Office TLS 인증서 변경 내용
Microsoft 365는 다른 CA(루트 인증 기관)의 TLS 인증서를 사용하도록 메시징, 모임, 전화 통신, 음성 및 비디오를 구동하는 서비스를 업데이트하고 있습니다. 현재 루트 CA가 2025년 5월에 만료되기 때문에 이 변경이 수행되고 있습니다.
영향을 받는 제품은 다음과 같습니다.
- Microsoft Teams
- Skype
- 비즈니스용 Skype Online
- Microsoft Dynamics 365
- GroupMe
- Kaizala
- Azure Communication Services
영향을 받는 엔드포인트에는 다음이 포함됩니다(하지만 제한되지는 않음).
- *.teams.microsoft.com
- *.skype.com
- *.skypeforbusiness.com
- *.groupme.com
- *.communication.azure.com
- *.operatorconnect.microsoft.com
또한 Microsoft 365의 미국 정부 국가 클라우드 인스턴스에 있는 Teams 및 비즈니스용 Skype Online 엔드포인트도 동일한 변경을 수행하여 다음과 같은 엔드포인트에 영향을 줍니다.
- *.gcc.teams.microsoft.com
- *.dod.teams.microsoft.us
- *.gov.teams.microsoft.us
- *.online.dod.skypeforbusiness.us
- *.online.gov.skypeforbusiness.us
- *.um-dod.office365.us
- *.um.office365.us
이 변경 내용은 Microsoft 365의 중국 또는 독일 국가 클라우드 인스턴스에서 사용되는 인증서, 도메인 또는 서비스에 영향을 미치지 않습니다.
이 문서의 모든 인증서 정보는 이전에 Microsoft 365 암호화 체인 에서 2020년 10월까지 제공되었습니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
이 변경은 언제 발생합니까?
서비스는 2022년 1월에 새로운 루트 CA로 전환하기 시작했으며 2022년 10월까지 계속됩니다.
변경 내용
현재 Microsoft 365 서비스에서 사용하는 대부분의 TLS 인증서는 다음 루트 CA까지 연결됩니다.
| CA의 일반 이름 | 지문(SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
다음 중급 CA 중 하나를 사용하여 다음 중급 CA 중 하나를 선택합니다.
| CA의 일반 이름 | 지문(SHA1) |
|---|---|
| Microsoft RSA TLS CA 01 | 703d7a8f0ebf55aaa59f98eaf4a206004eb2516a |
| Microsoft RSA TLS CA 02 | b0c2d2d13cdd56cdaa6ab6e2c04440be4a429c75 |
이제 Microsoft 365 서비스에서 사용하는 새 TLS 인증서가 다음 루트 CA 중 하나로 연결됩니다.
| CA의 일반 이름 | 지문(SHA1) |
|---|---|
| DigiCert 글로벌 루트 G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Microsoft RSA 루트 인증 기관 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC 루트 인증 기관 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
다음 중급 CA 중 하나를 사용하여 다음 중급 CA 중 하나를 선택합니다.
| CA의 일반 이름 | 지문(SHA1) |
|---|---|
| Microsoft Azure TLS 발급 CA 01 | 2f2877c5d778c31e0f29c7e371df5471bd673173 |
| Microsoft Azure TLS 발급 CA 02 | e7eea674ca718e3befd90858e09f8372ad0ae2aa |
| Microsoft Azure TLS 발급 CA 05 | 6c3af02e7f269aa73afd0eff2a88a4a1f04ed1e5 |
| Microsoft Azure TLS 발급 CA 06 | 30e01761ab97e59a06b41ef20af6f2de7ef4f7b0 |
예를 들어 새 인증서 체인 중 하나가 있는 유효한 인증서입니다.
이 변경 내용이 영향을 주나요?
루트 CA "DigiCert 글로벌 루트 G2"는 Windows, macOS, Android 및 iOS를 비롯한 운영 체제와 Microsoft Edge, Chrome, Safari 및 Firefox와 같은 브라우저에서 널리 신뢰됩니다. 대부분의 Microsoft 365 고객은 영향을 받지 않을 것으로 예상합니다.
그러나 애플리케이션이 허용 가능한 CA 목록을 명시적으로 지정하는 경우 영향을 받을 수 있습니다. 이 방법을 "인증서 고정"으로 알려져 있습니다. 허용되는 CA 목록에 새 루트 CA가 없는 고객은 인증서 유효성 검사 오류를 받게 되며, 이는 애플리케이션의 가용성 또는 기능에 영향을 줄 수 있습니다.
