Azure 証明機関の詳細
この記事では、Azure で使用されるルートと下位の証明機関 (CA) の詳細について説明します。 スコープには、政府と国のクラウドが含まれます。 公開キーの暗号化と署名アルゴリズムの最小要件、証明書のダウンロードと失効リストへのリンク、キーの概念に関する情報は、下記の CA 詳細の表に示されています。 ファイアウォール許可リストに追加する必要がある URI のホスト名も示されています。
証明機関の詳細
TLS/SSL プロトコル経由で Microsoft Entra の ID サービスにアクセスしようとしたエンティティには、この記事に示す CA からの証明書が表示されます。 サービスによって、使用されるルート CA または中間 CA が異なる場合があります。 次のルート CA と下位 CA は、証明書のピン留めを使用するエンティティに関連しています。
証明書詳細の読み取り方は次のとおりです。
- シリアル番号 (表内の上の文字列) には、証明書シリアル番号の 16 進値が含まれています。
- サムプリント (表内の下の文字列) は SHA1 サムプリントです。
- 斜体で示されている CA は、最近追加された CA です。
ルート証明機関
| 証明機関 | シリアル番号/ Thumbprint |
|---|---|
| Baltimore CyberTrust Root | 0x20000b9 D4DE20D05E66FC53FE1A50882C78DB2852CAE474 |
| DigiCert Global Root CA | 0x083be056904246b1a1756ac95991c74a A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436 |
| DigiCert Global Root G2 | 0x033af1e6a711a9a0bb2864b11d09fae5 DF3C24F9BFD666761B268073FE06D1CC8D4F82A4 |
| DigiCert Global Root G3 | 0x055556bcf25ea43535c3a40fd5ab4572 7E04DE896A3E666D00E687D33FFAD93BE83D349E |
| Microsoft ECC Root Certificate Authority 2017 | 0x66f23daf87de8bb14aea0c573101c2ec 999A64C37FF47D9FAB95F14769891460EEC4C3C5 |
| Microsoft RSA Root Certificate Authority 2017 | 0x1ed397095fd8b4b347701eaabe7f45b3 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
下位証明機関
| 証明機関 | シリアル番号 Thumbprint |
|---|---|
| DigiCert Basic RSA CN CA G2 | 0x02f7e1f982bad009aff47dc95741b2f6 4D1FA5D1FB1AC3917C08E43F65015E6AEA571179 |
| DigiCert Cloud Services CA-1 | 0x019ec1c6bd3f597bb20c3338e551d877 81B68D6CD2F221F8F534E677523BB236BBA1DC56 |
| DigiCert SHA2 Secure Server CA | 0x02742eaa17ca8e21c717bb1ffcfd0ca0 626D44E704D1CEABE3BF0D53397464AC8080142C |
| DigiCert TLS Hybrid ECC SHA384 2020 CA1 | 0x0a275fe704d6eecb23d5cd5b4b1a4e04 51E39A8BDB08878C52D6186588A0FA266A69CF28 |
| DigiCert TLS RSA SHA256 2020 CA1 | 0x06d8d904d5584346f68a2fa754227ec4 1C58A3A8518E8759BF075B76B750D4F2DF264FCD |
| GeoTrust Global TLS RSA4096 SHA256 2022 CA1 | 0x0f622f6f21c2ff5d521f723a1d47d62d 7E6DB7B7584D8CF2003E0931E6CFC41A3A62D3DF |
| Microsoft Azure ECC TLS 発行元 CA 01 | 0x09dc42a5f574ff3a389ee06d5d4de440 92503D0D74A7D3708197B6EE13082D52117A6AB0 |
| Microsoft Azure ECC TLS 発行元 CA 01 | 0x330000001aa9564f44321c54b900000000001a CDA57423EC5E7192901CA1BF6169DBE48E8D1268 |
| Microsoft Azure ECC TLS 発行元 CA 02 | 0x0e8dbe5ea610e6cbb569c736f6d7004b 1E981CCDDC69102A45C6693EE84389C3CF2329F1 |
| Microsoft Azure ECC TLS 発行元 CA 02 | 0x330000001b498d6736ed5612c200000000001b 489FF5765030EB28342477693EB183A4DED4D2A6 |
| Microsoft Azure ECC TLS 発行元 CA 03 | 0x01529ee8368f0b5d72ba433e2d8ea62d 56D955C849887874AA1767810366D90ADF6C8536 |
| Microsoft Azure ECC TLS 発行元 CA 03 | 0x330000003322a2579b5e698bcc000000000033 91503BE7BF74E2A10AA078B48B71C3477175FEC3 |
