Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Azure erbjuder en omfattande hanterad TLS-lösning som är integrerad med flera Microsoft-tjänster. Den här funktionen omfattar hanterade TLS-servercertifikat för kundanpassade domäner som tillhandahålls av DigiCert.
Som ett resultat av nya branschefterlevnadsstandarder, säkerhetskrav och ändringar i PKI-livscykeln kommer det här erbjudandet att genomgå flera viktiga uppdateringar under 2025 och 2026 som påverkar kunder som använder den här funktionen.
PKI-uppdateringar
Från och med slutet av 2025 började Azure uppdatera sin hanterade TLS-lösning för att uppfylla kommande webbläsarkrav. Dessa ändringar påverkar alla hanterade TLS-certifikat som utfärdats för följande Azure-tjänster:
- Azure Front Door (AFD) och CDN Classic
- Azure Front Door Standard/Premium SKU
- Azure API Management
- Azure App Service
- Azure Container-applikationer
- Azure Static Web Apps (statiska webbappar)
Viktiga ändringar
Den här uppdateringen innehåller två viktiga ändringar:
Nya rotcertifikatutfärdare och underordnade certifikatutfärdare:
- Alla hanterade TLS-certifikat migreras från certifikatutfärdare (CA) under DigiCert Global Root CA till certifikatutfärdare under DigiCert Global Root G2 och DigiCert Global Root G3. Den här övergången säkerställer kompatibilitet med webbläsarens krav på betrodda rotprogram.
Borttagning av klientautentisering EKU
- Dessa nya certifikatutfärdare stöder inte klientautentisering i enlighet med kraven för webbläsarens betrodda rotprogram. Alla hanterade TLS-certifikat under de nya certifikatutfärdarna inkluderar endast EKU (Extended Key Usage) för serverautentisering.
Potentiell kundpåverkan
För att förbereda för ändringen är det viktigt att veta hur ändringarna kan påverka kunderna.
Fäst certifikat
- Om du fäster certifikat eller offentliga nycklar måste du uppdatera dina pin-uppsättningar så att de innehåller nya rötter och mellanliggande.
- Statiskt fästande avråds starkt på grund av operativ risk.
Klientautentisering
- Om ditt program förlitar sig på EKU:n för klientautentisering i offentliga certifikat måste du uppdatera konfigurationen så att den använder certifikat från andra certifikatutfärdare.
- Hanterade TLS-certifikat stöder endast EKU för serverautentisering.
Domänverifiering
Från och med slutet av 2025 övergår DigiCert till en ny domänkontrollverifieringsplattform med öppen källkod (OSS) som är utformad för att öka transparensen och ansvarsskyldigheten i domänvalideringsprocesser. DigiCert stöder inte längre det äldre DCV-arbetsflödet för CNAME-delegering för validering av domänkontroll i de angivna Azure-tjänsterna.
Därför kommer dessa Azure-tjänster att införa en förbättrad valideringsprocess för domänkontroll, som syftar till att avsevärt påskynda domänvalidering och åtgärda viktiga säkerhetsrisker i användarupplevelsen.
Den här ändringen påverkar inte CNAME DCV-standardprocessen för DigiCert-kunder, där valideringen använder ett slumpmässigt värde i CNAME-posten. Endast det här arbetsflödet för validering som tidigare användes av Microsoft dras tillbaka.
Varning
Kunder som inte har uppdaterat sina konfigurationer för att följa de hanterade TLS-ändringarna får ett tjänststopp om de inte uppdaterar konfigurationen.
- Ett avbrott kommer garanterat att inträffa när det aktuella certifikatet upphör att gälla.
- Ett avbrott kan inträffa om certifikatet återkallas.
I händelse av en återkallelse måste certifikat återkallas inom 24 timmar, enligt CA/Browser Forumets baslinjekrav, vilket ger mycket lite tid att svara. Kunderna bör snabbt uppdatera sina konfigurationer för att undvika störningar.
Vanliga frågor
F: Har stöd för anpassade domäner dragits tillbaka?
Nej. Funktionen stöds mycket och får i själva verket flera viktiga uppdateringar som förbättrar den övergripande användarupplevelsen.
Anmärkning
AFD Classic och CDN Classic SKU:er, som är på väg att fasas ut, upphör med stöd för att lägga till nya anpassade domäner. Mer information finns i Azure Front Door (klassisk) och Azure CDN från Microsoft Classic SKU som avslutar CNAME-baserad domänverifiering och nya domän-/profilskapanden senast den 15 augusti 2025. Kunder rekommenderas att använda hanterade TLS-certifikat med AFD Standard- och Premium-SKU:er för nya anpassade domäner.
F: Vad är validering av domänkontroll?
Domänkontrollverifiering (DCV) är en kritisk process som används för att verifiera att en entitet som begär ett TLS/SSL-certifikat har legitim kontroll över de domäner som anges i certifikatet.
F: Tar DigiCert CNAME-domänkontrollvalidering ur bruk?
Nej. Endast den här specifika CNAME-valideringsmetoden som är unik för Azure-tjänster dras tillbaka. CNAME DCV-metoden som används av DigiCert-kunder, till exempel den som beskrivs för DigiCert OV/EV-certifikat och DV-certifikat påverkas inte.
Endast Azure påverkas av den här ändringen.
F: Varför migrerar Microsoft till DigiCert Global Root G2 och G3 root?
Den här ändringen överensstämmer med branschstandarder och kommande webbläsarkrav. Den 15 april 2026 kommer Mozilla och Chrome att misstro DigiCert Global Root CA. För att upprätthålla förtroendet flyttas alla hanterade TLS-certifikat till DigiCert Global Root G2 och DigiCert Global Root G3 före detta datum. Mer information finns i DigiCert-rot- och mellanliggande CA-certifikatuppdateringar 2023.
F: Varför tas EKU:n för klientautentisering bort?
Detta är en branschomfattande förändring som drivs av Chrome Trusted Root Program. Chrome begränsar TLS-certifikat till serverautentisering för att förbättra säkerhet och efterlevnad. För mer information, se Avsluta klientautentisering EKU från DigiCert offentliga TLS-certifikat.