Azure TLS 憑證變更
重要
本文與 TLS 憑證變更同時發佈,但未更新。 如需 CA 的最新資訊,請參閱 Azure 憑證授權單位單位詳細資料 。
Microsoft 會使用符合 CA/瀏覽器論壇基準需求的一組根憑證授權單位 (CA) 中的 TLS 憑證。 所有 Azure TLS/SSL 端點都包含鏈結至本文中提供的根 CA 的憑證。 Azure 端點的變更于 2020 年 8 月開始轉換,部分服務會在 2022 年完成其更新。 所有新建立的 Azure TLS/SSL 端點都包含更新的憑證鏈結至新的根 CA。
所有 Azure 服務都會受到這項變更的影響。 以下列出一些服務的詳細資料:
- Microsoft Entra ID (Microsoft Entra ID ) 服務于 2020 年 7 月 7 日開始轉換。
- 如需 Azure IoT 服務 TLS 憑證變更的最新資訊,請參閱 此 Azure IoT 部落格文章 。
- Azure IoT 中樞 于2023年2月開始進行這項過渡,預計于2023年10月完成。
- Azure IoT Central 將于 2023 年 7 月開始此轉換。
- Azure IoT 中樞裝置布建服務 將于 2024 年 1 月開始此轉換。
- Azure Cosmos DB 于 2022 年 7 月開始進行此轉換,預計于 2022 年 10 月完成。
- 如需AZURE 儲存體 TLS 憑證變更的詳細 資料,請參閱 此Azure 儲存體部落格文章 。
- 從 2022 年 5 月開始,Azure Cache for Redis 會從 Baltimore CyberTrust Root 所發出的 TLS 憑證移開,如此 Azure Cache for Redis 一文所述
- Azure 實例中繼資料服務 已在 2022 年 5 月完成,如此 Azure 治理和管理部落格文章 中所述 。
變更的項目為何?
在變更之前,Azure 服務所使用的大部分 TLS 憑證會鏈結至下列根 CA:
CA 的一般名稱 | 指紋 (SHA1) |
---|---|
Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
變更之後,Azure 服務所使用的 TLS 憑證會鏈結至下列其中一個根 CA:
CA 的一般名稱 | 指紋 (SHA1) |
---|---|
DigiCert 全域根 G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
DigiCert 全域根 CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
D-TRUST 根類別 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
Microsoft RSA 根憑證授權單位 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
Microsoft ECC 根憑證授權單位 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
我的應用程式受到影響嗎?
如果您的應用程式明確指定可接受的 CA 清單,您的應用程式可能會受到影響。 這種做法稱為憑證釘選。 如需如何判斷服務是否受到影響和後續步驟的詳細資訊,請檢閱有關Azure 儲存體 TLS 變更 的 Microsoft 技術社群文章。
以下是偵測應用程式是否受到影響的一些方式:
在原始程式碼中搜尋 Microsoft PKI 存放庫中 任何 Microsoft IT TLS CA 的指紋、一般名稱和其他憑證屬性。 如果有相符專案,您的應用程式將會受到影響。 若要解決此問題,請更新原始程式碼包含新的 CA。 最佳做法是確保 CA 可以在短時間內新增或編輯。 產業法規要求在變更後的七天內更換 CA 憑證,因此依賴釘選的客戶必須迅速做出反應。
如果您有與 Azure API 或其他 Azure 服務整合的應用程式,且不確定其是否使用憑證釘選,請洽詢應用程式廠商。
與 Azure 服務通訊的不同作業系統和語言執行平臺可能需要更多步驟,才能使用這些新根目錄正確建置憑證鏈結:
- Linux :許多散發套件需要您將 CA 新增至 /etc/ssl/certs。 如需特定指示,請參閱散發套件的檔。
- JAVA :確定 JAVA 金鑰存放區包含上面所列的 CA。
- 在已中斷連線的環境中執行的 Windows:在中斷連線的環境中 執行的系統,必須將新的根新增至信任的根憑證授權單位存放區,以及新增至中繼憑證授權單位單位存放區的中繼。
- Android :檢查您的裝置和 Android 版本的檔。
- 其他硬體裝置,特別是 IoT :請連絡裝置製造商。
如果您有將防火牆規則設定為只允許特定憑證撤銷清單 (CRL) 下載和/或線上憑證狀態通訊協定 (OCSP) 驗證位置的輸出呼叫的環境,您必須允許下列 CRL 和 OCSP URL。 如需 Azure 中使用的 CRL 和 OCSP URL 完整清單,請參閱 Azure CA 詳細資料一文 。
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
下一步
如果您有問題,請透過支援 與我們連絡 。