية المصدر تضمين المراجع المصدقة الجديدة. كأفضل الممارسات، تأكد من إمكانية إضافة المراجع المصدقة أو تحريرها في غضون مهلة قصيرة. تتطلب لوائح الصناعة استبدال شهادات CA في غضون سبعة أيام ، وبالتالي يحتاج العملاء الذين يعتمدون على التثبيت إلى الاستجابة بسرعة.

• إذا كان لديك تطبيق يتكامل مع واجهات برمجة تطبيقات Azure أو خدمات Azure الأخرى ولم تكن متأكدا مما إذا كان يستخدم تثبيت الشهادات، فتحقق من مورد التطبيق.

• قد تتطلب أنظمة التشغيل المختلفة وأوقات تشغيل اللغات التي تتصل بخدمات Azure المزيد من الخطوات لإنشاء سلسلة الشهادات بشكل صحيح باستخدام هذه الجذور الجديدة:

  • Linux: تتطلب منك العديد من التوزيعات إضافة CAs إلى /etc/ssl/certs. للحصول على تعليمات محددة، راجع وثائق التوزيع.
  • Java: تأكد من أن متجر مفاتيح Java يحتوي على المراجع المصدقة المذكورة أعلاه.
  • Windows تعمل في بيئات غير متصلة: ستحتاج الأنظمة التي تعمل في بيئات غير متصلة إلى إضافة الجذور الجديدة إلى مخزن المراجع المصدقة الجذرية الموثوق بها، وإضافة الوسيطات إلى مخزن المراجع المصدقة الوسيطة.
  • Android: تحقق من الوثائق الخاصة بجهازك وإصدار Android.
  • الأجهزة الأخرى، وخاصة إنترنت الأشياء: اتصل بالشركة المصنعة للجهاز.

• إذا كانت لديك بيئة حيث يتم تعيين قواعد جدار الحماية للسماح بالمكالمات الصادرة إلى مواقع محددة فقط لقائمة إبطال الشهادات (CRL) تنزيل و/أو مواقع التحقق من بروتوكول حالة الشهادة عبر الإنترنت (OCSP). ستحتاج إلى السماح بعناوين URL CRL و OCSP التالية:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

الخطوات التالية

إذا كانت لديك أسئلة إضافية ، فاتصل بنا من خلال الدعم.