你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

SHA-1 联机证书标准协议签名即将停用

重要

本文已随所述更改同时发布，并未进行更新。有关 CA 的最新信息，请参阅 Azure 证书颁发机构详细信息。

Microsoft 将更新联机证书标准协议 (OCSP) 服务，以符合证书颁发机构/浏览器论坛（CA/B 论坛）基准要求最近做出的一项更改。此更改要求所有公开信任的公钥基础结构 (PKI) 在 2022 年 5 月 31 日之前停止使用 SHA-1 哈希算法进行 OCSP 响应。

Microsoft 利用来自多个 PKI 的证书来保护其服务。其中许多证书已经使用了 SHA-256 哈希算法进行 OCSP 响应。此更改将使 Microsoft 使用的所有其余 PKI 都符合这项新要求。

此更改将在何时进行？

自 2022 年 3 月 28 日起，Microsoft 将开始更新其使用 SHA-1 哈希算法的其余 OCSP 响应方，改为使用 SHA-256 哈希算法。截止到 2022 年 5 月 30 日，Microsoft 服务使用的证书的所有 OCSP 响应都将使用 SHA-256 哈希算法。

此更改将影响使用 SHA-1 哈希算法的 Microsoft 运营的 PKI 的基于 OCSP 的吊销。所有 OCSP 响应都将使用 SHA-256 哈希算法。更改只会影响 OCSP 响应，而不会影响证书本身。

证书颁发机构/浏览器论坛（CA/B 论坛）根据投票议案 SC53 制定了这项要求。 Microsoft 将更新其配置，使其与更新后的基准要求保持一致。

大多数客户不会受到影响。但是，一些不支持 SHA-256 的旧客户端配置可能会遇到证书验证错误。

2022 年 5 月 31 日之后，不支持 SHA-256 哈希的客户端将无法验证证书的吊销状态，这可能会导致客户端出现故障，具体取决于配置。

如果你无法将旧版客户端更新为支持 SHA-256 的客户端，可以禁用吊销检查来绕过 OCSP，直到更新客户端。如果你的传输层安全性 (TLS) 堆栈是 2015 年以前的，应检查配置中是否存在潜在的不兼容问题。

如果有任何问题，请通过客户支持联系我们。