Az Azure Hitelesítésszolgáltató adatai
Ez a cikk az Azure szolgáltatásvégpontjai által alkalmazott fő- és alárendelt hitelesítésszolgáltatókat (CA-kat) ismerteti. Fontos megjegyezni, hogy ez a lista különbözik az Azure-beli virtuális gépeken és üzemeltetett szolgáltatásokban biztosított megbízhatósági horgonyoktól, amelyek maguk az operációs rendszerek által biztosított megbízhatósági horgonyokat használják. A hatókör a kormányzati és az országos felhőket is magában foglalja. A nyilvános kulcstitkosítási és aláírási algoritmusok minimális követelményeit, a tanúsítványletöltésekre és a visszavonási listákra mutató hivatkozásokat, valamint a kulcsfogalmakra vonatkozó információkat a hitelesítésszolgáltató részletes táblázatai között találja. A tűzfal engedélyezési listáihoz hozzáadni kívánt URI-k gazdagépneveit is meg kell adni.
Hitelesítésszolgáltató adatai
A Microsoft Entra identitásszolgáltatásokhoz TLS/SSL protokollon keresztül hozzáférni próbáló entitások az ebben a cikkben felsorolt hitelesítésszolgáltatók tanúsítványaival jelennek meg. A különböző szolgáltatások különböző gyökér- vagy köztes hitelesítésszolgáltatókat használhatnak. A következő legfelső szintű és alárendelt hitelesítésszolgáltatók a tanúsítvány-rögzítést használó entitások szempontjából relevánsak.
A tanúsítvány részleteinek elolvasása:
- A sorozatszám (a tábla legfelső sztringje) a tanúsítvány sorozatszámának hexadecimális értékét tartalmazza.
- Az ujjlenyomat (a táblázat alsó sztringje) az SHA1 ujjlenyomat.
- A dőlt betűs hitelesítésszolgáltatók a legutóbb hozzáadott hitelesítésszolgáltatók.
Főtanúsítvány-hatóságok
| Hitelesítésszolgáltató | Sorszám/ Ujjlenyomat |
|---|---|
| Baltimore CyberTrust Root | 0x20000b9 D4DE20D05E66FC53FE1A50882C78DB2852CAE474 |
| DigiCert globális legfelső szintű hitelesítésszolgáltató | 0x083be056904246b1a1756ac95991c74a A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436 |
| DigiCert Global Root G2 | 0x033af1e6a711a9a0bb2864b11d09fae5 DF3C24F9BFD666761B268073FE06D1CC8D4F82A4 |
| DigiCert Global Root G3 | 0x055556bcf25ea43535c3a40fd5ab4572 7E04DE896A3E666D00E687D33FFAD93BE83D349E |
| Microsoft ECC főtanúsítvány-szolgáltató 2017 | 0x66f23daf87de8bb14aea0c573101c2ec 999A64C37FF47D9FAB95F14769891460 Enterprise kiadás C4C3C5 |
| Microsoft RSA főtanúsítvány-szolgáltató 2017 | 0x1ed397095fd8b4b347701eaabe7f45b3 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
Alárendelt hitelesítésszolgáltatók
| Hitelesítésszolgáltató | Sorozatszám Ujjlenyomat |
|---|---|
| DigiCert Basic RSA CN CA G2 | 0x02f7e1f982bad009aff47dc95741b2f6 4D1FA5D1FB1AC3917C08E43F65015E6AEA571179 |
| DigiCert Cloud Services CA-1 | 0x019ec1c6bd3f597bb20c3338e551d877 81B68D6CD2F221F8F534E677523BB236BBA1DC56 |
| DigiCert SHA2 biztonságos kiszolgáló hitelesítésszolgáltatója | 0x02742eaa17ca8e21c717bb1ffcfd0ca0 626D44E704D1CEABE3BF0D53397464AC8080142C |
| DigiCert TLS Hibrid ECC SHA384 2020 CA1 | 0x0a275fe704d6eecb23d5cd5b4b1a4e04 51E39A8BDB08878C52D6186588A0FA266A69CF28 |
| DigiCert TLS RSA SHA256 2020 CA1 | 0x06d8d904d5584346f68a2fa754227ec4 1C58A3A8518E8759BF075B76B750D4F2DF264FCD |
