你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure TLS 证书更改
重要
本文与 TLS 证书更改并发发布,并且未更新。 有关 CA 的最新信息,请参阅 Azure 证书颁发机构详细信息。
Microsoft 使用符合 CA/浏览器论坛基线要求的一组根证书颁发机构 (CA) 颁发的 TLS 证书。 所有 Azure TLS/SSL 终结点都包含链接到本文提供的根 CA 的证书。 对 Azure 终结点的更改于 2020 年 8 月开始转换,一些服务在 2022 年完成更新。 所有新创建的 Azure TLS/SSL 终结点都包含链接到新根 CA 的已更新证书。
此更改会影响所有 Azure 服务。 下面列出了某些服务的详细信息:
- Microsoft Entra ID (Microsoft Entra ID) 服务已于 2020 年 7 月 7 日开始进行此转换。
- 有关 Azure IoT 服务的 TLS 证书更改的最新信息,请参阅此 Azure IoT 博客文章。
- Azure IoT 中心于 2023 年 2 月开始了这一转换,预计将于 2023 年 10 月完成。
- Azure IoT Central 将于 2023 年 7 月开始这一转换。
- Azure IoT 中心设备预配服务将于 2024 年 1 月开始这一转换。
- Azure Cosmos DB 在 2022 年 7 月开始此转换,预计在 2022 年 10 月完成。
- 有关 Azure 存储 TLS 证书更改的详细信息,可参阅此 Azure 存储博客文章。
- 从 2022 年 5 月开始,Azure Cache for Redis 不再使用 Baltimore CyberTrust 根颁发的 TLS 证书,如此 Azure Cache for Redis 文章所述。
- Azure 实例元数据服务将于 2022 年 5 月完成,如此 Azure 治理和管理博客文章所述。
有何变化?
在更改之前,Azure 服务使用的大多数 TLS 证书都链接到以下根 CA:
CA 的公用名 | 指纹 (SHA1) |
---|---|
Baltimore CyberTrust 根 | d4de20d05e66fc53fe1a50882c78db2852cae474 |
在更改之后,Azure 服务使用的 TLS 证书都链接到以下根 CA 之一:
CA 的公用名 | 指纹 (SHA1) |
---|---|
DigiCert 全局根 G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
DigiCert 全局根 CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
Baltimore CyberTrust 根 | d4de20d05e66fc53fe1a50882c78db2852cae474 |
D-TRUST 根类 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
Microsoft RSA 根证书颁发机构 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
Microsoft ECC 根证书颁发机构 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
我的应用程序是否受到影响?
如果应用程序显式指定可接受 CA 的列表,则应用程序可能已受到影响。 这种做法称为证书固定。 请参阅有关 Azure 存储 TLS 更改的 Microsoft 技术社区文章,详细了解如何确定服务是否受到影响,以及如何确定后续步骤。
下面是检测应用程序是否受到影响的一些方式:
在源代码中搜索 Microsoft PKI 存储库中的任何 Microsoft IT TLS CA 的指纹、公用名和其他证书属性。 如果存在匹配,则应用程序会受影响。 若要解决此问题,请更新源代码,包括新的 CA。 最佳做法是确保在简短通知时可添加或编辑 CA。 行业法规要求在更改后的 7 天内替换 CA 证书,因此依赖于证书固定的客户需要迅速做出反应。
如果你的应用程序与 Azure API 或其他 Azure 服务集成,并且你不确定它是否使用证书固定,请向应用程序供应商核实。
与 Azure 服务进行通信的不同操作系统和语言运行时可能需要更多步骤,才能正确利用这些新的根来构建证书链:
- Linux:许多发行版要求将 CA 添加到 /etc/ssl/certs。 有关特定说明,请查看发行版的相应文档。
- Java:确保 Java 密钥存储包含上面列出的 CA。
- 在断开连接的环境中运行的 Windows:在断开连接的环境中运行的系统需要将新根添加到受信任的根证书颁发机构存储,并将中间证书添加到中间证书颁发机构存储。
- Android:查看适用于你设备和 Android 版本的文档。
- 其他硬件设备(尤其是 IoT):联系设备制造商。
如果环境中的防火墙规则设置为仅允许对特定证书吊销列表 (CRL) 下载和/或在线证书状态协议 (OCSP) 验证位置进行出站呼叫,你需要允许以下 CRL 和 OCSP URL。 有关 Azure 中使用的 CRL 和 OCSP URL 的完整列表,请参阅 Azure CA 详细信息文章。
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
后续步骤
如果有任何问题,请通过客户支持联系我们。