Azure TLS sertifikası değişiklikleri

Microsoft, Azure hizmetlerini farklı bir kök sertifika yetkilisi (CA) kümesinden TLS sertifikaları kullanacak şekilde güncelleştiriyor. Geçerli CA sertifikaları CA/tarayıcı Forum temel gereksinimlerinden biriyle uyumlu olmadığından ve 15 Şubat 2021 ' de iptal edilecek olduğundan bu değişiklik yapılıyor.

Bu değişiklik ne zaman meydana gelir?

Mevcut Azure uç noktaları, 13 Ağustos 2020 ' den itibaren aşamalı bir şekilde geçiyor. Yeni oluşturulan tüm Azure TLS/SSL uç noktaları, yeni kök CA 'Lara zincirleme olan güncelleştirilmiş sertifikaları içerir.

Tüm Azure hizmetleri bu değişiklikten etkilenir. Belirli hizmetler için bazı ek ayrıntılar aşağıda verilmiştir:

Önemli

Müşterilerin, Azure hizmetlerine bağlanmaya çalışırken bağlantı başarısızlıklarını engellemek için bu değişiklikten sonra uygulama (ler) i güncelleştirmeleri güncelleştirmesi gerekebilir.

Ne değişiyor?

Bugün, Azure hizmetleri zinciri tarafından aşağıdaki kök CA 'ya kadar kullanılan TLS sertifikalarının çoğu bugün:

CA 'nın ortak adı Parmak izi (SHA1)
Baltimore Sitrust kökü d4de20d05e66fc53fe1a50882c78db2852cae474

Azure hizmetleri tarafından kullanılan TLS sertifikaları aşağıdaki kök CA 'Lardan birine zincirlenir:

CA 'nın ortak adı Parmak izi (SHA1)
DigiCert genel kök G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert genel kök CA 'sı a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore Sitrust kökü d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST kök sınıfı 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA kök sertifika yetkilisi 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC kök sertifika yetkilisi 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

Eski ara parmak izini devre dışı bırakabilirim?

Geçerli CA sertifikaları 15 Şubat 2021 ' ye kadar iptal edilmez. Bu tarihten sonra, eski parmak izlerini kodınızdan kaldırabilirsiniz.

Bu tarih değişirse, yeni iptal tarihi hakkında bildirim alırsınız.

Bu değişiklik beni etkiler mi?

Azure müşterilerinin çoğu etkilenmeyeceğini umuz. Ancak, kabul edilebilir ca 'ların bir listesini açıkça belirtiyorsa uygulamanız etkilenebilir. Bu uygulama, sertifika sabitleme olarak bilinir.

Uygulamanızın etkilenip etkilendiğinin algılanması için bazı yollar şunlardır:

  • Kaynak kodunuzda, bir Microsoft IT TLS CA 'sının parmak izi, ortak ad ve diğer CERT özellikleri için buradabulunan bir arama yapın. Bir eşleşme varsa uygulamanız etkilenecektir. Bu sorunu çözmek için, kaynak kodu güncelleştirme yeni CA 'Ları içerir. En iyi uygulama olarak, CA 'Ların kısa bildirimde eklenebildiğinden veya düzenlenebildiğinden emin olun. Sektör düzenlemeleri, CA sertifikalarının yedi gün içinde değiştirilmesini gerektirir ve bu nedenle sabitleme ile ilgili olan müşterilerin da bir şekilde tepki sağlaması gerekir.

  • Azure API 'Leri veya diğer Azure hizmetleriyle tümleşen bir uygulamanız varsa ve sertifika sabitleme kullanıyorsa emin değilseniz, uygulama satıcısına danışın.

  • Azure hizmetleriyle iletişim kuran farklı işletim sistemleri ve dil çalışma zamanları, sertifika zincirini bu yeni köklerle doğru şekilde oluşturmak için ek adımlar gerektirebilir:

    • Linux: birçok dağıtım,/etc/SSL/certsa CA eklemenizi gerektirir. Belirli yönergeler için dağıtım belgelerine bakın.
    • Java: Java anahtar deposunun yukarıda listelenen CA 'ları içerdiğinden emin olun.
    • Bağlantısı kesilmiş ortamlarda çalışan Windows: bağlantısı kesilmiş ortamlarda çalışan sistemlerin, güvenilen kök sertifika yetkilileri deposuna yeni köklerin ve ara sertifika yetkilileri deposuna eklenmiş olan hammaddeleri olması gerekir.
    • Android: cihazınızın ve Android sürümünün belgelerini denetleyin.
    • Diğer donanım aygıtları, özellikle IoT: cihaz üreticisine başvurun.
  • Güvenlik Duvarı kurallarının yalnızca belirli sertifika Iptal listesi (CRL) indirme ve/veya çevrimiçi sertifika durumu Protokolü (OCSP) doğrulama konumlarına giden çağrılara izin verecek şekilde ayarlandığı bir ortamınız varsa. Aşağıdaki CRL ve OCSP URL 'Lerine izin vermeniz gerekir:

    • http://crl3.d ıgicert.com
    • http://crl4.d ıgicert.com
    • http://ocsp.d ıgicert.com
    • http://www.d güveni.net
    • http://root-c3-ca2-2009. OCSP.d-Trust.net
    • http://crl. Microsoft.com
    • http://oneocsp. Microsoft.com
    • http://ocsp. msocsp.com
    • http://www. Microsoft.com/pkiops

Sonraki adımlar

Başka sorularınız varsa destekaracılığıyla bizimle iletişim kurun.