| GeoTrust Global TLS RSA4096 SHA256 2022 CA1 | 0x0f622f6f21c2ff5d521f723a1d47d62d 7E6DB7B7584D8CF2003E0931E6CFC41A3A62D3DF |
| Microsoft Azure ECC TLS kiállítása CA 01 | 0x09dc42a5f574ff3a389ee06d5d4de440 92503D0D74A7D3708197B6 Enterprise kiadás 13082D52117A6AB0 |
| Microsoft Azure ECC TLS kiállítása CA 01 | 0x330000001aa9564f44321c54b900000000001a CDA57423EC5E7192901CA1BF6169DBE48E8D1268 |
| Microsoft Azure ECC TLS kiállítása CA 02 | 0x0e8dbe5ea610e6cbb569c736f6d7004b 1E981CCDDC69102A45C6693 Enterprise kiadás 84389C3CF2329F1 |
| Microsoft Azure ECC TLS kiállítása CA 02 | 0x330000001b498d6736ed5612c200000000001b 489FF5765030EB28342477693EB183A4DED4D2A6 |
| Microsoft Azure ECC TLS kiállítása CA 03 | 0x01529ee8368f0b5d72ba433e2d8ea62d 56D955C849887874AA1767810366D90ADF6C8536 |
| Microsoft Azure ECC TLS kiállítása CA 03 | 0x330000003322a2579b5e698bcc000000000033 91503BE7BF74E2A10AA078B48B71C3477175FEC3 |
| Microsoft Azure ECC TLS kiállítása CA 04 | 0x02393d48d702425a7cb41c000b0ed7ca FB73FDC24F06998E070A06B6AFC78FDF2A155B25 |
| Microsoft Azure ECC TLS kiállítása CA 04 | 0x33000000322164aedab61f509d000000000032 406E3B38EFF35A727F276FE993590B70F8224AED |
| Microsoft Azure ECC TLS kiállítása CA 05 | 0x0ce59c30fd7a83532e2d0146b332f965 C6363570AF8303CDF31C1D5AD81E19DBFE172531 |
| Microsoft Azure ECC TLS kiállítása CA 05 | 0x330000001cc0d2a3cd78cf2c1000000000001c 4C15BC8D7AA5089A84F2AC4750F040D064040CD4 |
| Microsoft Azure ECC TLS kiállítása CA 06 | 0x066e79cd7624c63130c77abeb6a8bb94 7365ADAEDFEA4909C1BAADBAB68719AD0C381163 |
| Microsoft Azure ECC TLS kiállítása CA 06 | 0x330000001d0913c309da3f05a600000000001d DFEB65E575D03D0CC59FD60066C6D39421E65483 |
| Microsoft Azure ECC TLS kiállítása CA 07 | 0x0f1f157582cdcd33734bdc5fcd941a33 3BE6CA5856E3B9709056DA51F32CBC8970A83E28 |
| Microsoft Azure ECC TLS kiállítása CA 07 | 0x3300000034c732435db22a0a2b000000000034 AB3490B7E37B3A8A1E715036522AB42652C3CFFE |
| Microsoft Azure ECC TLS kiállítása CA 08 | 0x0ef2e5d83681520255e92c608fbc2ff4 716DF84638AC8E6 Enterprise kiadás BE64416C8DD38C2A25F6630 |
| Microsoft Azure ECC TLS kiállítása CA 08 | 0x3300000031526979844798bbb8000000000031 CF33D5A1C2F0355B207FCE940026E6C1580067FD |
| Microsoft Azure RSA TLS kiállítása CA 03 | 0x05196526449a5e3d1a38748f5dcfebcc F9388EA2C9B7D632B66A2B0B406DF1D37D3901F6 |
| Microsoft Azure RSA TLS kiállítása CA 03 | 0x330000003968ea517d8a7e30ce000000000039 37461AACFA5970F7F2D2BAC5A659B53B72541C68 |
| Microsoft Azure RSA TLS kiállítása CA 04 | 0x09f96ec295555f24749eaf1e5dced49d BE68D0ADAA2345B48E507320B695D386080E5B25 |
| Microsoft Azure RSA TLS kiállítása CA 04 | 0x330000003cd7cb44ee579961d000000000003c 7304022CA8A9FF7E3E0C1242E0110E643822C45E |
| Microsoft Azure RSA TLS kiállítása CA 07 | 0x0a43a9509b01352f899579ec7208ba50 3382517058A0C20228D598 Enterprise kiadás 7501B61256A76442 |
| Microsoft Azure RSA TLS kiállítása CA 07 | 0x330000003bf980b0c83783431700000000003b 0E5F41B697DAADD808BF55AD080350A2A5DFCA93 |
