通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

托管 TLS 功能的变更

Microsoft Azure 提供了与多个Microsoft服务集成的综合性托管 TLS 解决方案。 此功能包括由 DigiCert 提供的、用于客户自定义域名的托管 TLS 服务器证书。

由于行业合规性标准、安全要求和 PKI 生命周期的不断变化,此产品/服务将在 2025 年和 2026 年进行多项重大更新,这将影响客户使用此功能。

PKI 更新

从 2025 年底开始,Azure 开始更新其托管 TLS 解决方案,以满足即将推出的浏览器要求。 这些更改会影响为以下 Azure 服务颁发的所有托管 TLS 证书:

  • Azure Front Door (AFD) 和 CDN 经典版
  • Azure Front Door 标准版/高级版 SKU
  • Azure API 管理
  • Azure App 服务
  • Azure 容器应用
  • Azure Static Web Apps

重要更改

此更新包括两项关键更改:

  • 新的根证书颁发机构和从属证书颁发机构(CA)

    • 所有托管 TLS 证书都将从 DigiCert 全局根 CA 下的证书颁发机构(CA)迁移到 DigiCert 全局根 G2DigiCert 全局根 G3 下的 CA。 此转换可确保符合浏览器受信任的根程序要求。

  • 删除客户端身份验证 EKU

    • 这些新的 CA 将不支持根据浏览器受信任的根程序要求进行客户端身份验证。 新 CA 下的所有托管 TLS 证书将仅包括服务器身份验证扩展密钥用法(EKU)。

潜在客户影响

若要为更改做好准备,请务必了解这些更改如何影响客户。

  • 证书锁定

    • 如果你固定了证书或公钥,则必须更新你的固定集,使其包含新的根证书和中间证书。
    • 由于操作风险,强烈不建议静态固定。

  • 客户端身份验证

    • 如果应用程序依赖于公共证书中的客户端身份验证 EKU,则必须更新配置以使用来自其他 CA 的证书。
    • 托管 TLS 证书仅支持服务器身份验证 EKU。

域验证

从 2025 年底开始,DigiCert 正在过渡到新的开源软件(OSS)域控制验证(DCV)平台,旨在增强域验证过程中的透明度和问责制。 DigiCert 将不再支持指定 Azure 服务中用于域控制验证的旧 CNAME 委派 DCV 工作流。

因此,这些 Azure 服务将引入增强的域控制验证流程,旨在显著加快域验证速度并解决用户体验中的关键漏洞。

此变更不会影响 DigiCert 客户的标准 CNAME 域控制验证流程,该流程在 CNAME 记录中使用随机值进行验证。 仅 Microsoft 之前使用的这一个验证工作流将被停用。

警告

尚未更新配置以符合托管 TLS 变更的客户,如果不更新配置,将会遭遇服务中断。

  • 当前证书过期时,服务中断必然发生。
  • 如果证书被吊销,也可能发生服务中断。

在吊销证书时,必须在 24 小时内完成吊销,因为 CA/浏览器论坛基线要求如此规定,因此几乎没有时间做出响应。 客户应立即更新配置,以避免中断。

常见问题

问:是否将停用对自定义域的支持?

否。 该功能仍受全力支持,实际上还在接收多项关键更新,以改善整体用户体验。

注释

即将弃用的 AFD 经典版和 CDN 经典版 SKU 正在停止对添加新自定义域的支持。 有关更多信息,请参阅 Azure Front Door(经典版)和 Microsoft 经典版 Azure CDN 将于 2025 年 8 月 15 日停止基于 CNAME 的域验证以及新域/配置文件创建。 对于新的自定义域,建议客户将托管 TLS 证书与 AFD 标准 SKU 和高级 SKU 配合使用。

问:什么是域控制验证?

域控制验证(DCV)是一个关键过程,用于验证请求 TLS/SSL 证书的实体是否对证书中列出的域具有合法控制权。

问:DigiCert 是否停用 CNAME 域控制验证?

否。 仅 Azure 服务特有的此特定 CNAME 验证方法将被停用。 DigiCert 客户使用的 CNAME 域控制验证方法(如针对 DigiCert OV/EV 证书DV 证书描述的方法)不受影响。

仅 Azure 受此变更影响。

问:Microsoft 为何要迁移到 DigiCert Global Root G2 和 G3 根证书?

此更改符合行业标准和即将推出的浏览器要求。 2026 年 4 月 15 日,Mozilla 和 Chrome 将不再信任 DigiCert 全局根 CA。 为了保持信任,所有托管 TLS 证书都将在此日期之前迁移到 DigiCert 全局根 G2DigiCert 全局根 G3 。 有关详细信息,请参阅 DigiCert 根证书和中间 CA 证书更新 2023

问:为什么删除客户端身份验证 EKU?

这是由 Chrome 受信任的根计划推动的行业范围的变革。 Chrome 将 TLS 证书限制为服务器身份验证,以提高安全性和合规性。 有关详细信息,请参阅 从 DigiCert 公共 TLS 证书停用客户端身份验证 EKU

  • Last updated on