Azure TLS 憑證變更

  • 發行項

重要

本文與 TLS 憑證變更同時發佈,但未更新。 如需 CA 的最新資訊,請參閱 Azure 憑證授權單位單位詳細資料

Microsoft 會使用符合 CA/瀏覽器論壇基準需求的一組根憑證授權單位 (CA) 中的 TLS 憑證。 所有 Azure TLS/SSL 端點都包含鏈結至本文中提供的根 CA 的憑證。 Azure 端點的變更于 2020 年 8 月開始轉換,部分服務會在 2022 年完成其更新。 所有新建立的 Azure TLS/SSL 端點都包含更新的憑證鏈結至新的根 CA。

所有 Azure 服務都會受到這項變更的影響。 以下列出一些服務的詳細資料:

變更的項目為何?

在變更之前,Azure 服務所使用的大部分 TLS 憑證會鏈結至下列根 CA:

CA 的一般名稱 指紋 (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

變更之後,Azure 服務所使用的 TLS 憑證會鏈結至下列其中一個根 CA:

CA 的一般名稱 指紋 (SHA1)
DigiCert 全域根 G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert 全域根 CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST 根類別 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA 根憑證授權單位 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC 根憑證授權單位 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

我的應用程式受到影響嗎?

如果您的應用程式明確指定可接受的 CA 清單,您的應用程式可能會受到影響。 這種做法稱為憑證釘選。 如需如何判斷服務是否受到影響和後續步驟的詳細資訊,請檢閱有關Azure 儲存體 TLS 變更 的 Microsoft 技術社群文章。

以下是偵測應用程式是否受到影響的一些方式:

  • 在原始程式碼中搜尋 Microsoft PKI 存放庫中 任何 Microsoft IT TLS CA 的指紋、一般名稱和其他憑證屬性。 如果有相符專案,您的應用程式將會受到影響。 若要解決此問題,請更新原始程式碼包含新的 CA。 最佳做法是確保 CA 可以在短時間內新增或編輯。 產業法規要求在變更後的七天內更換 CA 憑證,因此依賴釘選的客戶必須迅速做出反應。

  • 如果您有與 Azure API 或其他 Azure 服務整合的應用程式,且不確定其是否使用憑證釘選,請洽詢應用程式廠商。

  • 與 Azure 服務通訊的不同作業系統和語言執行平臺可能需要更多步驟,才能使用這些新根目錄正確建置憑證鏈結:

    • Linux :許多散發套件需要您將 CA 新增至 /etc/ssl/certs。 如需特定指示,請參閱散發套件的檔。
    • JAVA :確定 JAVA 金鑰存放區包含上面所列的 CA。
    • 在已中斷連線的環境中執行的 Windows:在中斷連線的環境中 執行的系統,必須將新的根新增至信任的根憑證授權單位存放區,以及新增至中繼憑證授權單位單位存放區的中繼。
    • Android :檢查您的裝置和 Android 版本的檔。
    • 其他硬體裝置,特別是 IoT :請連絡裝置製造商。

  • 如果您有將防火牆規則設定為只允許特定憑證撤銷清單 (CRL) 下載和/或線上憑證狀態通訊協定 (OCSP) 驗證位置的輸出呼叫的環境,您必須允許下列 CRL 和 OCSP URL。 如需 Azure 中使用的 CRL 和 OCSP URL 完整清單,請參閱 Azure CA 詳細資料一文

    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com

下一步

如果您有問題,請透過支援 與我們連絡