| Microsoft Azure RSA TLS kiállítása CA 08 | 0x0efb7e547edf0ff1069aee57696d7ba0 31600991ED5FEC63D355A5484A6DCC787EAD89BC |
| Microsoft Azure RSA TLS kiállítása CA 08 | 0x330000003a5dc2ffc321c16d9b00000000003a 512C8F3FB71EDACF7ADA490402E710B10C73026E |
| Microsoft Azure TLS- kiállító CA 01 | 0x0aafa6c5ca63c45141ea3be1f7c75317 2F2877C5D778C31E0F29C7E371DF5471BD673173 |
| Microsoft Azure TLS- kiállító CA 01 | 0x1dbe9496f3db8b8de700000000001d B9ED88EB05C15C79639493016200FDAB08137AF3 |
| A Microsoft Azure TLS 02-es hitelesítésszolgáltatót bocsát ki | 0x0c6ae97cced599838690a00a9ea53214 E7 Enterprise kiadás A674CA718E3BEFD90858E09F8372AD0AE2AA |
| A Microsoft Azure TLS 02-es hitelesítésszolgáltatót bocsát ki | 0x330000001ec6749f058517b4d000000000001e C5FB956A0E7672E9857B402008E7CCAD031F9B08 |
| A Microsoft Azure TLS 05-ös hitelesítésszolgáltatót bocsát ki | 0x0d7bede97d8209967a52631b8bdd18bd 6C3AF02E7F269AA73AFD0EFF2A88A4A1F04ED1E5 |
| A Microsoft Azure TLS 05-ös hitelesítésszolgáltatót bocsát ki | 0x330000001f9f1fa2043bc28db900000000001f 56F1CA470BB94E274B516A330494C792C419CF87 |
| A Microsoft Azure TLS 06-os hitelesítésszolgáltatót bocsát ki | 0x02e79171fb8021e93fe2d983834c50c0 30E01761AB97E59A06B41EF20AF6F2DE7EF4F7B0 |
| A Microsoft Azure TLS 06-os hitelesítésszolgáltatót bocsát ki | 0x3300000020a2f1491a37fbd31f000000000020 8F1FD57F27C828D7BE29743B4D02CD7E6E5F43E6 |
| Microsoft ECC TLS– AOC CA 01 kiállítása | 0x33000000282bfd23e7d1add707000000000028 30ab5c33eb4b77d4cbff00a11ee0a7507d9ddd316 |
| Microsoft ECC TLS– AOC CA 02 kiállítása | 0x33000000290f8a6222ef6a5695000000000029 3709cd92105d074349d00ea8327f7d5303d729c8 |
| A Microsoft ECC TLS eOC CA 01-es kiadása | 0x330000002a2d006485fdacbfeb00000000002a 5fa13b879b2ad1b12e69d476e6cad90d01013b46 |
| A Microsoft ECC TLS eOC CA 02 kiállítása | 0x330000002be6902838672b667900000000002b 58a1d8b1056571d32be6a7c77ed27f73081d6e7a |
| Microsoft RSA TLS CA 01 | 0x0f14965f202069994fd5c7ac788941e2 703D7A8F0EBF55AAAA59F98EAF4A206004EB2516A |
| Microsoft RSA TLS CA 02 | 0x0fa74722c53d88c80f589efb1f9d4a3a B0C2D2D13CDD56CDAA6AB6E2C04440BE4A429C75 |
| Microsoft RSA TLS kiállítása AOC CA 01 | 0x330000002ffaf06f6697e2469c00000000002f 4697fdbed95739b457b347056f8f16a975baf8ee |
| Microsoft RSA TLS– AOC CA 02 kiállítása | 0x3300000030c756cc88f5c1e7eb000000000030 90ed2e9cb40d0cb49a20651033086b1ea2f76e0e |
| A Microsoft RSA TLS eOC CA 01 kiállítása | 0x33000000310c4914b18c8f339a000000000031 a04d3750debfccf1259d553dbec33162c6b42737 |
| Microsoft RSA TLS eOC CA 02 kiállítása | 0x3300000032444d7521341496a9000000000032 697c6404399cc4e7bb3c0d4a8328b71d3205563 |
Nyilvános PKI-k ügyfélkompatibilitása
Az Azure által használt hitelesítésszolgáltatók a következő operációsrendszer-verziókkal kompatibilisek:
| Windows | Firefox | iOS | macOS | Android | Java |
|---|---|---|---|---|---|
| Windows XP SP3+ | Firefox 32+ | iOS 7+ | OS X Mavericks (10.9)+ | Android SDK 5.x+ | Java JRE 1.8.0_101+ |
Tekintse át a következő lépéseket, amikor a hitelesítésszolgáltatók lejárnak vagy módosulnak:
- Frissítsen a szükséges operációs rendszer támogatott verziójára.