| Microsoft Azure ECC TLS 発行元 CA 04 | 0x02393d48d702425a7cb41c000b0ed7ca FB73FDC24F06998E070A06B6AFC78FDF2A155B25 |
| Microsoft Azure ECC TLS 発行元 CA 04 | 0x33000000322164aedab61f509d000000000032 406E3B38EFF35A727F276FE993590B70F8224AED |
| Microsoft Azure ECC TLS 発行元 CA 05 | 0x0ce59c30fd7a83532e2d0146b332f965 C6363570AF8303CDF31C1D5AD81E19DBFE172531 |
| Microsoft Azure ECC TLS 発行元 CA 05 | 0x330000001cc0d2a3cd78cf2c1000000000001c 4C15BC8D7AA5089A84F2AC4750F040D064040CD4 |
| Microsoft Azure ECC TLS 発行元 CA 06 | 0x066e79cd7624c63130c77abeb6a8bb94 7365ADAEDFEA4909C1BAADBAB68719AD0C381163 |
| Microsoft Azure ECC TLS 発行元 CA 06 | 0x330000001d0913c309da3f05a600000000001d DFEB65E575D03D0CC59FD60066C6D39421E65483 |
| Microsoft Azure ECC TLS 発行元 CA 07 | 0x0f1f157582cdcd33734bdc5fcd941a33 3BE6CA5856E3B9709056DA51F32CBC8970A83E28 |
| Microsoft Azure ECC TLS 発行元 CA 07 | 0x3300000034c732435db22a0a2b000000000034 AB3490B7E37B3A8A1E715036522AB42652C3CFFE |
| Microsoft Azure ECC TLS 発行元 CA 08 | 0x0ef2e5d83681520255e92c608fbc2ff4 716DF84638AC8E6EEBE64416C8DD38C2A25F6630 |
| Microsoft Azure ECC TLS 発行元 CA 08 | 0x3300000031526979844798bbb8000000000031 CF33D5A1C2F0355B207FCE940026E6C1580067FD |
| Microsoft Azure RSA TLS 発行元 CA 03 | 0x05196526449a5e3d1a38748f5dcfebcc F9388EA2C9B7D632B66A2B0B406DF1D37D3901F6 |
| Microsoft Azure RSA TLS 発行元 CA 03 | 0x330000003968ea517d8a7e30ce000000000039 37461AACFA5970F7F2D2BAC5A659B53B72541C68 |
| Microsoft Azure RSA TLS 発行元 CA 04 | 0x09f96ec295555f24749eaf1e5dced49d BE68D0ADAA2345B48E507320B695D386080E5B25 |
| Microsoft Azure RSA TLS 発行元 CA 04 | 0x330000003cd7cb44ee579961d000000000003c 7304022CA8A9FF7E3E0C1242E0110E643822C45E |
| Microsoft Azure RSA TLS 発行元 CA 07 | 0x0a43a9509b01352f899579ec7208ba50 3382517058A0C20228D598EE7501B61256A76442 |
| Microsoft Azure RSA TLS 発行元 CA 07 | 0x330000003bf980b0c83783431700000000003b 0E5F41B697DAADD808BF55AD080350A2A5DFCA93 |
| Microsoft Azure RSA TLS 発行元 CA 08 | 0x0efb7e547edf0ff1069aee57696d7ba0 31600991ED5FEC63D355A5484A6DCC787EAD89BC |
| Microsoft Azure RSA TLS 発行元 CA 08 | 0x330000003a5dc2ffc321c16d9b00000000003a 512C8F3FB71EDACF7ADA490402E710B10C73026E |
| Microsoft Azure TLS 発行元 CA 01 | 0x0aafa6c5ca63c45141ea3be1f7c75317 2F2877C5D778C31E0F29C7E371DF5471BD673173 |
| Microsoft Azure TLS 発行元 CA 01 | 0x1dbe9496f3db8b8de700000000001d B9ED88EB05C15C79639493016200FDAB08137AF3 |
| Microsoft Azure TLS 発行元 CA 02 | 0x0c6ae97cced599838690a00a9ea53214 E7EEA674CA718E3BEFD90858E09F8372AD0AE2AA |
| Microsoft Azure TLS 発行元 CA 02 | 0x330000001ec6749f058517b4d000000000001e C5FB956A0E7672E9857B402008E7CCAD031F9B08 |
| Microsoft Azure TLS 発行元 CA 05 | 0x0d7bede97d8209967a52631b8bdd18bd 6C3AF02E7F269AA73AFD0EFF2A88A4A1F04ED1E5 |
