Zmiany certyfikatu TLS platformy Azure
Ważne
Ten artykuł został opublikowany jednocześnie ze zmianą certyfikatu TLS i nie jest aktualizowany. Aby uzyskać aktualne informacje o urzędach certyfikacji, zobacz Szczegóły urzędu certyfikacji platformy Azure.
Firma Microsoft używa certyfikatów TLS z zestawu głównych urzędów certyfikacji, które są zgodne z wymaganiami punktu odniesienia dla forum ca/przeglądarki. Wszystkie punkty końcowe protokołu TLS/SSL platformy Azure zawierają certyfikaty łańcuchowe do głównych urzędów certyfikacji podanych w tym artykule. Zmiany w punktach końcowych platformy Azure zaczęły przechodzić w sierpniu 2020 r., a niektóre usługi kończą aktualizacje w 2022 roku. Wszystkie nowo utworzone punkty końcowe protokołu TLS/SSL platformy Azure zawierają zaktualizowane certyfikaty w łańcuchu do nowych głównych urzędów certyfikacji.
Ta zmiana dotyczy wszystkich usług platformy Azure. Poniżej wymieniono szczegóły niektórych usług:
- Usługi Microsoft Entra ID (Microsoft Entra ID ) rozpoczęły się w dniu 7 lipca 2020 r.
- Aby uzyskać najbardziej aktualne informacje na temat zmian certyfikatów TLS dla usług Azure IoT, zapoznaj się z tym wpisem w blogu usługi Azure IoT.
- Usługa Azure IoT Hub rozpoczęła tę transformację w lutym 2023 r. z oczekiwanym ukończeniem w październiku 2023 r.
- Usługa Azure IoT Central rozpocznie to przejście w lipcu 2023 r.
- Usługa Azure IoT Hub Device Provisioning Rozpocznie się w styczniu 2024 r.
- Usługa Azure Cosmos DB rozpoczęła tę transformację w lipcu 2022 r. z oczekiwanym ukończeniem w październiku 2022 r.
- Szczegółowe informacje na temat zmian certyfikatów TLS usługi Azure Storage można znaleźć w tym wpisie w blogu usługi Azure Storage.
- Usługa Azure Cache for Redis odchodzi od certyfikatów TLS wystawionych przez Baltimore CyberTrust Root od maja 2022 r., zgodnie z opisem w tym artykule dotyczącym usługi Azure Cache for Redis
- Usługa Azure Instance Metadata Service ma oczekiwane zakończenie w maju 2022 r., zgodnie z opisem w tym wpisie w blogu Dotyczącym ładu i zarządzania platformy Azure.
Co się zmieniło?
Przed zmianą większość certyfikatów TLS używanych przez usługi platformy Azure w łańcuchu do następującego głównego urzędu certyfikacji:
| Nazwa pospolita urzędu certyfikacji | Odcisk palca (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Po zmianie certyfikaty TLS używane przez usługi platformy Azure będą w łańcuchu do jednego z następujących głównych urzędów certyfikacji:
| Nazwa pospolita urzędu certyfikacji | Odcisk palca (SHA1) |
|---|---|
| Globalny katalog główny G2 firmy DigiCert | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Globalny urząd certyfikacji firmy DigiCert | a8985d3a65e5e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| Klasa główna D-TRUST 3 CA 2 2009 | 58e8abb036153fb80f79b1b6d29d3ff8d5f00f0 |
| Główny urząd certyfikacji MICROSOFT RSA 2017 | 73a5e64a3bff8316ff0edccc618a906e4eee4d74 |
| Główny urząd certyfikacji usługi Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Czy moja aplikacja miała wpływ?
Jeśli aplikacja jawnie określa listę akceptowalnych urzędów certyfikacji, prawdopodobnie miała to wpływ na twoją aplikację. Ta praktyka jest znana jako przypinanie certyfikatu. Zapoznaj się z artykułem Microsoft Tech Community dotyczącym zmian protokołu TLS usługi Azure Storage, aby uzyskać więcej informacji na temat sposobu określania, czy twoje usługi miały wpływ na twoje usługi i następne kroki.
Poniżej przedstawiono kilka sposobów wykrywania, czy aplikacja miała wpływ na:
Wyszukaj kod źródłowy pod kątem odcisku palca, nazwy pospolitej i innych właściwości certyfikatów dowolnego z urzędów certyfikacji PROTOKOŁU TLS IT firmy Microsoft w repozytorium infrastruktury kluczy publicznych firmy Microsoft. Jeśli wystąpi dopasowanie, będzie to miało wpływ na aplikację. Aby rozwiązać ten problem, zaktualizuj kod źródłowy, dołączaj nowe urzędy certyfikacji. Najlepszym rozwiązaniem jest zapewnienie, że urzędy certyfikacji można dodawać lub edytować w krótkim czasie. Przepisy branżowe wymagają, aby certyfikaty urzędu certyfikacji zostały zastąpione w ciągu siedmiu dni od zmiany, dlatego klienci korzystający z przypinania muszą szybko reagować.
Jeśli masz aplikację integrającą się z interfejsami API platformy Azure lub innymi usługami platformy Azure i nie masz pewności, czy używa przypinania certyfikatu, zapoznaj się z dostawcą aplikacji.
Różne systemy operacyjne i środowiska uruchomieniowe języka komunikujące się z usługami platformy Azure mogą wymagać więcej kroków w celu poprawnego skompilowania łańcucha certyfikatów z następującymi nowymi katalogami głównymi:
- Linux: wiele dystrybucji wymaga dodania urzędów certyfikacji do /etc/ssl/certs. Aby uzyskać szczegółowe instrukcje, zapoznaj się z dokumentacją dystrybucji.
- Java: upewnij się, że magazyn kluczy Java zawiera urzędy certyfikacji wymienione powyżej.
- System Windows uruchomiony w środowiskach bez połączenia: systemy uruchomione w środowiskach odłączonych będą musiały mieć nowe katalogi główne dodane do magazynu zaufanych głównych urzędów certyfikacji, a pośrednicy dodani do magazynu pośrednich urzędów certyfikacji.
- Android: zapoznaj się z dokumentacją urządzenia i wersji systemu Android.
- Inne urządzenia sprzętowe, zwłaszcza IoT: skontaktuj się z producentem urządzenia.
Jeśli masz środowisko, w którym reguły zapory są ustawione tak, aby zezwalały na połączenia wychodzące tylko do pobierania określonych list odwołania certyfikatów (CRL) i/lub lokalizacji weryfikacji protokołu OCSP (Online Certificate Status Protocol), należy zezwolić na następujące adresy URL listy CRL i OCSP. Aby uzyskać pełną listę adresów URL listy CRL i OCSP używanych na platformie Azure, zobacz artykuł Szczegóły urzędu certyfikacji platformy Azure.
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
Następne kroki
Jeśli masz pytania, skontaktuj się z nami za pośrednictwem pomocy technicznej.