다음을 통해 공유


Azure TLS 인증서 변경

Important

이 문서는 TLS 인증서 변경과 동시에 게시되었으며 업데이트되지 않습니다. CA에 대한 최신 정보는 Azure 인증 기관 세부 정보를 참조하세요.

Microsoft는 CA/브라우저 포럼 기준 요구 사항을 준수하는 루트 CA(인증 기관) 집합의 TLS 인증서를 사용합니다. 모든 Azure TLS/SSL 엔드포인트에는 이 문서에 제공된 루트 CA까지 연결되는 인증서 체인을 포함합니다. Azure 엔드포인트에 대한 변경 내용은 2020년 8월에 전환되기 시작했으며 일부 서비스는 2022년에 업데이트를 완료할 예정입니다. 새로 만든 모든 Azure TLS/SSL 엔드포인트에는 새로운 루트 CA에 연결하는 업데이트된 인증서가 포함되어 있습니다.

모든 Azure 서비스는 해당 변경의 영향을 받습니다. 일부 서비스에 대한 세부 정보는 다음과 같습니다.

변경 내용

변경 전에 Azure 서비스에서 사용하는 대부분의 TLS 인증서는 다음과 같은 루트 CA에 연결되어 있습니다.

CA의 일반 이름 지문(SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

변경 후에 Azure 서비스에서 사용하는 TLS 인증서는 다음과 같은 루트 CA 중 하나에 연결됩니다.

CA의 일반 이름 지문(SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

내 애플리케이션에 영향을 주었나요?

애플리케이션이 허용 가능한 CA 목록을 명시적으로 지정하는 경우 애플리케이션에 영향을 미칠 수 있습니다. 이 방법을 인증서 고정이라고 합니다. 서비스에 영향을 미쳤는지 확인하는 방법과 다음 단계에 대한 자세한 내용은 Azure Storage TLS 변경 내용에 대한 Microsoft 기술 Community 문서를 검토하세요.

다음과 같은 방법으로 애플리케이션이 영향을 받는지 알아볼 수 있습니다.

  • Microsoft PKI 리포지토리에 있는 Microsoft IT TLS CA의 지문, 일반 이름 및 기타 인증서 속성을 소스 코드에서 검색합니다. 일치하는 항목이 있으면 애플리케이션이 영향을 받습니다. 이 문제를 해결하려면 새 CA를 포함하도록 소스 코드를 업데이트합니다. 모범 사례에 따라 긴급하게 CA를 추가 또는 편집할 수 있어야 합니다. 업계 규정을 준수하려면 CA 인증서를 변경하고 7일 이내에 바꿔야 하므로, 고정 방식을 사용하는 고객은 신속하게 대응해야 합니다.

  • Azure API 또는 다른 Azure 서비스와 통합되는 애플리케이션이 있고 해당 애플리케이션이 인증서 고정을 사용하는지 확실하지 않은 경우 애플리케이션 공급업체에 확인하세요.

  • Azure 서비스와 통신하는 여러 운영 체제 및 언어 런타임은 다음과 같은 새 루트를 사용하여 인증서 체인을 올바르게 빌드하는 추가 단계가 필요할 수 있습니다.

    • Linux: 많은 배포판에서는 /etc/ssl/certs에 CA를 추가해야 합니다. 자세한 지침은 해당 배포판의 설명서를 참조하세요.
    • Java: 위에 나열된 CA가 Java 키 저장소에 들어 있어야 합니다.
    • 연결이 끊어진 환경에서 실행되는 Windows: 연결이 끊어진 환경에서 실행되는 시스템은 신뢰할 수 있는 루트 인증 기관 저장소에 새 루트를 추가하고, 중간 인증서를 중간 인증 기관 저장소에 추가해야 합니다.
    • Android: 디바이스와 Android 버전에 대한 설명서를 확인합니다.
    • 기타 하드웨어 디바이스, 특히 IoT: 디바이스 제조업체에 문의하세요.
  • 특정 CRL(인증서 해지 목록) 다운로드 및/또는 OCSP(온라인 인증서 상태 프로토콜) 확인 위치에 대한 아웃바운드 호출만 허용하도록 방화벽 규칙이 설정된 환경의 경우 다음 CRL 및 OCSP URL을 허용해야 합니다. Azure에서 사용되는 CRL 및 OCSP URL의 전체 목록은 Azure CA 세부 정보 문서를 참조하세요.

    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com

다음 단계

질문이 있는 경우 지원을 통해 문의합니다.