Compartir a través de

Azure TLS 证书更改

重要

本文与 TLS 证书更改并发发布,并且未更新。 有关 CA 的最新信息,请参阅 Azure 证书颁发机构详细信息

Microsoft 使用符合 CA/浏览器论坛基线要求的一组根证书颁发机构 (CA) 颁发的 TLS 证书。 所有 Azure TLS/SSL 终结点都包含链接到本文提供的根 CA 的证书。 对 Azure 终结点的更改于 2020 年 8 月开始转换,一些服务在 2022 年完成更新。 所有新创建的 Azure TLS/SSL 终结点都包含链接到新根 CA 的已更新证书。

此更改会影响所有 Azure 服务。 下面列出了某些服务的详细信息:

有何变化?

在更改之前,Azure 服务使用的大多数 TLS 证书都链接到以下根 CA:

CA 的公用名 指纹 (SHA1)
Baltimore CyberTrust 根 d4de20d05e66fc53fe1a50882c78db2852cae474

在更改之后,Azure 服务使用的 TLS 证书都链接到以下根 CA 之一:

CA 的公用名 指纹 (SHA1)
DigiCert 全局根 G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert 全局根 CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust 根 d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST 根类 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA 根证书颁发机构 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC 根证书颁发机构 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

我的应用程序是否受到影响?

如果应用程序显式指定可接受 CA 的列表,则应用程序可能已受到影响。 这种做法称为证书固定。 请参阅有关 Azure 存储 TLS 更改的 Microsoft 技术社区文章,详细了解如何确定服务是否受到影响,以及如何确定后续步骤。

下面是检测应用程序是否受到影响的一些方式:

  • 在源代码中搜索 Microsoft PKI 存储库中的任何 Microsoft IT TLS CA 的指纹、公用名和其他证书属性。 如果存在匹配,则应用程序会受影响。 若要解决此问题,请更新源代码,包括新的 CA。 最佳做法是确保在简短通知时可添加或编辑 CA。 行业法规要求在更改后的 7 天内替换 CA 证书,因此依赖于证书固定的客户需要迅速做出反应。

  • 如果你的应用程序与 Azure API 或其他 Azure 服务集成,并且你不确定它是否使用证书固定,请向应用程序供应商核实。

  • 与 Azure 服务进行通信的不同操作系统和语言运行时可能需要更多步骤,才能正确利用这些新的根来构建证书链:

    • Linux:许多发行版要求将 CA 添加到 /etc/ssl/certs。 有关特定说明,请查看发行版的相应文档。
    • Java:确保 Java 密钥存储包含上面列出的 CA。
    • 在断开连接的环境中运行的 Windows:在断开连接的环境中运行的系统需要将新根添加到受信任的根证书颁发机构存储,并将中间证书添加到中间证书颁发机构存储。
    • Android:查看适用于你设备和 Android 版本的文档。
    • 其他硬件设备(尤其是 IoT):联系设备制造商。
  • 如果环境中的防火墙规则设置为仅允许对特定证书吊销列表 (CRL) 下载和/或在线证书状态协议 (OCSP) 验证位置进行出站呼叫,你需要允许以下 CRL 和 OCSP URL。 有关 Azure 中使用的 CRL 和 OCSP URL 的完整列表,请参阅 Azure CA 详细信息文章

    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com

后续步骤

如果有任何问题,请通过客户支持联系我们。