Teilen über


TLS-Zertifikatänderungen für Azure

Wichtig

Dieser Artikel wurde gleichzeitig mit der TLS-Zertifikatänderung veröffentlicht und wird nicht aktualisiert. Aktuelle Informationen zu Zertifizierungsstellen finden Sie unter Details zu Azure-Zertifizierungsstellen.

Microsoft verwendet TLS-Zertifikate aus dem Satz der Stammzertifizierungsstellen, die den Basisanforderungen des CA/Browser-Forums entsprechen. Alle TLS/SSL-Azure-Endpunkte enthalten Zertifikate, die mit den in diesem Artikel genannten Stammzertifizierungsstellen verkettet sind. Die Umstellung der Änderungen an Azure-Endpunkten begann im August 2020, und einige Dienste haben ihre Updates im Jahr 2022 abgeschlossen. Alle neu erstellten TLS/SSL-Azure-Endpunkte enthalten aktualisierte Zertifikate, die mit den neuen Stammzertifizierungsstellen verkettet sind.

Alle Azure-Dienste sind von dieser Änderung betroffen. Details zu einigen Diensten sind unten aufgeführt:

Was hat sich geändert?

Vor der Änderung waren die meisten der von Azure-Diensten verwendeten TLS-Zertifikate mit der folgenden Stammzertifizierungsstelle verkettet:

Allgemeiner Name der Zertifizierungsstelle Fingerabdruck (SHA-1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

Nach der Änderung werden von Azure-Diensten verwendete TLS-Zertifikate mit einer der folgenden Stammzertifizierungsstellen verkettet:

Allgemeiner Name der Zertifizierungsstelle Fingerabdruck (SHA-1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

War meine Anwendung betroffen?

Wenn Ihre Anwendung explizit eine Liste der zulässigen Zertifizierungsstellen angibt, war Ihre Anwendung wahrscheinlich betroffen. Dies wird als Anheften von Zertifikaten bezeichnet. Überprüfen Sie den Microsoft Tech Community-Artikel zu TLS-Änderungen in Azure Storage, um anhand weiterer Informationen zu ermitteln, ob Ihre Dienste betroffen waren, und wie die nächsten Schritte aussehen.

Im Anschluss finden Sie verschiedene Methoden, mit denen Sie ermitteln können, ob Ihre Anwendung betroffen war:

  • Suchen Sie in Ihrem Quellcode nach dem Fingerabdruck, nach dem allgemeinen Namen und nach anderen Zertifikateigenschaften der Microsoft IT TLS-Zertifizierungsstellen im Microsoft PKI-Repository. Wird ein entsprechender Wert gefunden, ist Ihre Anwendung betroffen. Aktualisieren Sie in diesem Fall den Quellcode mit den neuen Zertifizierungsstellen, um das Problem zu beheben. Es empfiehlt sich grundsätzlich, sicherzustellen, dass Zertifizierungsstellen kurzfristig hinzugefügt oder bearbeitet werden können. Zertifizierungsstellenzertifikate müssen aufgrund von Branchenbestimmungen innerhalb von sieben Tagen nach der Änderung ersetzt werden. Kunden, die das Anheften von Zertifikaten nutzen, müssen daher schnell reagieren.

  • Wenn Sie über eine Anwendung mit Azure-API- oder Azure-Dienstintegration verfügen und nicht sicher sind, ob sie das Anheften von Zertifikaten nutzt, wenden Sie sich den Hersteller der Anwendung.

  • Verschiedene Betriebssysteme und Sprachlaufzeiten, die mit Azure-Diensten kommunizieren, erfordern möglicherweise mehr Schritte, um die Zertifikatskette mit diesen neuen Wurzeln korrekt zu erstellen:

    • Linux: Bei vielen Distributionen müssen die Zertifizierungsstellen zu „/etc/ssl/certs“ hinzugefügt werden. Spezifische Anweisungen finden Sie in der Dokumentation der Distribution.
    • Java: Stellen Sie sicher, dass der Java-Schlüsselspeicher die oben aufgeführten Zertifizierungsstellen enthält.
    • Windows in nicht verbundenen Umgebungen: Für Systeme, die in nicht verbundenen Umgebungen ausgeführt werden, müssen die neuen Stammzertifizierungsstellen dem Speicher für vertrauenswürdige Stammzertifizierungsstellen und die Zwischenzertifizierungsstellen dem Speicher für Zwischenzertifizierungsstellen hinzugefügt werden.
    • Android: Überprüfen Sie die Dokumentation für Ihr Gerät und für Ihre Android-Version.
    • Andere Hardwaregeräte (insbesondere IoT): Wenden Sie sich an den Hersteller des Geräts.
  • Wenn Sie über eine Umgebung mit Firewallregeln verfügen, die dazu führen, dass ausgehende Aufrufe nur für bestimmte CRL-Download-Überprüfungsorte (Certificate Revocation List, Zertifikatsperrliste) und/oder OCSP-Überprüfungsorte (Online Certificate Status Protocol) zugelassen werden, müssen Sie die folgenden CRL- und OCSP-URLs zulassen: Eine vollständige Liste der in Azure verwendeten CRL- und OCSP-URLs finden Sie im Artikel mit Details zur Azure-Zertifizierungsstelle.

    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com

Nächste Schritte

Sollten Sie weitere Fragen haben, wenden Sie sich an den Support.