Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Azure nabízí komplexní spravované řešení TLS integrované s několika službami Microsoftu. Tato funkce zahrnuje spravované certifikáty serveru TLS pro domény zákazníka, které poskytuje DigiCert.
V důsledku vývoje oborových standardů dodržování předpisů, požadavků na zabezpečení a změn životního cyklu infrastruktury veřejných klíčů bude tato nabídka v roce 2025 a 2026 projít několika významnými aktualizacemi, které ovlivní zákazníky, kteří tuto funkci využívají.
Aktualizace infrastruktury veřejných klíčů
Od konce roku 2025 začal Azure aktualizovat své spravované řešení TLS tak, aby odpovídalo nadcházejícím požadavkům na prohlížeč. Tyto změny mají vliv na všechny spravované certifikáty TLS vydané pro následující služby Azure:
- Azure Front Door (AFD) a CDN Classic
- Skladová položka Azure Front Door Standard/Premium
- Azure API Management
- Azure App Service
- Azure Container Apps
- Azure Static Web Apps
Klíčové změny
Tato aktualizace zahrnuje dvě klíčové změny:
Nové kořenové a podřízené certifikační autority (CA):
- Všechny spravované certifikáty TLS se budou migrovat z certifikačních autorit (CA) v rámci globální kořenové certifikační autority DigiCert do certifikační autority v rámci DigiCert Global Root G2 a DigiCert Global Root G3. Tento přechod zajišťuje dodržování požadavků důvěryhodného kořenového programu prohlížeče.
Odebrání klientské autorizace EKU
- Tyto nové certifikační autority nebudou podporovat ověřování klientů v souladu s požadavky důvěryhodného kořenového programu prohlížeče. Všechny spravované certifikáty TLS v rámci nových certifikačních autorit budou obsahovat pouze rozšířené použití klíče ověřování serveru (EKU).
Potenciální dopad na zákazníka
Pokud se chcete na změnu připravit, je důležité vědět, jak by mohly změny potenciálně ovlivnit zákazníky.
Připnutí certifikátu
- Pokud připnete certifikáty nebo veřejné klíče, musíte aktualizovat sady zámků tak, aby zahrnovaly nové kořenové a zprostředkující certifikáty.
- Statické připnutí se důrazně nedoporučuje kvůli provoznímu riziku.
Ověřování klientů
- Pokud vaše aplikace spoléhá na ověřování klienta EKU ve veřejných certifikátech, musíte aktualizovat konfiguraci tak, aby používala certifikáty z jiných certifikačních autorit.
- Spravované certifikáty TLS budou podporovat pouze ověřování serveru EKU.
Ověření domény
Od konce roku 2025 přechází DigiCert na novou platformu pro ověřování domény s opensourcovým softwarem (OSS), která je navržená tak, aby zlepšila transparentnost a odpovědnost v procesech ověřování domény. DigiCert už nebude podporovat starší pracovní postup CNAME Delegování DCV pro ověřování řízení domény v určených službách Azure.
V důsledku toho tyto služby Azure zavádějí vylepšený proces ověřování řízení domény, jehož cílem je výrazně urychlit ověřování domény a řešit klíčové chyby zabezpečení v uživatelském prostředí.
Tato změna nemá vliv na standardní proces CNAME DCV pro zákazníky DigiCert, kde ověření používá náhodnou hodnotu v záznamu CNAME. Vyřadí se jenom tento jeden pracovní postup pro ověření, který microsoft dříve používal.
Výstraha
Zákazníci, kteří neaktualizovali konfigurace tak, aby vyhovovaly spravovaným změnám PROTOKOLU TLS, budou mít výpadek služby, pokud konfiguraci neaktualizují.
- Při vypršení platnosti aktuálního certifikátu se zaručuje výpadek.
- K výpadku může dojít v případě odvolání certifikátu.
V případě odvolání musí být certifikáty odvolány do 24 hodin, jak to vyžadují základní požadavky fóra CA/Prohlížeč, což ponechává velmi málo času na reakci. Zákazníci by měli aktualizovat konfigurace s naléhavostí, aby se vyhnuli přerušení.
Nejčastější dotazy
Otázka: Bude podpora vlastních domén ukončena?
Ne. Tato funkce je velmi podporovaná a ve skutečnosti dostává několik klíčových aktualizací, které zlepšují celkové uživatelské prostředí.
Poznámka:
AFD Classic a CDN Classic SKU, které jsou na cestě k vyřazení, ukončuje podporu pro přidávání nových vlastních domén. Další informace najdete v tématech Azure Front Door (classic) a Azure CDN z Microsoft Classic SKU, které ukončuje ověřování domén založených na CNAME a vytváření nových domén a profilů do 15. srpna 2025. Zákazníkům se doporučuje používat spravované certifikáty TLS se skladovými položkami AFD Standard a Premium pro nové vlastní domény.
Otázka: Co je ověření řízení domény?
Ověření řadiče domény (DCV) je kritický proces, který slouží k ověření, že entita požadující certifikát TLS/SSL má legitimní kontrolu nad doménou uvedenými v certifikátu.
Otázka: Vyřazuje DigiCert ověření řízení domény CNAME?
Ne. Vyřazuje se jenom tato konkrétní metoda ověřování CNAME jedinečná pro služby Azure. Metoda CNAME DCV používaná zákazníky DigiCert, jako je například metoda popsaná pro certifikáty DigiCert OV/EV a certifikáty DV , nemá vliv.
Na tuto změnu má vliv jenom Azure.
Otázka: Proč Microsoft migruje na DigiCert Global Root G2 a G3?
Tato změna odpovídá oborovým standardům a nadcházejícím požadavkům prohlížeče. 15. dubna 2026 bude Mozilla a Chrome nedůvěřovat globální kořenové certifikační autoritě DigiCert. Aby se zachovala důvěra, všechny spravované certifikáty TLS se přesunou na DigiCert Global Root G2 a DigiCert Global Root G3 před tímto datem. Další informace najdete v Aktualizacech kořenového a zprostředkujícího certifikátu CA DigiCert 2023.
Otázka: Proč se odebírá ověřování klienta EKU?
Jedná se o oborovou změnu řízenou důvěryhodným kořenovým programem Chrome. Chrome omezuje certifikáty TLS na ověřování serveru, aby se zlepšilo zabezpečení a dodržování předpisů. Další informace viz Ukončení klientské autentizace EKU u veřejných TLS certifikátů od DigiCert.