Udostępnij za pośrednictwem


Zmiany certyfikatu TLS platformy Azure

Ważne

Ten artykuł został opublikowany jednocześnie ze zmianą certyfikatu TLS i nie jest aktualizowany. Aby uzyskać aktualne informacje o urzędach certyfikacji, zobacz Szczegóły urzędu certyfikacji platformy Azure.

Firma Microsoft używa certyfikatów TLS z zestawu głównych urzędów certyfikacji, które są zgodne z wymaganiami punktu odniesienia dla forum ca/przeglądarki. Wszystkie punkty końcowe protokołu TLS/SSL platformy Azure zawierają certyfikaty łańcuchowe do głównych urzędów certyfikacji podanych w tym artykule. Zmiany w punktach końcowych platformy Azure zaczęły przechodzić w sierpniu 2020 r., a niektóre usługi kończą aktualizacje w 2022 roku. Wszystkie nowo utworzone punkty końcowe protokołu TLS/SSL platformy Azure zawierają zaktualizowane certyfikaty w łańcuchu do nowych głównych urzędów certyfikacji.

Ta zmiana dotyczy wszystkich usług platformy Azure. Poniżej wymieniono szczegóły niektórych usług:

Co się zmieniło?

Przed zmianą większość certyfikatów TLS używanych przez usługi platformy Azure w łańcuchu do następującego głównego urzędu certyfikacji:

Nazwa pospolita urzędu certyfikacji Odcisk palca (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

Po zmianie certyfikaty TLS używane przez usługi platformy Azure będą w łańcuchu do jednego z następujących głównych urzędów certyfikacji:

Nazwa pospolita urzędu certyfikacji Odcisk palca (SHA1)
Globalny katalog główny G2 firmy DigiCert df3c24f9bfd666761b268073fe06d1cc8d4f82a4
Globalny urząd certyfikacji firmy DigiCert a8985d3a65e5e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
Klasa główna D-TRUST 3 CA 2 2009 58e8abb036153fb80f79b1b6d29d3ff8d5f00f0
Główny urząd certyfikacji MICROSOFT RSA 2017 73a5e64a3bff8316ff0edccc618a906e4eee4d74
Główny urząd certyfikacji usługi Microsoft ECC 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

Czy moja aplikacja miała wpływ?

Jeśli aplikacja jawnie określa listę akceptowalnych urzędów certyfikacji, prawdopodobnie miała to wpływ na twoją aplikację. Ta praktyka jest znana jako przypinanie certyfikatu. Zapoznaj się z artykułem Microsoft Tech Community dotyczącym zmian protokołu TLS usługi Azure Storage, aby uzyskać więcej informacji na temat sposobu określania, czy twoje usługi miały wpływ na twoje usługi i następne kroki.

Poniżej przedstawiono kilka sposobów wykrywania, czy aplikacja miała wpływ na:

  • Wyszukaj kod źródłowy pod kątem odcisku palca, nazwy pospolitej i innych właściwości certyfikatów dowolnego z urzędów certyfikacji PROTOKOŁU TLS IT firmy Microsoft w repozytorium infrastruktury kluczy publicznych firmy Microsoft. Jeśli wystąpi dopasowanie, będzie to miało wpływ na aplikację. Aby rozwiązać ten problem, zaktualizuj kod źródłowy, dołączaj nowe urzędy certyfikacji. Najlepszym rozwiązaniem jest zapewnienie, że urzędy certyfikacji można dodawać lub edytować w krótkim czasie. Przepisy branżowe wymagają, aby certyfikaty urzędu certyfikacji zostały zastąpione w ciągu siedmiu dni od zmiany, dlatego klienci korzystający z przypinania muszą szybko reagować.

  • Jeśli masz aplikację integrającą się z interfejsami API platformy Azure lub innymi usługami platformy Azure i nie masz pewności, czy używa przypinania certyfikatu, zapoznaj się z dostawcą aplikacji.

  • Różne systemy operacyjne i środowiska uruchomieniowe języka komunikujące się z usługami platformy Azure mogą wymagać więcej kroków w celu poprawnego skompilowania łańcucha certyfikatów z następującymi nowymi katalogami głównymi:

    • Linux: wiele dystrybucji wymaga dodania urzędów certyfikacji do /etc/ssl/certs. Aby uzyskać szczegółowe instrukcje, zapoznaj się z dokumentacją dystrybucji.
    • Java: upewnij się, że magazyn kluczy Java zawiera urzędy certyfikacji wymienione powyżej.
    • System Windows uruchomiony w środowiskach bez połączenia: systemy uruchomione w środowiskach odłączonych będą musiały mieć nowe katalogi główne dodane do magazynu zaufanych głównych urzędów certyfikacji, a pośrednicy dodani do magazynu pośrednich urzędów certyfikacji.
    • Android: zapoznaj się z dokumentacją urządzenia i wersji systemu Android.
    • Inne urządzenia sprzętowe, zwłaszcza IoT: skontaktuj się z producentem urządzenia.
  • Jeśli masz środowisko, w którym reguły zapory są ustawione tak, aby zezwalały na połączenia wychodzące tylko do pobierania określonych list odwołania certyfikatów (CRL) i/lub lokalizacji weryfikacji protokołu OCSP (Online Certificate Status Protocol), należy zezwolić na następujące adresy URL listy CRL i OCSP. Aby uzyskać pełną listę adresów URL listy CRL i OCSP używanych na platformie Azure, zobacz artykuł Szczegóły urzędu certyfikacji platformy Azure.

    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com

Następne kroki

Jeśli masz pytania, skontaktuj się z nami za pośrednictwem pomocy technicznej.