애플리케이션이 영향을 받을 수 있는지 검색하는 몇 가지 방법은 다음과 같습니다.
소스 코드에서 지문, 일반 이름 또는 여기에 있는 중간 CA의 기타 속성을 검색 합니다. 일치하는 항목이 있으면 애플리케이션이 영향을 받게 됩니다. 이 문제를 resolve 소스 코드를 업데이트하여 새 CA의 속성을 추가합니다. 모범 사례로 짧은 시간에 CA를 추가하거나 편집할 수 있는지 확인합니다. 업계 규정에 따라 어떤 상황에서는 CA 인증서를 7일 이내에 교체해야 하므로 인증서 고정을 구현하는 애플리케이션은 이러한 변경에 신속하게 대응해야 합니다.
.NET은
System.Net.ServicePointManager.ServerCertificateValidationCallback및System.Net.HttpWebRequest.ServerCertificateValidationCallback콜백 함수를 노출합니다. 이를 통해 개발자는 사용자 지정 논리를 사용하여 표준 Windows 인증서 저장소에 의존하지 않고 인증서가 유효한지 확인할 수 있습니다. 개발자는 특정 일반 이름 또는 지문을 확인하거나 "Baltimore CyberTrust Root"와 같은 특정 루트 CA만 허용하는 논리를 추가할 수 있습니다. 애플리케이션에서 이러한 콜백 함수를 사용하는 경우 이전 및 새 루트 및 중간 CA를 모두 허용하는지 확인해야 합니다.네이티브 애플리케이션은 네이티브 애플리케이션이 사용자 지정 인증서 유효성 검사 논리를 구현할 수 있도록 하는 를 사용할
WINHTTP_CALLBACK_STATUS_SENDING_REQUEST수 있습니다. 이 알림을 사용하는 경우는 드물며 구현하려면 상당한 양의 사용자 지정 코드가 필요합니다. 위와 마찬가지로 애플리케이션이 이전 및 새 루트 및 중간 CA를 모두 허용하는지 확인합니다.Microsoft Teams, Skype, 비즈니스용 Skype Online 또는 Microsoft Dynamics API와 통합되는 애플리케이션을 사용하고 인증서 고정을 사용하는지 확실하지 않은 경우 애플리케이션 공급업체와 검사.
Azure 서비스와 통신하는 다양한 운영 체제 및 언어 런타임에는 새 인증서 체인을 올바르게 빌드하고 유효성을 검사하기 위한 다른 단계가 필요할 수 있습니다.
- Linux: 많은 배포에서는 에 CA를 추가해야 합니다
/etc/ssl/certs. 특정 지침은 배포 설명서를 참조하세요. - Java: Java 키 저장소에 위에 나열된 CA가 포함되어 있는지 확인합니다.
- 연결이 끊긴 환경에서 실행되는 Windows: 연결이 끊긴 환경에서 실행되는 시스템에는 저장소에 새 루트 CA가 추가
Trusted Root Certification Authorities되고 새 중간 CA가 해당 저장소에 추가되어야 합니다Intermediate Certification Authorities. - Android: 디바이스 및 Android 버전에 대한 설명서를 확인합니다.
- IoT 또는 임베디드 디바이스: TV 세트 상단 상자와 같은 포함된 디바이스는 제한된 루트 기관 인증서 세트와 함께 제공되는 경우가 많으며 인증서 저장소를 쉽게 업데이트할 수 없습니다. 사용자 지정 임베디드 또는 IoT 디바이스의 배포에 대한 코드를 작성하거나 관리하는 경우 디바이스가 새 루트 CA를 신뢰하는지 확인합니다. 디바이스 제조업체에 문의해야 할 수 있습니다.
- Linux: 많은 배포에서는 에 CA를 추가해야 합니다
방화벽 규칙이 특정 엔드포인트에 대한 아웃바운드 호출만 허용하는 환경이 있는 경우 다음 CRL(인증서 해지 목록) 또는 OCSP(온라인 인증서 상태 프로토콜) URL을 허용합니다.
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://crl.microsoft.comhttp://oneocsp.microsoft.comhttp://ocsp.msocsp.comhttp://www.microsoft.com/pkiops
이 변경의 영향을 받는 경우 실행 중인 환경의 유형과 영향을 받는 시나리오에 따라 달라진 오류 메시지가 표시될 수 있습니다. 다음과 같은 메시지가 있는지 Windows 애플리케이션 이벤트 로그, CAPI2 이벤트 로그 및 사용자 지정 애플리케이션 로그를 확인합니다.