- Ha nem tudja módosítani az operációs rendszer verzióját, előfordulhat, hogy manuálisan kell frissítenie a megbízható legfelső szintű tárolót, hogy belefoglalja az új hitelesítésszolgáltatókat. Tekintse meg a gyártó által biztosított dokumentációt.
- Ha a forgatókönyv a megbízható legfelső szintű tároló letiltását vagy a Windows-ügyfél leválasztott környezetekben való futtatását is magában foglalja, győződjön meg arról, hogy az összes legfelső szintű hitelesítésszolgáltató szerepel a megbízható legfelső szintű hitelesítésszolgáltatói tárban, és a cikkben felsorolt összes al-hitelesítésszolgáltató szerepel a köztes hitelesítésszolgáltatói tárban.
- A Linux számos disztribúciója megköveteli a hitelesítésszolgáltatók hozzáadását az /etc/ssl/certs rendszerekhez. Tekintse meg a terjesztési dokumentációt.
- Győződjön meg arról, hogy a Java-kulcstároló tartalmazza a cikkben felsorolt hitelesítésszolgáltatókat. További információkért tekintse meg a cikk Java-alkalmazások szakaszát.
- Ha az alkalmazás kifejezetten megadja az elfogadható hitelesítésszolgáltatók listáját, ellenőrizze, hogy frissítenie kell-e a rögzített tanúsítványokat a hitelesítésszolgáltatók módosításakor vagy lejáratakor. További információ: Tanúsítvány rögzítése.
Nyilvános kulcs titkosítási és aláírási algoritmusai
Az alábbi algoritmusok, háromliptikus görbék és kulcsméretek támogatása szükséges:
Aláírási algoritmusok:
- ES256
- ES384
- ES512
- RS256
- RS384
- RS512
Elliptikus görbék:
- P256
- P384
- P521
Kulcsméretek:
- ECDSA 256
- ECDSA 384
- ECDSA 521
- RSA 2048
- RSA 3072
- RSA 4096
Tanúsítványok letöltése és visszavonási listák
Előfordulhat, hogy a következő tartományokat kell tartalmaznia a tűzfal engedélyezési listájában a kapcsolat optimalizálásához:
AIA:
cacerts.digicert.comcacerts.digicert.cncacerts.geotrust.comwww.microsoft.com
CRL:
crl.microsoft.comcrl3.digicert.comcrl4.digicert.comcrl.digicert.cncdp.geotrust.commscrl.microsoft.comwww.microsoft.com
OCSP:
ocsp.msocsp.comocsp.digicert.comocsp.digicert.cnoneocsp.microsoft.comstatus.geotrust.com
Tanúsítvány rögzítése
A tanúsítvány-rögzítés egy olyan biztonsági technika, amely csak engedélyezett vagy rögzített tanúsítványokat fogad el egy biztonságos munkamenet létrehozásakor. A rendszer elutasít minden olyan kísérletet, amely egy másik tanúsítvány használatával próbál biztonságos munkamenetet létrehozni. Ismerje meg a tanúsítványok rögzítésének előzményeit és következményeit.
Tanúsítvány-rögzítés kezelése
Ha az alkalmazás kifejezetten megadja az elfogadható hitelesítésszolgáltatók listáját, előfordulhat, hogy a hitelesítésszolgáltatók módosításakor vagy lejáratakor rendszeresen frissítenie kell a rögzített tanúsítványokat.
A tanúsítvány rögzítésének észleléséhez az alábbi lépéseket javasoljuk:
- Ha Ön alkalmazásfejlesztő, keressen rá a forráskódban a tanúsítvány ujjlenyomatára, a tulajdonosi megkülönböztető nevekre, a köznevekre, a sorozatszámokra, a nyilvános kulcsokra és a módosításban érintett alhálózati hitelesítésszolgáltatók egyéb tanúsítványtulajdonságára mutató hivatkozásokra.
