Azure 證書頒發機構單位詳細數據
本文概述 Azure 服務端點採用的特定跟證書授權單位(CA)。 請務必注意,此清單與 Azure VM 和託管服務上提供的信任錨點不同,這會利用操作系統本身所提供的信任錨點。 範圍包括政府和國家雲端。 公鑰加密和簽章演算法的最低需求、憑證下載和撤銷清單的連結,以及 CA 詳細數據數據表下方提供密鑰概念的相關信息。 也提供應新增至防火牆允許清單之 URI 的主機名。
證書頒發機構單位詳細數據
任何嘗試透過 TLS/SSL 通訊協定存取 Microsoft Entra 身分識別服務的實體,都會顯示本文所列 CA 的憑證。 不同的服務可能會使用不同的根或中繼 CA。 下列根和次級 CA 與使用 憑證釘選的實體相關。
如何讀取憑證詳細數據:
- 序號 (表格中的頂端字串) 包含憑證序號的十六進位值。
- 指紋 (表格中的底部字串) 是 SHA1 指紋。
- 斜體中列出的 CA 是最近新增的 CA。
跟證書授權單位
| 憑證授權 | 序列號/ 指紋 |
|---|---|
| Baltimore CyberTrust Root | 0x20000b9 D4DE20D05E66FC53FE1A50882C78DB2852CAE474 |
| DigiCert 全域根 CA | 0x083be056904246b1a1756ac95991c74a A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436 |
| DigiCert Global Root G2 | 0x033af1e6a711a9a0bb2864b11d09fae5 DF3C24F9BFD666761B268073FE06D1CC8D4F82A4 |
| DigiCert 全域根 G3 | 0x055556bcf25ea43535c3a40fd5ab4572 7E04DE896A3E666D00E687D33FFAD93BE83D349E |
| Microsoft ECC Root Certificate Authority 2017 | 0x66f23daf87de8bb14aea0c573101c2ec 999A64C37FF47D9FAB95F14769891460EEC4C3C5 |
| Microsoft RSA Root Certificate Authority 2017 | 0x1ed397095fd8b4b347701eaabe7f45b3 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
從屬證書頒發機構單位
| 憑證授權 | 序號 指紋 |
|---|---|
| DigiCert 基本 RSA CN CA G2 | 0x02f7e1f982bad009aff47dc95741b2f6 4D1FA5D1FB1AC3917C08E43F65015E6AEA571179 |
| DigiCert 雲端服務 CA-1 | 0x019ec1c6bd3f597bb20c3338e551d877 81B68D6CD2F221F8F534E677523BB236BBA1DC56 |
| DigiCert SHA2 安全伺服器 CA | 0x02742eaa17ca8e21c717bb1ffcfd0ca0 626D44E704D1CEABE3BF0D53397464AC8080142C |
| DigiCert TLS Hybrid ECC SHA384 2020 CA1 | 0x0a275fe704d6eecb23d5cd5b4b1a4e04 51E39A8BDB08878C52D6186588A0FA266A69CF28 |
| DigiCert TLS RSA SHA256 2020 CA1 | 0x06d8d904d5584346f68a2fa754227ec4 1C58A3A8518E8759BF075B76B750D4F2DF264FCD |
| GeoTrust Global TLS RSA4096 SHA256 2022 CA1 | 0x0f622f6f21c2ff5d521f723a1d47d62d 7E6DB7B7584D8CF2003E0931E6CFC41A3A62D3DF |
| Microsoft Azure ECC TLS 發行 CA 01 | 0x09dc42a5f574ff3a389ee06d5d4de440 92503D0D74A7D3708197B6EE13082D52117A6AB0 |
| Microsoft Azure ECC TLS 發行 CA 01 | 0x330000001aa9564f44321c54b900000000001a CDA57423EC5E7192901CA1BF6169DBE48E8D1268 |
| Microsoft Azure ECC TLS 發行 CA 02 | 0x0e8dbe5ea610e6cbb569c736f6d7004b 1E981CCDDC69102A45C6693EE84389C3CF2329F1 |
| Microsoft Azure ECC TLS 發行 CA 02 | 0x330000001b498d6736ed5612c200000000001b 489FF5765030EB28342477693EB183A4DED4D2A6 |
| Microsoft Azure ECC TLS 發行 CA 03 | 0x01529ee8368f0b5d72ba433e2d8ea62d 56D955C849887874AA1767810366D90ADF6C8536 |
| Microsoft Azure ECC TLS 發行 CA 03 | 0x330000003322a2579b5e698bcc000000000033 91503BE7BF74E2A10AA078B48B71C3477175FEC3 |
| Microsoft Azure ECC TLS 發行 CA 04 | 0x02393d48d702425a7cb41c000b0ed7ca FB73FDC24F06998E070A06B6AFC78FDF2A155B25 |
| Microsoft Azure ECC TLS 發行 CA 04 | 0x33000000322164aedab61f509d000000000032 406E3B38EFF35A727F276FE993590B70F8224AED |
| Microsoft Azure ECC TLS 發行 CA 05 | 0x0ce59c30fd7a83532e2d0146b332f965 C6363570AF8303CDF31C1D5AD81E19DBFE172531 |
| Microsoft Azure ECC TLS 發行 CA 05 | 0x330000001cc0d2a3cd78cf2c1000000000001c 4C15BC8D7AA5089A84F2AC4750F040D064040CD4 |
| Microsoft Azure ECC TLS 發行 CA 06 | 0x066e79cd7624c63130c77abeb6a8bb94 7365ADAEDFEA4909C1BAADBAB68719AD0C381163 |
| Microsoft Azure ECC TLS 發行 CA 06 | 0x330000001d0913c309da3f05a600000000001d DFEB65E575D03D0CC59FD60066C6D39421E65483 |
| Microsoft Azure ECC TLS 發行 CA 07 | 0x0f1f157582cdcd33734bdc5fcd941a33 3BE6CA5856E3B9709056DA51F32CBC8970A83E28 |
| Microsoft Azure ECC TLS 發行 CA 07 | 0x3300000034c732435db22a0a2b000000000034 AB3490B7E37B3A8A1E715036522AB42652C3CFFE |
| Microsoft Azure ECC TLS 發行 CA 08 | 0x0ef2e5d83681520255e92c608fbc2ff4 716DF84638AC8E6EEBE64416C8DD38C2A25F6630 |
| Microsoft Azure ECC TLS 發行 CA 08 | 0x3300000031526979844798bbb8000000000031 CF33D5A1C2F0355B207FCE940026E6C1580067FD |
| Microsoft Azure RSA TLS 發行 CA 03 | 0x05196526449a5e3d1a38748f5dcfebcc F9388EA2C9B7D632B66A2B0B406DF1D37D3901F6 |
| Microsoft Azure RSA TLS 發行 CA 03 | 0x330000003968ea517d8a7e30ce000000000039 37461AACFA5970F7F2D2BAC5A659B53B72541C68 |
| Microsoft Azure RSA TLS 發行 CA 04 | 0x09f96ec295555f24749eaf1e5dced49d BE68D0ADAA2345B48E507320B695D386080E5B25 |
| Microsoft Azure RSA TLS 發行 CA 04 | 0x330000003cd7cb44ee579961d000000000003c 7304022CA8A9FF7E3E0C1242E0110E643822C45E |
| Microsoft Azure RSA TLS 發行 CA 07 | 0x0a43a9509b01352f899579ec7208ba50 3382517058A0C20228D598EE7501B61256A76442 |
| Microsoft Azure RSA TLS 發行 CA 07 | 0x330000003bf980b0c83783431700000000003b 0E5F41B697DAADD808BF55AD080350A2A5DFCA93 |
| Microsoft Azure RSA TLS 發行 CA 08 | 0x0efb7e547edf0ff1069aee57696d7ba0 31600991ED5FEC63D355A5484A6DCC787EAD89BC |
| Microsoft Azure RSA TLS 發行 CA 08 | 0x330000003a5dc2ffc321c16d9b00000000003a 512C8F3FB71EDACF7ADA490402E710B10C73026E |
| Microsoft Azure TLS 發行 CA 01 | 0x0aafa6c5ca63c45141ea3be1f7c75317 2F2877C5D778C31E0F29C7E371DF5471BD673173 |
| Microsoft Azure TLS 發行 CA 01 | 0x1dbe9496f3db8b8de700000000001d B9ED88EB05C15C79639493016200FDAB08137AF3 |
| Microsoft Azure TLS 發行 CA 02 | 0x0c6ae97cced599838690a00a9ea53214 E7EEA674CA718E3BEFD90858E09F8372AD0AE2AA |
| Microsoft Azure TLS 發行 CA 02 | 0x330000001ec6749f058517b4d000000000001e C5FB956A0E7672E9857B402008E7CCAD031F9B08 |
| Microsoft Azure TLS 發行 CA 05 | 0x0d7bede97d8209967a52631b8bdd18bd 6C3AF02E7F269AA73AFD0EFF2A88A4A1F04ED1E5 |
| Microsoft Azure TLS 發行 CA 05 | 0x330000001f9f1fa2043bc28db900000000001f 56F1CA470BB94E274B516A330494C792C419CF87 |
| Microsoft Azure TLS 發行 CA 06 | 0x02e79171fb8021e93fe2d983834c50c0 30E01761AB97E59A06B41EF20AF6F2DE7EF4F7B0 |
| Microsoft Azure TLS 發行 CA 06 | 0x3300000020a2f1491a37fbd31f000000000020 8F1FD57F27C828D7BE29743B4D02CD7E6E5F43E6 |
| Microsoft ECC TLS 發行 AOC CA 01 | 0x33000000282bfd23e7d1add707000000000028 30ab5c33eb4b77d4cbff00a11ee0a7507d9dd316 |
| Microsoft ECC TLS 發行 AOC CA 02 | 0x33000000290f8a6222ef6a5695000000000029 3709cd92105d074349d00ea8327f7d5303d729c8 |
| Microsoft ECC TLS 發行 EOC CA 01 | 0x330000002a2d006485fdacbfeb00000000002a 5fa13b879b2ad1b12e69d476e6cad90d01013b46 |
| Microsoft ECC TLS 發行 EOC CA 02 | 0x330000002be6902838672b667900000000002b 58a1d8b1056571d32be6a7c77ed27f73081d6e7a |
| Microsoft RSA TLS CA 01 | 0x0f14965f202069994fd5c7ac788941e2 703D7A8F0EBF55AAA59F98EAF4A206004EB2516A |
| Microsoft RSA TLS CA 02 | 0x0fa74722c53d88c80f589efb1f9d4a3a B0C2D2D13CDD56CDAA6AB6E2C04440BE4A429C75 |
| Microsoft RSA TLS 發行 AOC CA 01 | 0x330000002ffaf06f6697e2469c00000000002f 4697fdbed95739b457b347056f8f16a975baf8ee |
| Microsoft RSA TLS 發行 AOC CA 02 | 0x3300000030c756cc88f5c1e7eb000000000030 90ed2e9cb40d0cb49a20651033086b1ea2f76e0e |
| Microsoft RSA TLS 發行 EOC CA 01 | 0x33000000310c4914b18c8f339a000000000031 a04d3750debfccf1259d553dbec33162c6b42737 |
| Microsoft RSA TLS 發行 EOC CA 02 | 0x3300000032444d7521341496a9000000000032 697c6404399cc4e7bb3c0d4a8328b71dd3205563 |
公用 PKIS 的用戶端相容性
Azure 所使用的 CA 與下列 OS 版本相容:
| Windows | Firefox | iOS | macOS | Android | Java |
|---|---|---|---|---|---|
| Windows XP SP3+ | Firefox 32+ | iOS 7+ | OS X 小牛(10.9)+ | Android SDK 5.x+ | Java JRE 1.8.0_101+ |
檢閱 CA 到期或變更時的下列動作步驟:
- 更新為所需OS的支援版本。
- 如果您無法變更 OS 版本,您可能需要手動更新受信任的根存放區,以包含新的 CA。 請參閱製造商所提供的檔。
- 如果您的案例包含停用受信任的根存放區,或在中斷聯機的環境中執行 Windows 用戶端,請確定所有根 CA 都包含在受信任的根 CA 存放區中,而本文所列的所有子 CA 都會包含在中繼 CA 存放區中。
- Linux 的許多發行版都需要您將 CA 新增至 /etc/ssl/certs。 請參閱散發套件的檔。
- 請確定 Java 金鑰存放區包含本文所列的 CA。 如需詳細資訊,請參閱 本文的 Java 應用程式 一節。
- 如果您的應用程式明確指定可接受的 CA 清單,請檢查您是否需要在 CA 變更或過期時更新已釘選的憑證。 如需詳細資訊,請參閱 憑證釘選。