An operation failed because the following certificate has validation errors: Subject Name: CN=teams.microsoft.com Issuer Name: CN=Microsoft Azure TLS Issuing CA 01, O=Microsoft Corporation, C=US Errors: The root of the certificate chain is not a trusted root authority.세션 테두리 컨트롤러를 사용하는 경우 Microsoft는 SBC 어플라이언스가 새 루트 CA에서 발급된 인증서를 신뢰하는지 확인하는 데 사용할 수 있는 테스트 엔드포인트를 준비했습니다. 이 엔드포인트는 음성 트래픽이 아닌 SIP 옵션 ping 메시지에만 사용해야 합니다.
Global FQDN: sip.mspki.pstnhub.microsoft.com Port: 5061정상적으로 작동하지 않는 경우 디바이스 제조업체에 문의하여 새 루트 CA를 지원할 수 있는 업데이트가 있는지 확인하세요.
이전 CA 정보는 언제 사용 중지할 수 있나요?
현재 루트 CA, 중간 CA 및 리프 인증서는 해지되지 않습니다. 기존 CA 일반 이름 및/또는 지문은 기존 인증서의 수명에 따라 2023년 10월까지 필요합니다.
알려진 문제
매우 드문 경우지만 엔터프라이즈 사용자는 루트 CA "DigiCert Global Root G2"가 해지된 것으로 표시되는 인증서 유효성 검사 오류를 볼 수 있습니다. 이는 다음 두 조건 모두에서 알려진 Windows 버그 때문입니다.
- 루트 CA는 CurrentUser\Root 인증서 저장소에 있으며 및
NotBeforeEKU속성이NotBeforeFileTime없습니다. - 루트 CA는 LocalMachine\AuthRoot 인증서 저장소에 있지만 및
NotBeforeEKU속성이NotBeforeFileTime모두 있습니다. - 루트 CA가 LocalMachine\Root 인증서 저장소에 없습니다.
이 루트 CA에서 발급된 모든 리프 인증서는 가 NotBeforeFileTime 해지된 것으로 나타납니다.
관리자는 CAPI2 로그에서 이 오류를 검사하여 문제를 식별하고 해결할 수 있습니다.
Log Name: Microsoft-Windows-CAPI2/Operational
Source: Microsoft-Windows-CAPI2
Date: 6/23/2022 8:36:39 AM
Event ID: 11
Task Category: Build Chain
Level: Error
[...]
<ChainElement>
<Certificate fileRef="DF3C24F9BFD666761B268073FE06D1CC8D4F82A4.cer" subjectName="DigiCert Global Root G2" />
[...]
<TrustStatus>
<ErrorStatus value="4000024" CERT_TRUST_IS_REVOKED="true" CERT_TRUST_IS_UNTRUSTED_ROOT="true" CERT_TRUST_IS_EXPLICIT_DISTRUST="true" />
<InfoStatus value="10C" CERT_TRUST_HAS_NAME_MATCH_ISSUER="true" CERT_TRUST_IS_SELF_SIGNED="true" CERT_TRUST_HAS_PREFERRED_ISSUER="true" />
</TrustStatus>
[...]
<RevocationInfo freshnessTime="PT0S">
<RevocationResult value="80092010">The certificate is revoked.</RevocationResult>
</RevocationInfo>
</ChainElement>
</CertificateChain>
<EventAuxInfo ProcessName="Teams.exe" />
<Result value="80092010">The certificate is revoked.</Result>
요소의 존재를 확인합니다 CERT_TRUST_IS_EXPLICIT_DISTRUST="true" .
다음 certutil 명령을 실행하고 출력을 비교하여 다른 NotBeforeFileTime 속성을 가진 루트 CA의 두 복사본이 있는지 확인할 수 있습니다.
certutil -store -v authroot DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
certutil -user -store -v root DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
사용자는 다음을 수행하여 인증서 저장소에서 CurrentUser\Root 루트 CA의 복사본을 삭제하여 문제를 resolve 수 있습니다.
certutil -user -delstore root DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
또는
reg delete HKCU\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates\DF3C24F9BFD666761B268073FE06D1CC8D4F82A4 /f
첫 번째 방법은 두 번째 방법이 아닌 동안 사용자가 클릭해야 하는 Windows 대화 상자를 만듭니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기