| Microsoft Azure TLS 発行元 CA 05 | 0x330000001f9f1fa2043bc28db900000000001f 56F1CA470BB94E274B516A330494C792C419CF87 |
| Microsoft Azure TLS 発行元 CA 06 | 0x02e79171fb8021e93fe2d983834c50c0 30E01761AB97E59A06B41EF20AF6F2DE7EF4F7B0 |
| Microsoft Azure TLS 発行元 CA 06 | 0x3300000020a2f1491a37fbd31f000000000020 8F1FD57F27C828D7BE29743B4D02CD7E6E5F43E6 |
| Microsoft ECC TLS Issuing AOC CA 01 | 0x33000000282bfd23e7d1add707000000000028 30ab5c33eb4b77d4cbff00a11ee0a7507d9dd316 |
| Microsoft ECC TLS Issuing AOC CA 02 | 0x33000000290f8a6222ef6a5695000000000029 3709cd92105d074349d00ea8327f7d5303d729c8 |
| Microsoft ECC TLS Issuing EOC CA 01 | 0x330000002a2d006485fdacbfeb00000000002a 5fa13b879b2ad1b12e69d476e6cad90d01013b46 |
| Microsoft ECC TLS Issuing EOC CA 02 | 0x330000002be6902838672b667900000000002b 58a1d8b1056571d32be6a7c77ed27f73081d6e7a |
| Microsoft RSA TLS CA 01 | 0x0f14965f202069994fd5c7ac788941e2 703D7A8F0EBF55AAA59F98EAF4A206004EB2516A |
| Microsoft RSA TLS CA 02 | 0x0fa74722c53d88c80f589efb1f9d4a3a B0C2D2D13CDD56CDAA6AB6E2C04440BE4A429C75 |
| Microsoft RSA TLS Issuing AOC CA 01 | 0x330000002ffaf06f6697e2469c00000000002f 4697fdbed95739b457b347056f8f16a975baf8ee |
| Microsoft RSA TLS Issuing AOC CA 02 | 0x3300000030c756cc88f5c1e7eb000000000030 90ed2e9cb40d0cb49a20651033086b1ea2f76e0e |
| Microsoft RSA TLS Issuing EOC CA 01 | 0x33000000310c4914b18c8f339a000000000031 a04d3750debfccf1259d553dbec33162c6b42737 |
| Microsoft RSA TLS Issuing EOC CA 02 | 0x3300000032444d7521341496a9000000000032 697c6404399cc4e7bb3c0d4a8328b71dd3205563 |
パブリック PKI のクライアント互換性
Azure で使用される CA は、次の OS バージョンと互換性があります。
| Windows | Firefox | iOS | macOS | Android | Java |
|---|---|---|---|---|---|
| Windows XP SP3 以降 | Firefox 32 以降 | iOS 7 以降 | OS X Mavericks (10.9) 以降 | Android SDK 5.x 以降 | Java JRE 1.8.0_101 以降 |
CA の有効期限が切れた場合や変更された場合は、次のアクション手順を確認してください。
- 必要な OS のサポートされているバージョンに更新します。
- OS のバージョンを変更できない場合は、信頼されたルート ストアを手動で更新して新しい CA を含める必要があることがあります。 製造元が提供するドキュメントを参照してください。
- 信頼されたルート ストアの無効化や切断された環境での Windows クライアントの実行がシナリオに含まれている場合は、すべてのルート CA が信頼されたルート CA ストアに含まれており、この記事に記載されているすべてのサブ CA が中間 CA ストアに含まれていることを確認します。
- Linux の多くのディストリビューションでは、CA を /etc/ssl/certs に追加する必要があります。 ディストリビューションのドキュメントを参照してください。
- Java キー ストアにこの記事に記載されている CA が含まれていることを確認します。 詳細については、この記事の「Java アプリケーション」セクションを参照してください。
- 受け入れ可能な CA の一覧をアプリケーションで明示的に指定している場合は、CA が変更されるか、期限切れになるときに、ピン留めされた証明書を更新する必要があるかどうかを確認します。 詳細については、証明書のピン留めに関する記事を参照してください。
公開キーの暗号化と署名アルゴリズム
次のアルゴリズム、楕円曲線、キー サイズのサポートが必要です。
署名アルゴリズム:
- ES256
- ES384
- ES512
- RS256
- RS384
- RS512
楕円曲線:
- P256
- P384
- P521
キー サイズ:
- ECDSA 256
- ECDSA 384
- ECDSA 521
- RSA 2048
- RSA 3072
- RSA 4096
証明書のダウンロードと失効リスト
接続を最適化するには、ファイアウォール許可リストに次のドメインを含める必要がある場合があります。
AIA:
cacerts.digicert.comcacerts.digicert.cncacerts.geotrust.comwww.microsoft.com
CRL:
