Azure TLS 인증서 변경
Important
이 문서는 TLS 인증서 변경과 동시에 게시되었으며 업데이트되지 않습니다. CA에 대한 최신 정보는 Azure 인증 기관 세부 정보를 참조하세요.
Microsoft는 CA/브라우저 포럼 기준 요구 사항을 준수하는 루트 CA(인증 기관) 집합의 TLS 인증서를 사용합니다. 모든 Azure TLS/SSL 엔드포인트에는 이 문서에 제공된 루트 CA까지 연결되는 인증서 체인을 포함합니다. Azure 엔드포인트에 대한 변경 내용은 2020년 8월에 전환되기 시작했으며 일부 서비스는 2022년에 업데이트를 완료할 예정입니다. 새로 만든 모든 Azure TLS/SSL 엔드포인트에는 새로운 루트 CA에 연결하는 업데이트된 인증서가 포함되어 있습니다.
모든 Azure 서비스는 해당 변경의 영향을 받습니다. 일부 서비스에 대한 세부 정보는 다음과 같습니다.
- Microsoft Entra ID(Microsoft Entra ID) 서비스는 2020년 7월 7일에 이 전환을 시작했습니다.
- Azure IoT 서비스의 TLS 인증서 변경 내용에 대한 최신 정보는 이 Azure IoT 블로그 게시물을 참조하세요.
- Azure IoT Hub는 2023년 2월에 이 전환을 시작했으며 2023년 10월에 완료될 예정입니다.
- Azure IoT Central은 2023년 7월에 이 전환을 시작합니다.
- Azure IoT Hub Device Provisioning Service는 2024년 1월에 이 전환을 시작합니다.
- Azure Cosmos DB는 2022년 7월에 이 전환을 시작하고 2022년 10월에 완료될 예정입니다.
- Azure Storage TLS 인증서 변경에 대한 자세한 내용은 이 Azure Storage 블로그 게시물에서 확인할 수 있습니다.
- Azure Cache for Redis는 이 Azure Cache for Redis 문서에 설명된 것처럼 2022년 5월부터 Baltimore CyberTrust Root에서 발급한 TLS 인증서의 사용을 중단할 예정입니다.
- Azure Instance Metadata Service는 이 Azure 거버넌스 및 관리 블로그 게시물에 설명된 대로 2022년 5월에 완료될 예정입니다.
변경 내용
변경 전에 Azure 서비스에서 사용하는 대부분의 TLS 인증서는 다음과 같은 루트 CA에 연결되어 있습니다.
| CA의 일반 이름 | 지문(SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
변경 후에 Azure 서비스에서 사용하는 TLS 인증서는 다음과 같은 루트 CA 중 하나에 연결됩니다.
| CA의 일반 이름 | 지문(SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
내 애플리케이션에 영향을 주었나요?
애플리케이션이 허용 가능한 CA 목록을 명시적으로 지정하는 경우 애플리케이션에 영향을 미칠 수 있습니다. 이 방법을 인증서 고정이라고 합니다. 서비스에 영향을 미쳤는지 확인하는 방법과 다음 단계에 대한 자세한 내용은 Azure Storage TLS 변경 내용에 대한 Microsoft 기술 Community 문서를 검토하세요.
다음과 같은 방법으로 애플리케이션이 영향을 받는지 알아볼 수 있습니다.
Microsoft PKI 리포지토리에 있는 Microsoft IT TLS CA의 지문, 일반 이름 및 기타 인증서 속성을 소스 코드에서 검색합니다. 일치하는 항목이 있으면 애플리케이션이 영향을 받습니다. 이 문제를 해결하려면 새 CA를 포함하도록 소스 코드를 업데이트합니다. 모범 사례에 따라 긴급하게 CA를 추가 또는 편집할 수 있어야 합니다. 업계 규정을 준수하려면 CA 인증서를 변경하고 7일 이내에 바꿔야 하므로, 고정 방식을 사용하는 고객은 신속하게 대응해야 합니다.
Azure API 또는 다른 Azure 서비스와 통합되는 애플리케이션이 있고 해당 애플리케이션이 인증서 고정을 사용하는지 확실하지 않은 경우 애플리케이션 공급업체에 확인하세요.
Azure 서비스와 통신하는 여러 운영 체제 및 언어 런타임은 다음과 같은 새 루트를 사용하여 인증서 체인을 올바르게 빌드하는 추가 단계가 필요할 수 있습니다.
- Linux: 많은 배포판에서는 /etc/ssl/certs에 CA를 추가해야 합니다. 자세한 지침은 해당 배포판의 설명서를 참조하세요.
- Java: 위에 나열된 CA가 Java 키 저장소에 들어 있어야 합니다.
- 연결이 끊어진 환경에서 실행되는 Windows: 연결이 끊어진 환경에서 실행되는 시스템은 신뢰할 수 있는 루트 인증 기관 저장소에 새 루트를 추가하고, 중간 인증서를 중간 인증 기관 저장소에 추가해야 합니다.
- Android: 디바이스와 Android 버전에 대한 설명서를 확인합니다.
- 기타 하드웨어 디바이스, 특히 IoT: 디바이스 제조업체에 문의하세요.
특정 CRL(인증서 해지 목록) 다운로드 및/또는 OCSP(온라인 인증서 상태 프로토콜) 확인 위치에 대한 아웃바운드 호출만 허용하도록 방화벽 규칙이 설정된 환경의 경우 다음 CRL 및 OCSP URL을 허용해야 합니다. Azure에서 사용되는 CRL 및 OCSP URL의 전체 목록은 Azure CA 세부 정보 문서를 참조하세요.
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
다음 단계
질문이 있는 경우 지원을 통해 문의합니다.