- Ha van egyezés, frissítse az alkalmazást úgy, hogy tartalmazza a hiányzó hitelesítésszolgáltatókat.
- Ha olyan alkalmazással rendelkezik, amely integrálható az Azure API-kkal vagy más Azure-szolgáltatásokkal, és nem biztos abban, hogy tanúsítvány-rögzítést használ-e, forduljon az alkalmazás gyártójához.
Java-alkalmazások
Annak megállapításához, hogy a Java-alkalmazás megbízható-e a Microsoft ECC Főtanúsítvány-szolgáltató 2017-ben és a Microsoft RSA Főtanúsítvány 2017-ben , ellenőrizheti a Java virtuális gép (JVM) által használt megbízható főtanúsítványok listáját.
Nyisson meg egy terminálablakot a rendszeren.
Futtassa az alábbi parancsot:
keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts$JAVA_HOMEa Java-kezdőkönyvtár elérési útjára hivatkozik.- Ha nem biztos az elérési útban, az alábbi parancs futtatásával találja meg:
readlink -f $(which java) | xargs dirname | xargs dirnameKeresse meg a Microsoft RSA főtanúsítvány-szolgáltató 2017-et a kimenetben. Ennek az alábbihoz hasonlónak kell lennie:
- Ha a Microsoft ECC Főtanúsítvány-szolgáltató 2017 és a Microsoft RSA Főtanúsítvány 2017 főtanúsítványai megbízhatóak, akkor a JVM által használt megbízható főtanúsítványok listájában kell megjelenniük.
- Ha nem szerepel a listában, hozzá kell adnia.
- A kimenetnek a következő mintához hasonlóan kell kinéznie:
... Microsoft ECC Root Certificate Authority 2017, 20-Aug-2022, Root CA, Microsoft RSA Root Certificate Authority 2017, 20-Aug-2022, Root CA, ...Ha főtanúsítványt szeretne hozzáadni a Java megbízható főtanúsítvány-tárolójába, használhatja a
keytoolsegédprogramot. Az alábbi példa hozzáadja a Microsoft RSA főtanúsítvány 2017 főtanúsítványát:keytool -import -file microsoft-ecc-root-ca.crt -alias microsoft-rsa-root-ca -keystore $JAVA_HOME/jre/lib/security/cacerts keytool -import -file microsoft-rsa-root-ca.crt -alias microsoft-rsa-root-ca -keystore $JAVA_HOME/jre/lib/security/cacertsFeljegyzés
Ebben a példában
microsoft-ecc-root-ca.crtmicrosoft-rsa-root-ca.crta Microsoft ECC Főtanúsítvány 2017 és a Microsoft RSA Főtanúsítvány 2017 főtanúsítványait tartalmazó fájlok nevei.
Korábbi módosítások
A CA/Browser fórum frissítette az alapkövetelményeket, hogy 2022. május 31-én az összes nyilvános kulcsú infrastruktúra (PKI) le kell állítania az SHA-1 kivonatoló algoritmusok használatát az Online Certificate Standard Protocolhoz (OCSP). A Microsoft frissítette az összes többi OCSP-válaszadót, amelyek az SHA-1 kivonatoló algoritmust használták az SHA-256 kivonatoló algoritmus használatára. További információért tekintse meg az SHA-1 OCSP aláírási cikkének Naplemente szakaszát .
A Microsoft 2021. február 15-én frissítette az Azure-szolgáltatásokat, hogy tLS-tanúsítványokat használjon más főtanúsítvány-hatóságoktól (CA-któl) a CA/Browser Fórum alapkonfigurációs követelményei által meghatározott változásoknak való megfelelés érdekében. Egyes szolgáltatások 2022-ben véglegesítették ezeket a frissítéseket. További információkért tekintse meg az Azure TLS-tanúsítvány módosításairól szóló cikket .
Cikkmódosítási napló
- 2023. július 17.: Hozzáadtunk 16 új alárendelt hitelesítésszolgáltatót
- 2023. február 7.: Nyolc új alárendelt hitelesítésszolgáltatót adtak hozzá
Következő lépések
További információ a hitelesítésszolgáltatókról és a PKI-ről: