TLS-Zertifikatänderungen für Azure
Wichtig
Dieser Artikel wurde gleichzeitig mit der TLS-Zertifikatänderung veröffentlicht und wird nicht aktualisiert. Aktuelle Informationen zu Zertifizierungsstellen finden Sie unter Details zu Azure-Zertifizierungsstellen.
Microsoft verwendet TLS-Zertifikate aus dem Satz der Stammzertifizierungsstellen, die den Basisanforderungen des CA/Browser-Forums entsprechen. Alle TLS/SSL-Azure-Endpunkte enthalten Zertifikate, die mit den in diesem Artikel genannten Stammzertifizierungsstellen verkettet sind. Die Umstellung der Änderungen an Azure-Endpunkten begann im August 2020, und einige Dienste haben ihre Updates im Jahr 2022 abgeschlossen. Alle neu erstellten TLS/SSL-Azure-Endpunkte enthalten aktualisierte Zertifikate, die mit den neuen Stammzertifizierungsstellen verkettet sind.
Alle Azure-Dienste sind von dieser Änderung betroffen. Details zu einigen Diensten sind unten aufgeführt:
- Microsoft Entra ID (Microsoft Entra ID)-Dienste begannen diesen Übergang am 7. Juli 2020.
- Die aktuellsten Informationen zu den TLS-Zertifikatänderungen für Azure IoT-Dienste finden Sie in diesem Azure IoT-Blogbeitrag.
- Für Azure IoT Hub wurde diese Umstellung im Februar 2023 initiiert und ist voraussichtlich im Oktober 2023 abgeschlossen.
- Azure IoT Central beginnt mit dieser Umstellung im Juli 2023.
- Azure IoT Hub Device Provisioning Service beginnt mit dieser Umstellung im Januar 2024.
- Für Azure Cosmos DB wurde diese Umstellung im Juli 2022 initiiert und ist voraussichtlich im Oktober 2022 abgeschlossen.
- Details zu Änderungen am TLS-Zertifikat von Azure Storage finden Sie in diesem Blogbeitrag zu Azure Storage.
- Azure Cache for Redis wird ab Mai 2022 keine TLS-Zertifikaten mehr verwenden, die von Baltimore CyberTrust Root ausgestellt werden, wie in diesem Azure Cache for Redis-Artikel beschrieben.
- Azure Instance Metadata Service wird voraussichtlich im Mai 2022 fertig gestellt, wie in diesem Blogbeitrag zu Azure Governance und Management beschrieben.
Was hat sich geändert?
Vor der Änderung waren die meisten der von Azure-Diensten verwendeten TLS-Zertifikate mit der folgenden Stammzertifizierungsstelle verkettet:
| Allgemeiner Name der Zertifizierungsstelle | Fingerabdruck (SHA-1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Nach der Änderung werden von Azure-Diensten verwendete TLS-Zertifikate mit einer der folgenden Stammzertifizierungsstellen verkettet:
| Allgemeiner Name der Zertifizierungsstelle | Fingerabdruck (SHA-1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
War meine Anwendung betroffen?
Wenn Ihre Anwendung explizit eine Liste der zulässigen Zertifizierungsstellen angibt, war Ihre Anwendung wahrscheinlich betroffen. Dies wird als Anheften von Zertifikaten bezeichnet. Überprüfen Sie den Microsoft Tech Community-Artikel zu TLS-Änderungen in Azure Storage, um anhand weiterer Informationen zu ermitteln, ob Ihre Dienste betroffen waren, und wie die nächsten Schritte aussehen.
Im Anschluss finden Sie verschiedene Methoden, mit denen Sie ermitteln können, ob Ihre Anwendung betroffen war:
Suchen Sie in Ihrem Quellcode nach dem Fingerabdruck, nach dem allgemeinen Namen und nach anderen Zertifikateigenschaften der Microsoft IT TLS-Zertifizierungsstellen im Microsoft PKI-Repository. Wird ein entsprechender Wert gefunden, ist Ihre Anwendung betroffen. Aktualisieren Sie in diesem Fall den Quellcode mit den neuen Zertifizierungsstellen, um das Problem zu beheben. Es empfiehlt sich grundsätzlich, sicherzustellen, dass Zertifizierungsstellen kurzfristig hinzugefügt oder bearbeitet werden können. Zertifizierungsstellenzertifikate müssen aufgrund von Branchenbestimmungen innerhalb von sieben Tagen nach der Änderung ersetzt werden. Kunden, die das Anheften von Zertifikaten nutzen, müssen daher schnell reagieren.
Wenn Sie über eine Anwendung mit Azure-API- oder Azure-Dienstintegration verfügen und nicht sicher sind, ob sie das Anheften von Zertifikaten nutzt, wenden Sie sich den Hersteller der Anwendung.
Verschiedene Betriebssysteme und Sprachlaufzeiten, die mit Azure-Diensten kommunizieren, erfordern möglicherweise mehr Schritte, um die Zertifikatskette mit diesen neuen Wurzeln korrekt zu erstellen:
- Linux: Bei vielen Distributionen müssen die Zertifizierungsstellen zu „/etc/ssl/certs“ hinzugefügt werden. Spezifische Anweisungen finden Sie in der Dokumentation der Distribution.
- Java: Stellen Sie sicher, dass der Java-Schlüsselspeicher die oben aufgeführten Zertifizierungsstellen enthält.
- Windows in nicht verbundenen Umgebungen: Für Systeme, die in nicht verbundenen Umgebungen ausgeführt werden, müssen die neuen Stammzertifizierungsstellen dem Speicher für vertrauenswürdige Stammzertifizierungsstellen und die Zwischenzertifizierungsstellen dem Speicher für Zwischenzertifizierungsstellen hinzugefügt werden.
- Android: Überprüfen Sie die Dokumentation für Ihr Gerät und für Ihre Android-Version.
- Andere Hardwaregeräte (insbesondere IoT): Wenden Sie sich an den Hersteller des Geräts.
Wenn Sie über eine Umgebung mit Firewallregeln verfügen, die dazu führen, dass ausgehende Aufrufe nur für bestimmte CRL-Download-Überprüfungsorte (Certificate Revocation List, Zertifikatsperrliste) und/oder OCSP-Überprüfungsorte (Online Certificate Status Protocol) zugelassen werden, müssen Sie die folgenden CRL- und OCSP-URLs zulassen: Eine vollständige Liste der in Azure verwendeten CRL- und OCSP-URLs finden Sie im Artikel mit Details zur Azure-Zertifizierungsstelle.
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
Nächste Schritte
Sollten Sie weitere Fragen haben, wenden Sie sich an den Support.