إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تقدم Microsoft Azure حل TLS مدار شامل متكامل مع عدة خدمات مايكروسوفت. تتضمن هذه الإمكانية شهادات خادم TLS المدارة لمجالات غرور العملاء، التي توفرها DigiCert.
نتيجة لتطور معايير الامتثال في الصناعة، ومتطلبات الأمان، وتغيرات دورة حياة PKI، سيخضع هذا العرض لعدة تحديثات رئيسية في عامي 2025 و2026 ستؤثر على العملاء الذين يستخدمون هذه الميزة.
تحديثات PKI
ابتداء من أواخر عام 2025، بدأت Azure بتحديث حل TLS المدار ليتماشى مع متطلبات المتصفح القادمة. تؤثر هذه التغييرات على جميع شهادات TLS المدارة الصادرة لخدمات Azure التالية:
- Azure Front Door (AFD) و CDN Classic
- Azure Front Door Standard/Premium SKU
- إدارة Azure API
- "Azure App Service"
- Azure Container Apps
- تطبيقات الويب الثابتة Azure
التغييرات الرئيسية
يتضمن هذا التحديث تغييرين رئيسيين:
هيئات الشهادات الجذرية والفرعية الجديدة (CAs):
- جميع شهادات TLS المدارة ستنتقل من سلطات الشهادات (CAs) تحت سجل الجذر العالمي DigiCert إلى شهادات تحت DigiCert Global Root G2 و DigiCert Global Root G3. يضمن هذا الانتقال الامتثال لمتطلبات برنامج الجذر الموثوق في المتصفح.
إزالة وحدة مصادقة العميل
- هذه المراجعات الجديدة لن تدعم مصادقة العميل وفقا لمتطلبات برنامج الجذر الموثوق في المتصفح. جميع شهادات TLS المدارة تحت الشهادات الجديدة ستتضمن فقط استخدام المفتاح الممتد لمصادقة الخادم (EKU).
تأثير العملاء المحتمل
للاستعداد لهذا التغيير، من المهم معرفة كيف يمكن أن تؤثر هذه التغييرات على العملاء.
تثبيت الشهادة
- إذا قمت بتثبيت الشهادات أو المفاتيح العامة، يجب عليك تحديث مجموعات الدبابيس لتشمل الجذور والوسائط الجديدة.
- ينصح بشدة بالتثبيت الثابت بسبب المخاطر التشغيلية.
مصادقة العميل
- إذا كان تطبيقك يعتمد على وحدة مصادقة العميل EKU في الشهادات العامة، يجب عليك تحديث إعدادك لاستخدام شهادات من شهادات مصادقة أخرى.
- شهادات TLS المدارة ستدعم فقط وحدة مصادقة الخادم.
التحقق من صحة المجال
بدءا من أواخر عام 2025، تنتقل DigiCert إلى منصة تحقق من صحة النطاقات (DCV) مفتوحة المصدر (OSS) تهدف إلى تعزيز الشفافية والمساءلة في عمليات التحقق من صحة النطاقات. لن يدعم DigiCert بعد الآن سير عمل DCV لتفويض CNAME القديم للتحقق من صحة التحكم في المجال في خدمات Azure المحددة.
وبالتالي، ستقدم خدمات Azure هذه عملية محسنة للتحقق من صحة التحكم في المجال، بهدف تسريع التحقق من صحة المجال بشكل كبير ومعالجة الثغرات الأمنية الرئيسية في تجربة المستخدم.
لا يؤثر هذا التغيير على عملية CNAME DCV القياسية لعملاء DigiCert، حيث يستخدم التحقق من الصحة قيمة عشوائية في سجل CNAME. يتم إيقاف سير العمل الوحيد هذا فقط للتحقق من الصحة الذي استخدمته Microsoft مسبقا.
تحذير
سيواجه العملاء الذين لم يقوموا بتحديث عمليات الضبط الخاصة بهم للامتثال لتغييرات طبقة النقل الآمنة المدارة انقطاع في الخدمة إذا لم يقوموا بتحديث التكوين.
- من المؤكد حدوث انقطاع عند انتهاء صلاحية الشهادة الحالية.
- قد يحدث انقطاع إذا تم إبطال الشهادة.
في حال الإلغاء، يجب إلغاء الشهادات خلال 24 ساعة، كما هو مطلوب في متطلبات القاعدة في منتدى CA/المتصفح، مما يترك وقتا ضئيلا جدا للرد. يجب على العملاء تحديث تكويناتهم بشكل عاجل لتجنب الانقطاع.
الأسئلة الشائعة
س: هل يتم إيقاف دعم النطاقات المخصصة؟
لا. الميزة مدعومة للغاية وهي في الواقع تتلقى العديد من التحديثات الرئيسية التي تعمل على تحسين تجربة المستخدم بشكل عام.
إشعار
وحدات تعريف AFD الكلاسيكية وCDN Classic، التي تسير في طريقها إلى الاستهلاك، تتوقف عن دعم إضافة نطاقات مخصصة جديدة. لمزيد من المعلومات، راجع Azure Front Door (كلاسيكي) وAzure CDN من Microsoft Classic SKU الذي ينهي التحقق من صحة المجال المستند إلى CNAME وإنشاء المجال/ملف التعريف الجديد بحلول 15 أغسطس 2025. ينصح العملاء باستخدام شهادات TLS المدارة مع وحدات تخزين معيار AFD ووحدات بريميوم للنطاقات المخصصة الجديدة.
س: ما هو التحقق من صحة التحكم في النطاق؟
التحقق من صحة التحكم في النطاق (DCV) هو عملية حيوية تستخدم للتحقق من أن الكيان الذي يطلب شهادة TLS/SSL يمتلك سيطرة شرعية على النطاق/النطاقات المدرجة في الشهادة.
س: هل تقاعد DigiCert هو التحقق من صحة التحكم في النطاق؟
لا. يتم إيقاف طريقة التحقق من صحة CNAME المحددة هذه الفريدة لخدمات Azure فقط. لا تتأثر طريقة CNAME DCV المستخدمة من قبل عملاء DigiCert، مثل الطريقة الموضحة لشهادات DigiCert OV/EV وشهادات DV .
يتأثر Azure فقط بهذا التغيير.
س: لماذا تنتقل مايكروسوفت إلى جذور DigiCert Global Root G2 وG3؟
يتماشى هذا التغيير مع معايير الصناعة ومتطلبات المتصفحات القادمة. في 15 أبريل 2026، ستفقد موزيلا وكروم الثقة في DigiCert Global Root CA. للحفاظ على الثقة، ستنتقل جميع شهادات TLS المدارة إلى DigiCert Global Root G2وDigiCert Global Root G3 قبل هذا التاريخ. لمزيد من المعلومات، راجع تحديثات شهادة CA المتوسطة والجذرية DigiCert لعام 2023.
س: لماذا يتم إزالة وحدة EKU لمصادقة العميل؟
هذا تغيير على مستوى الصناعة مدفوع ببرنامج كروم الموثوق للجذر (Trusted Root). يقوم كروم بتقييد شهادات TLS على مصادقة الخوادم لتحسين الأمان والامتثال. لمزيد من المعلومات، راجع Sunset لوحدة التحقق من العميل EKU من شهادات TLS العامة في DigiCert.