公鑰加密和簽章演算法
需要下列演算法、橢圓曲線和金鑰大小支援:
簽章演算法:
- ES256
- ES384
- ES512
- RS256
- RS384
- RS512
橢圓曲線:
- P256
- P384
- P521
金鑰大小:
- ECDSA 256
- ECDSA 384
- ECDSA 521
- RSA 2048
- RSA 3072
- RSA 4096
憑證下載和撤銷清單
您的防火牆允許清單中可能需要包含下列網域,才能將連線優化:
友邦 保險:
cacerts.digicert.comcacerts.digicert.cncacerts.geotrust.comwww.microsoft.com
Crl:
crl.microsoft.comcrl3.digicert.comcrl4.digicert.comcrl.digicert.cncdp.geotrust.commscrl.microsoft.comwww.microsoft.com
OCSP:
ocsp.msocsp.comocsp.digicert.comocsp.digicert.cnoneocsp.microsoft.comstatus.geotrust.com
憑證釘選
憑證釘選是一種安全性技術,只有在建立安全會話時,才會接受已授權或 釘選的憑證。 任何使用不同憑證建立安全會話的嘗試,都遭到拒絕。 了解憑證釘選的歷程記錄和含意。
如何尋址憑證釘選
如果您的應用程式明確指定可接受的 CA 清單,您可能會在證書頒發機構單位變更或過期時定期更新已釘選的憑證。
若要偵測憑證釘選,建議您採取下列步驟:
- 如果您是應用程式開發人員,請在原始程式碼中搜尋憑證指紋、主體辨別名稱、一般名稱、序號、公鑰,以及其他任何涉及此變更之子 CA 的憑證屬性參考。
- 如果有相符專案,請更新應用程式以包含遺漏的 CA。
- 如果您有與 Azure API 或其他 Azure 服務整合的應用程式,且不確定其是否使用憑證釘選,請洽詢應用程式廠商。
Java 應用程式
若要判斷 Microsoft ECC 跟證書授權單位 2017 和 Microsoft RSA 跟證書授權單位 2017 是否受到 Java 應用程式的信任,您可以檢查 Java 虛擬機 (JVM) 所使用的受信任跟證書清單。
在您的系統上開啟終端機視窗。
執行以下命令:
keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts$JAVA_HOME是指 Java 主目錄的路徑。- 如果您不確定路徑,您可以執行下列命令來找到它:
readlink -f $(which java) | xargs dirname | xargs dirname在輸出中尋找 Microsoft RSA 跟證書授權單位 2017 。 其外觀應該如下所示:
- 如果 Microsoft ECC 跟證書授權單位 2017 和 Microsoft RSA 跟證書授權單位 2017 跟證書受到信任,它們應該會出現在 JVM 所使用的受信任跟證書清單中。
- 如果不在清單中,您將需要新增它。
- 輸出看起來應如下列範例所示:
... Microsoft ECC Root Certificate Authority 2017, 20-Aug-2022, Root CA, Microsoft RSA Root Certificate Authority 2017, 20-Aug-2022, Root CA, ...若要將跟證書新增至 Java 中受信任的跟證書存儲,您可以使用
keytool公用程式。 下列範例會新增 Microsoft RSA 跟證書授權單位 2017 跟證書:keytool -import -file microsoft-ecc-root-ca.crt -alias microsoft-rsa-root-ca -keystore $JAVA_HOME/jre/lib/security/cacerts keytool -import -file microsoft-rsa-root-ca.crt -alias microsoft-rsa-root-ca -keystore $JAVA_HOME/jre/lib/security/cacerts注意
在此範例中,
microsoft-ecc-root-ca.crt和microsoft-rsa-root-ca.crt分別是包含 Microsoft ECC 跟證書授權單位 2017 和 Microsoft RSA 跟證書授權單位 2017 跟證書的檔名。
過去變更
CA/瀏覽器論壇更新了基準需求,要求所有公開信任的公鑰基礎結構 (PKIS) 在 2022 年 5 月 31 日結束在線憑證標準通訊協定 (OCSP) SHA-1 哈希演算法的使用。 Microsoft 更新了使用 SHA-1 哈希演算法使用 SHA-256 哈希演算法的所有剩餘 OCSP 回應程式。 如需詳細資訊,請檢視SHA-1 OCSP簽署的日落文章。
Microsoft 已更新 Azure 服務,以在 2021 年 2 月 15 日使用來自不同跟證書授權單位 (CA) 的 TLS 憑證,以符合 CA/瀏覽器論壇基準需求所設定的變更。 某些服務會在 2022 年完成這些更新。 如需其他資訊,請檢視 Azure TLS 憑證變更一文 。
發行項變更記錄
- 2023年7月17日:新增16個新的次級證書頒發機構單位
- 2023年2月7日:新增了8個新的次級證書頒發機構單位
下一步
若要深入瞭解證書頒發機構單位和 PKI,請參閱:
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應