crl.microsoft.comcrl3.digicert.comcrl4.digicert.comcrl.digicert.cncdp.geotrust.commscrl.microsoft.comwww.microsoft.com
OCSP:
ocsp.msocsp.comocsp.digicert.comocsp.digicert.cnoneocsp.microsoft.comstatus.geotrust.com
証明書のピン留め
証明書のピン留めは、セキュリティで保護されたセッションを確立するときに、認可または "ピン留め" された証明書のみが受け入れられるセキュリティ手法です。 別の証明書を使用してセキュリティで保護されたセッションを確立しようとすると、拒否されます。 証明書のピン留めの歴史と意味合いについて確認してください。
証明書のピン留めに対処する方法
受け入れ可能な CA の一覧がアプリケーションで明示的に指定されている場合は、証明機関が変更されるか、期限切れになるときに、ピン留めされた証明書を定期的に更新することが必要になる場合があります。
証明書のピン留めを検出するには、次の手順を実行することをお勧めします。
- アプリケーション開発者の場合は、証明書のサムプリント、サブジェクト識別名、共通名、シリアル番号、公開キー、およびこの変更に関係するサブ CA のその他の証明書プロパティへの参照をソース コードで検索します。
- 一致がある場合は、不足している CA を含むようにアプリケーションを更新します。
- Azure API または他の Azure サービスと統合されているアプリケーションがあり、証明書のピン留めが使用されているかどうかが不明な場合は、アプリケーション ベンダーに確認してください。
Java アプリケーション
Microsoft ECC Root Certificate Authority 2017 と Microsoft RSA Root Certificate Authority 2017 のルート証明書が Java アプリケーションによって信頼されているかどうかを確認するには、Java 仮想マシン (JVM) で使用される信頼されたルート証明書の一覧を確認します。
システム上でターミナル ウィンドウを開きます。
次のコマンドを実行します。
keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts$JAVA_HOMEは、Java ホーム ディレクトリへのパスを意味します。- パスがわからない場合は、次のコマンドを実行して見つけることができます。
readlink -f $(which java) | xargs dirname | xargs dirname出力で Microsoft RSA Root Certificate Authority 2017 を探します。 次のように表示されます。
- Microsoft ECC Root Certificate Authority 2017 と Microsoft RSA Root Certificate Authority 2017 のルート証明書が信頼されている場合は、JVM で使用される信頼されたルート証明書の一覧に表示されます。
- 一覧にない場合は、追加する必要があります。
- 出力は次の例のようになります。
... Microsoft ECC Root Certificate Authority 2017, 20-Aug-2022, Root CA, Microsoft RSA Root Certificate Authority 2017, 20-Aug-2022, Root CA, ...Java の信頼されたルート証明書ストアにルート証明書を追加するには、
keytoolユーティリティを使用できます。 次の例では、Microsoft RSA Root Certificate Authority 2017 ルート証明書を追加しています。keytool -import -file microsoft-ecc-root-ca.crt -alias microsoft-rsa-root-ca -keystore $JAVA_HOME/jre/lib/security/cacerts keytool -import -file microsoft-rsa-root-ca.crt -alias microsoft-rsa-root-ca -keystore $JAVA_HOME/jre/lib/security/cacerts注意
この例では、
microsoft-ecc-root-ca.crtとmicrosoft-rsa-root-ca.crtは、それぞれ Microsoft ECC Root Certificate Authority 2017 と Microsoft RSA Root Certificate Authority 2017 のルート証明書を含むファイルの名前です。
過去の変更点
CA/Browser フォーラムで、パブリックに信頼されたすべての公開キー基盤 (PKI) を必要とするベースライン要件が更新され、2022 年 5 月 31 日にオンライン証明書標準プロトコル (OCSP) に対する SHA-1 ハッシュ アルゴリズムの使用が終了しました。 Microsoft は、SHA-256 ハッシュ アルゴリズムを使用するように、SHA-1 ハッシュ アルゴリズムを使用した残りのすべての OCSP レスポンダーを更新しました。 詳細については、SHA-1 OCSP 署名の終了に関する記事を参照してください。
Microsoft は、2021 年 2 月 15 日に別のルート証明機関 (CA) の TLS 証明書を使用するように Azure サービスを更新し、CA/Browser フォーラムでのベースライン要件によって設定された変更に準拠しました。 一部のサービスでは、2022 年にこれらの更新を完了しました。 詳細については、「Azure TLS 証明書の変更」を参照してください。
記事の変更履歴
- 2023 年 7 月 17 日: 16 の新しい下位証明機関を追加
- 2023 年 2 月 7 日: 8 つの新しい下位証明機関を追加
次のステップ
次のリンクから証明機関と PKI について詳しく学びます。