Azure TLS 憑證變更
重要
本文已與 TLS 憑證變更同時發佈,且不會更新。 如需 CA 的最新相關資訊,請參閱 Azure 憑證授權單位詳細資料。
Microsoft 會使用符合 CA/瀏覽器論壇基準需求的一組根憑證授權單位 (CA) TLS 憑證。 所有 Azure TLS/SSL 端點都會包含鏈結至本文中所提供根 CA 的憑證。 Azure 端點的變更在 2020 年 8 月開始轉換,部分服務會在 2022 年完成其更新。 所有新建立的 Azure TLS/SSL 端點都會包含已更新的憑證,並鏈結至新的根 CA。
所有 Azure 服務都會受到這項變更的影響。 下方列出一些服務的詳細資料:
- Microsoft Entra ID (Microsoft Entra ID) 服務於 2020 年 7 月 7 日開始轉換。
- 如需 Azure IoT 服務 TLS 憑證變更的最新資訊,請參閱此 Azure IoT 部落格文章。
- Azure IoT Hub 在 2023 年 2 月開始進行這項轉換,預期會在 2023 年 10 月完成。
- Azure IoT Central 將於 2023 年 7 月開始此轉換。
- Azure IoT 中樞裝置佈建服務將於 2024 年 1 月開始此轉換。
- Azure Cosmos DB 在 2022 年 7 月開始進行這項轉換,預期會在 2022 年 10 月完成。
- 如需 Azure 儲存體 TLS 憑證變更的詳細資料,請參閱此 Azure 儲存體部落格文章。
- Azure Cache for Redis 從 2022 年 5 月開始,從 Baltimore CyberTrust Root 簽發的 TLS 憑證移出,如此 Azure Cache for Redis 一文中所述
- Azure Instance Metadata Service 預期會在 2022 年 5 月完成,如此 Azure 治理和管理部落格貼文中所述。
變更的項目為何?
在變更之前,Azure 服務所使用的大部分 TLS 憑證會鏈結到下列根 CA:
| CA 的一般名稱 | 指紋 (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
變更之後,Azure 服務所使用的 TLS 憑證會鏈結到下列其中一個根 CA:
| CA 的一般名稱 | 指紋 (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
我的應用程式是否受到影響?
如果您的應用程式明確指定可接受的 CA 清單,則您的應用程式可能會受到影響。 這種做法稱為憑證關聯 (英文)。 如需如何判斷服務是否受到影響以及後續步驟的詳細資訊,請檢閱關於 Azure 儲存體 TLS 變更的 Microsoft 技術社群文章。
以下提供一些方法,可偵測您的應用程式是否會受到影響:
在原始程式碼中,搜尋您可在 Microsoft PKI 存放庫中找到的任何 Microsoft IT TLS CA 指紋、一般名稱和其他憑證屬性。 如果出現相符項目,表示您的應用程式會受到影響。 若要解決此問題,請更新原始程式碼並納入新的 CA。 最佳做法是確保在臨時通知時可以新增或編輯 CA。 業界法規規定要在變更的 7 天內更換 CA 憑證,因此依賴關聯的客戶必須迅速回應。
如果您的應用程式與 Azure API 或其他 Azure 服務整合,而您不確定該應用程式是否使用憑證關聯,請洽詢應用程式廠商。
與 Azure 服務通訊的其他作業系統和語言執行階段可能需要更多的步驟,才能使用這些新的根正確建立憑證鏈結:
- Linux:許多散發套件都需要您將 CA 新增至 /etc/ssl/certs。 如需特定指示,請參閱散發套件文件。
- Java:請確定 Java 金鑰存放區包含上列的 CA。
- 在中斷連線的環境中執行 Windows:在中斷連線的環境中執行的系統,必須將新的根新增至 [信任的根憑證授權單位] 存放區,並將中繼新增至 [中繼憑證授權單位] 存放區。
- Android:檢查您的裝置和 Android 版本文件。
- 其他硬體裝置,特別是 IoT:請連絡裝置製造商。
如果您的環境中已將防火牆規則設定為僅允許對特定憑證撤銷清單 (CRL) 下載和/或線上憑證狀態通訊協定 (OCSP) 驗證位置進行輸出呼叫,您將必須允許下列 CRL 與 OCSP URL。 如需 Azure 中使用的 CRL 和 OCSP URL 完整清單,請參閱 Azure CA 詳細資料一文。
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
下一步
若您有任何問題,請透過支援連絡我們。